Schlüsseltypreferenz

AWS KMS unterstützt verschiedene Funktionen für verschiedene Arten von KMS-Schlüsseln. Sie können beispielsweise mit KMS-Schlüsseln zur symmetrischen Verschlüsselung nur symmetrische Datenschlüssel und asymmetrische Datenschlüsselpaare generieren. Außerdem werden das Importieren von Schlüsselmaterial und die automatische Schlüsseldrehung nur für KMS-Schlüssel zur symmetrischen Verschlüsselung unterstützt, und Sie können in einem benutzerdefinierten Schlüsselspeicher nur KMS-Schlüssel zur symmetrischen Verschlüsselung erstellen.

Diese Referenz enthält zwei Tabellen.

• In der Tabelle mit den Schlüsseltypen sind die AWS KMS Operationen aufgeführt, die für KMS-Schlüssel mit symmetrischer Verschlüsselung, asymmetrische KMS-Schlüssel und HMAC-KMS-Schlüssel gültig sind.

• In der Tabelle „Spezielle Funktionen“ sind die AWS KMS Operationen aufgeführt, die für mehrere Regionen geltende KMS-Schlüssel, KMS-Schlüssel mit importiertem Schlüsselmaterial und KMS-Schlüssel in benutzerdefinierten Schlüsselspeichern gültig sind.

Schlüsseltyp-Tabelle

Möglicherweise müssen Sie horizontal oder vertikal scrollen, um alle Daten in dieser Tabelle anzuzeigen.

AWS KMS API-Betrieb	KMS-Schlüssel zur symmetrischen Verschlüsselung	HMAC-KMS-Schlüssel	Asymmetrische KMS-Schlüssel (ENCRYPT_DECRYPT)	Asymmetrische KMS-Schlüssel (SIGN_VERIFY)	Asymmetrische KMS-Schlüssel (KEY_AGREEMENT)
CancelKeyDeletion
CreateAlias
CreateGrant
CreateKey
Decrypt
DeleteAlias
DeleteImportedKeyMaterial Gilt nur für KMS-Schlüssel mit importiertem Schlüsselmaterial (Origin ist EXTERNAL).
DeriveSharedSecret
DescribeKey
DisableKey
DisableKeyRotation	Gilt nur für KMS-Schlüssel mit AWS KMS Schlüsselmaterial (Originist). AWS_KMS
EnableKey
EnableKeyRotation	Gilt nur für KMS-Schlüssel mit AWS KMS Schlüsselmaterial (OriginistAWS_KMS).
Encrypt
GenerateDataKey
GenerateDataKeyPair Generierung eines asymmetrischen Datenschlüsselpaars, das durch einen KMS-Schlüssel mit symmetrischer Verschlüsselung geschützt ist.	Gilt nicht für KMS-Schlüssel in benutzerdefinierten Schlüsselspeichern.
GenerateDataKeyPairWithoutPlaintext Generierung eines asymmetrischen Datenschlüsselpaars, das durch einen KMS-Schlüssel mit symmetrischer Verschlüsselung geschützt ist.	Gilt nicht für KMS-Schlüssel in benutzerdefinierten Schlüsselspeichern.
GenerateDataKeyWithoutPlaintext
GenerateMac
GetKeyPolicy
GetKeyRotationStatus		(KeyRotationEnabled ist immer false.)	(KeyRotationEnabled ist immer false.)	(KeyRotationEnabled ist immer false.)	(KeyRotationEnabled ist immer false.)
GetParametersForImport Gilt nur für KMS-Schlüssel mit importiertem Schlüsselmaterial (Origin ist EXTERNAL).
GetPublicKey
ImportKeyMaterial Gilt nur für KMS-Schlüssel mit importiertem Schlüsselmaterial (Origin ist EXTERNAL).
ListAliases
ListGrants
ListKeyPolicies
ListKeyRotations		(Das Rotations Feld wird immer Null oder leer sein.)	(Das Rotations Feld wird immer Null oder leer sein.)	(Das Rotations Feld wird immer Null oder leer sein.)	(Das Rotations Feld wird immer Null oder leer sein.)
ListResourceTags
ListRetirableGrants
PutKeyPolicy
ReEncrypt
ReplicateKey - gilt nur für multiregionale Schlüssel
RetireGrant
RevokeGrant
RotateKeyOnDemand	Gilt nur für KMS-Schlüssel mit AWS KMS Schlüsselmaterial (OriginistAWS_KMS).
ScheduleKeyDeletion
Sign
TagResource
UntagResource
UpdateAlias Der aktuelle KMS-Schlüssel und der neue KMS-Schlüssel müssen vom selben Typ sein (beide symmetrisch oder beide asymmetrisch oder beide HMAC) und die gleiche Schlüsselnutzung aufweisen.
UpdateKeyDescription
UpdateReplicaRegion - gilt nur für multiregionale Schlüssel
Verify
VerifyMac

Tabelle „Spezielle Funktionen“

In dieser Tabelle sind die AWS KMS API-Operationen aufgeführt, die für jeden Typ von Spezialschlüsseln unterstützt werden.

