本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
中的非对称密钥 Amazon KMS
非对称 KMS 密钥表示数学上相关的公有密钥和私有密钥对。公有密钥可以交给任何人,即使他们不可靠,但私有密钥必须保密。
在非对称 KMS 密钥中,私钥是在中创建的, Amazon KMS 并且永远不会处于 Amazon KMS 未加密状态。要使用私钥,您必须致电 Amazon KMS。您可以 Amazon KMS 通过调用 Amazon KMS API 操作来使用其中的公钥。或者,您可以下载公钥并在外部使用 Amazon KMS。
如果您的用例要求无法呼叫的用户在外部 Amazon 进行加密 Amazon KMS,那么非对称 KMS 密钥是一个不错的选择。但是,如果您要创建 KMS 密钥来加密您在 Amazon 服务中存储或管理的数据,请使用对称加密 KMS 密钥。 Amazon 与之集成的服务
使用对大于 4 KB 的邮件进行签名时 Amazon KMS,必须在签名 Amazon KMS 之前在外部对消息进行哈希处理。 Amazon KMS 提供了三个用于处理消息输入的MessageType选项:RAW用于纯文本消息(在其中 Amazon KMS 执行哈希)、DIGEST用于预哈希处理的消息(其中 Amazon KMS 跳过哈希步骤),以及EXTERNAL_MU专门用于输入为 64 字节代表 μ 值的 ML-DSA KMS 密钥规范。对于超过 4 KB 限制的大型消息,请在外部对消息进行哈希处理,并在调用 S Amazon KMSign and Verify 操作时使用 MessageType:DIGEST(或用MessageType:EXTERNAL_MU于 ML-DSA KMS 密钥)。 Amazon KMS
Amazon KMS 支持多种类型的非对称 KMS 密钥。
- RSA KMS 密钥
-
带有 RSA 密钥对的 KMS 密钥,用于加密和解密或签名和验证(但不能两者兼而有之)。 Amazon KMS 支持多种密钥长度,以满足不同的安全要求。
有关 Amazon KMS 支持 RSA KMS 密钥的加密和签名算法的技术细节,请参阅 RSA 密钥规范。
- 椭圆曲线(ECC)KMS 密钥
-
带有椭圆曲线密钥对的 KMS 密钥,用于签名和验证或派生共享密钥(但不能两者兼而有之)。 Amazon KMS 支持几条常用的曲线。
有关 Amazon KMS 支持 ECC KMS 密钥的签名算法的技术细节,请参阅椭圆曲线密钥规范。
- ML-DSA KMS 密钥
-
使用 ML-DSA 密钥对进行签名和验证的 KMS 密钥。ML-DSA 是由美国国家标准与技术研究院(NIST)开发的后量子密码术标准,旨在抵御量子计算带来的安全威胁。对于从 RSA 或椭圆曲线数字签名算法过渡到后量子安全密码术的组织,ML-DSA 是推荐使用的数字签名算法。
Amazon KMS 支持多种密钥长度,以满足不同的安全要求。有关 Amazon KMS 支持 ML-DSA KMS 密钥的签名算法的技术细节,请参阅 M L-DSA 密钥规范。
- SM2 KMS 密钥(仅限中国区域)
-
带有密钥对的 KMS 密 SM2 钥,用于加密和解密、签名和验证或派生共享密钥(必须选择一种Key usage类型)。
有关 Amazon KMS 支持 SM2 KMS 密钥的加密和签名算法(仅限中国区域)的技术细节,SM2 请参阅密钥规范。
有关选择非对称密钥配置的帮助,请参阅 选择要创建的 KMS 密钥的类型。
区域
所有 Amazon Web Services 区域 支持的密钥都支持非对称 KMS 密钥和非对称数据密钥对。 Amazon KMS
了解更多
-
若要创建非对称 KMS 密钥,请参阅 创建非对称 KMS 密钥。
-
若要创建多区域非对称 KMS 密钥,请参阅 创建多区域主密钥。
-
要了解如何使用非对称 KMS 密钥签署消息和验证签名,请参阅 Amazon 安全博客中的采用 Amazon KMS的新的非对称密钥功能进行数字签名
。 -
要了解删除非对称 KMS 密钥的特殊注意事项,请参阅Deleting asymmetric KMS keys。
-
要识别和查看非对称 KMS 密钥,请参阅识别非对称 KMS 密钥。