AWS Key Management Service

AWS Key Management Service（AWS KMS）是一项托管式服务，可让您轻松创建和控制用于保护您的数据的加密密钥。AWS KMS 使用硬件安全模块（HSM）根据 FIPS 140-2 加密模块验证计划保护和验证您的 AWS KMS keys。中国（北京）和中国（宁夏）区域不支持 FIPS 140-2 加密模块验证计划。AWS KMS 使用获得 OSCCA 认证的 HSM 来保护中国区域的 KMS 密钥。

AWS KMS 与大多数用于加密数据的其他 AWS 服务集成。AWS KMS 还与 AWS CloudTrail 集成以记录使用 KMS 密钥满足审计、法规和合规性需求的情况。

您可以使用 AWS KMS API 来创建和管理 KMS 密钥和特殊功能，如自定义密钥存储，并在加密操作中使用 KMS 密钥。有关详细信息，请参阅 AWS Key Management Service API 引用。

您可以创建和管理您的 AWS KMS keys：

• 创建、编辑和查看对称和非对称 KMS 密钥，包括 HMAC 密钥。

• 使用密钥策略、IAM policy 和授权控制对您的 KMS 密钥的访问。AWS KMS 支持基于属性的访问权限控制（ABAC）。您还可以通过使用条件键来优化策略。

• 创建、删除、列出和更新别名，即您的 KMS 密钥的友好名称。您还可以使用别名来控制对您的 KMS 密钥的访问。

• 标记您的 KMS 密钥以进行识别、自动化和成本跟踪。您还可以使用标签来控制对您的 KMS 密钥的访问。

• 启用和禁用 KMS 密钥。

• 启用和禁用 KMS 密钥中加密材料的自动轮换。

• 删除 KMS 密钥来完成密钥生命周期。

可以在加密操作中使用您的 KMS 密钥。有关示例，请参阅 使用 AWS KMS API 进行编程。

• 使用对称或非对称 KMS 密钥对数据进行加密、解密和重新加密。

• 使用非对称 KMS 密钥对消息进行签名和验证。

• 生成可导出的对称数据密钥和非对称数据密钥对。

• 生成并验证 HMAC 代码。

• 生成适用于加密应用程序的随机数。

您还可以使用 AWS KMS 的高级功能

• 创建多区域密钥，它们就像是不同 AWS 区域 中的相同 KMS 密钥副本。

• 将加密材料导入 KMS 密钥。

• 在您的 AWS CloudHSM 集群支持的 AWS CloudHSM 密钥存储中创建 KMS 密钥。

• 在您的 AWS 之外的加密密钥支持的外部密钥存储中创建 KMS 密钥。

• 通过 VPC 中的私有端点直接连接到 AWS KMS。

• 使用混合后量子 TLS 可对发送到 AWS KMS 的数据进行前瞻性的传输中加密。

通过使用 AWS KMS，您能够更好地控制对加密数据的访问权限。您可以直接在应用程序中或通过与 AWS KMS 集成的 AWS 服务使用密钥管理和加密功能。无论您是在为 AWS 编写应用程序，还是在使用 AWS 服务，您都可以借助 AWS KMS 控制哪些人可以使用 AWS KMS keys 钥并访问您的加密数据。

AWS KMS 已与 AWS CloudTrail 集成，后者是一项将日志文件传输到您指定的 Amazon S3 存储桶的服务。通过 CloudTrail，您可以监控和调查哪些人在何时通过何种方式使用了您的 KMS 密钥。

AWS KMS中的AWS 区域

支持 AWS KMS 的 AWS 区域 中列出了 AWS Key Management Service 终端节点和配额。如果 AWS KMS 支持的 AWS 区域 中不支持某项 AWS KMS 功能，则在有关该功能的主题中描述区域差异。

AWS KMS 定价

与其他 AWS 产品一样的是，使用 AWS KMS 不需要合同或最低购买。有关 AWS KMS 定价的更多信息，请参阅 AWS Key Management Service 定价。

服务等级协议

AWS Key Management Service 由定义服务可用性策略的服务等级协议提供支持。

了解更多

• 要了解 AWS KMS 中使用的术语和概念，请参阅 AWS KMS 概念。

• 有关 AWS KMS API 的更多信息，请参阅 AWS Key Management Service API 参考。有关使用不同的编程语言的示例，请参阅使用 AWS KMS API 进行编程。

• 要了解如何使用 AWS CloudFormation 模板来创建和管理密钥和别名，请参阅 AWS CloudFormation 用户指南中的 使用 AWS CloudFormation 创建 AWS KMS 资源 和AWS Key Management Service资源类型参考。

• 有关 AWS KMS 如何使用密码术并保护 KMS 密钥的详细技术信息，请参阅 AWS Key Management Service 加密详细信息。加密详细信息文档没有描述 AWS KMS 如何在中国（北京）和中国（宁夏）区域工作。

• 如需每个 AWS 区域 中的 AWS KMS 端点的列表，包括 FIPS 端点，请参阅《AWS 一般参考》的 AWS Key Management Service 主题中的 Service endpoints。

• 有关 AWS KMS 相关问题的帮助，请参阅 AWS Key Management Service 论坛。

AWS 开发工具包中的 AWS KMS

• AWS Command Line Interface

• AWS SDK for .NET

• AWS SDK for C++

• AWS SDK for Go

• AWS SDK for Java

• AWS SDK for JavaScript

• AWS SDK for PHP

• AWS SDK for Python (Boto3)

• AWS SDK for Ruby