Achten Sie beim Lesen dieser Tabelle auf die folgenden Interaktionen:

• Multiregionale Schlüssel:

  • Bei multiregionalen Schlüsseln kann es sich um KMS-Schlüssel mit symmetrischer Verschlüsselung, KMS-Schlüssel mit asymmetrischer Verschlüsselung, HMAC-KMS-Schlüssel und KMS-Schlüssel mit importiertem Schlüsselmaterial handeln.

  • Sie können keine multiregionale Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwenden.

• Importiertes Schlüsselmaterial

  • Sie können Schlüsselmaterial für symmetrisch verschlüsselte KMS-Schlüssel, asymmetrische KMS-Schlüssel und HMAC-KMS-Schlüssel importieren.

  • Sie können multiregionale Schlüssel mit importiertem Schlüsselmaterial erstellen.

  • Sie können keine Schlüssel mit importiertem Schlüsselmaterial oder in einem benutzerdefinierten Schlüsselspeicher erstellen.

  • Automatische Schlüsseldrehung (EnableKeyRotation, DisableKeyRotation) wird für KMS-Schlüssel oder KMS-Schlüssel mit importiertem Schlüsselmaterial nicht unterstützt.

• Benutzerdefinierte Schlüsselspeicher

  • Benutzerdefinierte Schlüsselspeicher unterstützen nur KMS-Schlüssel mit symmetrischer Verschlüsselung.

  • Symmetrische Operationen mit asymmetrischen Schlüsselpaaren (GenerateDataKeyPair, GenerateDataKeyPairWithoutPlaintext) werden für KMS-Schlüssel in benutzerdefinierten Schlüsselspeichern nicht unterstützt.

  • Automatische Schlüsselrotation (EnableKeyRotation, DisableKeyRotation) wird bei KMS-Schlüsseln in benutzerdefinierten Schlüsselspeichern nicht unterstützt.

  • Sie können keine multiregionalen Schlüssel in benutzerdefinierten Schlüsselspeichern erstellen.

Möglicherweise müssen Sie horizontal oder vertikal scrollen, um alle Daten in dieser Tabelle anzuzeigen.

AWS KMS API-Betrieb	Multiregionale Schlüssel	Importiertes Schlüsselmaterial	KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher
CancelKeyDeletion
CreateAlias
CreateGrant
CreateKey Sie können CreateKey verwenden, um einen multiregionalen Primärschlüssel, einen KMS-Schlüssel mit importiertem Schlüsselmaterial oder einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen. Verwenden Sie ReplicateKey zum Erstellen eines multiregionalen Replikatschlüssels.
Decrypt	Gilt nur, wenn KeyUsage ENCRYPT_DECRYPT ist.
DeleteAlias
DeleteImportedKeyMaterial	Gilt nur für Schlüssel mit importiertem Schlüsselmaterial (Origin ist EXTERNAL)
DescribeKey
DisableKey
DisableKeyRotation	Gilt nur für symmetrische Verschlüsselungsschlüssel mit AWS KMS Schlüsselmaterial (OriginistAWS_KMS).
EnableKey	Gilt nur für KMS-Schlüssel mit symmetrischer Verschlüsselung
EnableKeyRotation	Gilt nur für symmetrische Verschlüsselungsschlüssel mit AWS KMS Schlüsselmaterial (OriginistAWS_KMS).
Encrypt	Gilt nur, wenn KeyUsage ENCRYPT_DECRYPT ist.
GenerateDataKey	Gilt nur für KMS-Schlüssel mit symmetrischer Verschlüsselung
GenerateDataKeyPair	Gilt nur für KMS-Schlüssel mit symmetrischer Verschlüsselung
GenerateDataKeyPairWithoutPlaintext	Gilt nur für KMS-Schlüssel mit symmetrischer Verschlüsselung
GenerateDataKeyWithoutPlaintext	Gilt nur für KMS-Schlüssel mit symmetrischer Verschlüsselung
GenerateMac Gilt nur für HMAC-KMS-Schlüssel
GetKeyPolicy
GetKeyRotationStatus		(KeyRotationEnabled ist immer false.)
GetParametersForImport	Gilt nur für Schlüssel mit importiertem Schlüsselmaterial (Origin ist EXTERNAL).
GetPublicKey Gilt nur für asymmetrische KMS-Schlüssel.
ImportKeyMaterial	Gilt nur für Schlüssel mit importiertem Schlüsselmaterial (Origin ist EXTERNAL).
ListAliases
ListGrants
ListKeyPolicies
ListResourceTags
ListRetirableGrants
PutKeyPolicy
ReEncrypt	Gilt nur, wenn KeyUsage ENCRYPT_DECRYPT ist.
ReplicateKey	Gilt nur für multiregionale Primärschlüssel.	Gilt nur für multiregionale Primärschlüssel.
RetireGrant
RevokeGrant
ScheduleKeyDeletion
Sign Gilt nur, wenn KeyUsage SIGN_VERIFY ist.
TagResource
UntagResource
UpdateAlias - Der aktuelle KMS-Schlüssel und der neue KMS-Schlüssel müssen vom selben Typ sein (beide symmetrisch oder beide asymmetrisch oder beide HMAC) und die gleiche Schlüsselnutzung aufweisen.
UpdateKeyDescription
UpdateReplicaRegion		Gilt nur für multiregionale Schlüssel.
Verify Gilt nur, wenn KeyUsage SIGN_VERIFY ist.
VerifyMac Gilt nur für HMAC-KMS-Schlüssel