如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。
使用对称密钥和非对称密钥
AWS KMS 保护 客户主密钥 (CMKs)用于保护您的数据和数据密钥。私有密钥仅在设计的硬件安全模块中生成和使用,这样任何人(包括 AWS 员工)都不能访问明文密钥材料。
您可以创建和管理 CMKs 在您的 AWS 包括设置 关键政策, IAM 政策、和 资助金 可以控制您的 CMKs, 启用和禁用 的 CMKs, 创建标记 和别名,以及 删除 CMKs. 您可以使用 CMKs 保护您的资源, AWS 与 AWS KMS. 而且,您可以审计所有使用或管理您的 CMKs 在 AWS CloudTrail 日志.
AWS KMS 支持对称和不对称 CMKs.
除 中国(北京) 和 中国 (宁夏) 外,AWS KMS 支持的所有 AWS 区域中都支持非对称 CMK 和非对称数据密钥对。
AWS KMS 还提供了对称数据密钥和非对称数据密钥对,这些密钥设计用于 AWS KMS 外部的客户端加密。对称数据密钥对中的对称数据密钥和私有密钥通过对称 CMK 在 AWS KMS.
-
对称数据密钥 — 可用于加密 AWS KMS 外部数据的对称加密密钥。该密钥受到对称 CMK 在 AWS KMS.
-
非对称数据密钥对 — 由公有密钥和私有密钥组成的 RSA 或椭圆曲线 (ECC) 密钥对。在 AWS KMS 外部,可以使用数据密钥对加密和解密数据,或者签署消息并验证签名。私人密钥受到对称保护 CMK 在 AWS KMS.
有关如何创建和使用数据密钥和数据密钥对的信息,请参阅数据密钥和数据密钥对。要了解如何限制账户中的委托人可以生成的数据密钥对类型,请使用 kms:DataKeyPairSpec 条件键。
这一主题解释了对称和不对称 CMKs 工作、工作的不同之处,以及如何决定 CMK 您需要保护您的数据。还将介绍对称数据密钥和非对称数据密钥对的工作原理,以及如何在 AWS KMS 外部使用这些密钥。
了解更多信息。
-
对于比较 AWS KMS 适用于每种类型 CMK,见 比较对称和不对称 CMKs.
-
了解 CMK 是对称的或不对称的,请参阅 识别对称和不对称 CMKs.
-
检查默认关键策略的差异, AWS KMS 用于对称和不对称的 CMKs,见 允许关键用户使用 CMK 带有 AWS 服务.
-
指定帐户中委托人可以用于的密钥规范、密钥使用、加密算法和签名算法 CMKs,见 AWS KMS 条件键.
-
要了解 请求配额 适用于不同类型 CMKs,见 请求配额.
-
学习如何以非对称方式签署信息和验证签名 CMKs,见 使用的新非对称密钥功能进行数字签名 AWS KMS
在 AWS 安全博客.