在 CloudHSM 密钥存储中管理 KMS 密钥

您可以在 AWS CloudHSM 密钥存储中创建、查看、管理、使用和计划删除 AWS KMS keys。您使用的过程与用于其他 KMS 密钥的过程非常相似。唯一的区别是您在创建 KMS 密钥时指定了 AWS CloudHSM 密钥存储。然后，AWS KMS 在与 AWS CloudHSM 密钥存储关联的 AWS CloudHSM 集群中为 KMS 密钥创建不可提取的密钥材料。在 AWS CloudHSM 密钥存储中使用 KMS 密钥时，会在集群中的 HSM 中执行加密操作。

支持的功能

除了此部分中讨论的过程之外，您还可以使用 AWS CloudHSM 密钥存储中的 KMS 密钥执行下列操作：

• 使用密钥策略、IAM policy 和授权来授予对 KMS 密钥的访问权限。

• 启用和禁用 KMS 密钥。

• 分配标签并创建别名，然后使用基于属性的访问权限控制（ABAC）授予对 KMS 密钥的访问权限。

• 使用 KMS 密钥进行加密操作，包括加密、解密、重新加密和生成数据密钥。

• 将 KMS 密钥和与 AWS KMS 集成的 AWS 服务结合使用并支持客户托管密钥。

• 在AWS CloudTrail日志和 Amazon CloudWatch 监控工具中跟踪您的 KMS 密钥的使用情况。

不支持的功能

• AWS CloudHSM 密钥存储仅支持对称加密 KMS 密钥。您无法在 AWS CloudHSM 密钥存储中创建 HMAC KMS 密钥、非对称 KMS 密钥或非对称数据密钥对。

• 您无法向 AWS CloudHSM 密钥存储中的 KMS 密钥导入密钥材料。AWS KMS 为 AWS CloudHSM 集群中的 KMS 密钥生成密钥材料。

• 您无法启用或禁用 AWS CloudHSM 密钥存储中 KMS 密钥的密钥材料的自动轮换。

主题

• 在 AWS CloudHSM 密钥存储中创建 KMS 密钥
• 在 AWS CloudHSM 密钥存储中查看 KMS 密钥
• 在 AWS CloudHSM 密钥存储中使用 KMS 密钥
• 查找 KMS 密钥和密钥材料
• 计划从 AWS CloudHSM 密钥存储删除 KMS 密钥