什么是 AWS Key Management Service？

AWS Key Management Service （AWS KMS） 是一项托管服务，可让您轻松创建和控制 客户主密钥 （CMKs）（用于加密数据的加密密钥）。 由硬件安全模块 （HSMs） AWS KMS CMKs 提供保护，这些模块由 FIPS 140-2 加密模块验证计划进行验证，但在 中国（北京） 和 中国 (宁夏) 区域除外。

AWS KMS 与大多数加密您的数据的其他 AWS 服务集成。 AWS KMS 还与 集成AWS CloudTrail以记录您的 的使用CMKs，从而满足审计、监督和合规性需求。

您可以创建和管理您的 AWS KMS 客户主密钥 （CMKs）：

• 创建、编辑和查看对称和非对称 CMKs

• CMKs 使用密钥策略、 IAM 策略和授权控制对您的 的访问。 AWS KMS 支持基于属性的访问控制 （ABAC）。您还可以使用 条件键优化策略。

• 创建、删除、列出和更新别名，即 的友好名称CMKs。您还可以使用别名来控制对 的访问CMKs。

• 标记 CMKs 以进行识别、自动化和成本跟踪。您还可以使用标签来控制对 的访问CMKs。

• 启用和禁用 CMKs

• 在 中启用和禁用加密材料的自动轮换 CMK

• 删除 CMKs 以完成密钥生命周期

您可以在CMKs加密操作加密操作中使用 。有关示例，请参阅 使用 AWS KMS API 进行编程。

• 使用对称或非对称加密、解密和重新加密数据 CMKs

• 使用非对称 签署和验证消息 CMKs

• 生成可导出的对称数据密钥和非对称数据密钥对

• 生成适用于加密应用程序的随机数

您还可以使用 AWS KMS 的高级功能

• 将加密材料导入 CMK

• 在CMKs由集群支持的您自己的自定义密钥存储AWS CloudHSM中创建

• AWS KMS 通过 VPC 中的私有终端节点直接连接到

• 使用混合后量子 TLS 可对发送到 AWS KMS 的数据进行前瞻性的传输中加密

通过使用 AWS KMS，您能够更好地控制对加密数据的访问权限。您可以直接在应用程序中或通过与 AWS 集成的 AWS KMS 服务使用密钥管理和加密功能。无论您是在为 编写应用程序AWS，还是在使用 AWS 服务，您AWS KMS都可以借助 控制哪些人可以使用您的 客户主密钥 并访问您的加密数据。

AWS KMS 与 AWS CloudTrail 集成，后者是一项将日志文件传输到您指定的 Amazon S3 存储桶的服务。通过使用 CloudTrail ，您可以监控和调查哪些人在何时以何种方式CMKs使用了 。

AWS KMS 区域中的 AWS

AWS 中列出了支持 AWS KMS 的 AWS Key Management Service 终端节点和配额 区域。如果 AWS KMS 支持的 AWS 区域中不支持某项 AWS KMS 功能，则在有关该功能的主题中描述区域差异。

AWS KMS 定价

与其他 AWS 产品一样，使用 没有合同或最低购买要求AWS KMS。有关 AWS KMS 定价的更多信息，请参阅 AWS Key Management Service 定价。

服务等级协议

AWS Key Management Service 由定义服务可用性策略的服务等级协议提供支持。

了解更多信息

• 要了解 AWS KMS 中使用的术语和概念，请参阅 AWS KMS 概念。

• 有关 AWS KMS API 的信息，请参阅 AWS Key Management Service API Reference。有关使用不同的编程语言的示例，请参阅使用 AWS KMS API 进行编程。

• 有关 如何使用AWS KMS密码术并保护 的详细技术信息CMKs，请参阅AWS Key Management Service 加密详细信息。加密详细信息文档不描述 如何在 AWS KMS 和 中国（北京） 区域中中国 (宁夏)工作。

• 有关 AWS KMS 相关问题的帮助，请参阅 AWS Key Management Service 开发论坛。

AWS KMS AWS SDKs中的

• AWS Command Line Interface

• 适用于 .NET 的 AWS 开发工具包

• 适用于 C++ 的 AWS 开发工具包

• 适用于 Go 的 AWS 开发工具包

• AWS SDK for Java

• AWS SDK for JavaScript

• 适用于 PHP 的 AWS 开发工具包

• 适用于 Python (Boto3) 的 AWS 软件开发工具包

• 适用于 Ruby 的 AWS 开发工具包