密钥类型引用 - AWS Key Management Service

密钥类型引用

不过,对于不同类型的 KMS 密钥,AWS KMS 支持不同功能。例如,只能使用对称加密 KMS 密钥生成对称数据密钥非对称数据密钥对。此外,只有对称加密 KMS 密钥支持导入密钥材料自动密钥轮换,并且在自定义密钥存储中只能创建对称加密 KMS 密钥。

除了此表中的信息外,KMS 密钥还可用于以下 AWS KMS 特殊功能。

  • 多区域密钥

    • 所有支持对称 KMS 密钥的 API 操作也支持多区域对称 KMS 密钥。所有支持非对称 KMS 密钥的 API 操作也支持多区域非对称 KMS 密钥。

    • 您可创建具有导入密钥材料的多区域密钥。

    • 您不能在自定义密钥存储中创建多区域密钥。

  • 导入的密钥材料

    • 只有对称加密 KMS 密钥可具有导入的密钥材料。

    • 非对称 KMS 密钥、HMAC KMS 密钥和自定义密钥存储中的 KMS 密钥不能具有导入的密钥材料。

    • 多区域对称加密密钥可具有导入的密钥材料。

    • 带有导入密钥材料的 KMS 密钥不支持自动密钥轮换 (EnableKeyRotationDisableKeyRotation)。

  • 自定义密钥存储

    • 自定义密钥存储仅支持对称加密 KMS 密钥。

    • 自定义密钥存储中的 KMS 密钥不支持对非对称密钥对 (GenerateDataKeyPairGenerateDataKeyPairWithoutPlaintext) 进行对称操作。

    • 自定义密钥存储中的 KMS 密钥不支持自动密钥转换 (EnableKeyRotationDisableKeyRotation)。

    • 您不能在自定义密钥存储中创建多区域密钥。

下表列出了可用于创建和管理每种类型的 KMS 密钥的 AWS KMS 操作。如果对 KMS 密钥执行不受支持的操作,则该操作将失败。

您可能需要水平或垂直滚动才能查看此表中的所有数据。

AWS KMS API 操作 对称加密 KMS 密钥 HMAC KMS 密钥 非对称 KMS 密钥 (ENCRYPT_DECRYPT) 非对称 KMS 密钥 (SIGN_VERIFY)

CancelKeyDeletion

CreateAlias

CreateGrant

CreateKey

- 拥有导入密钥材料(Origin (源) = EXTERNAL)

 

- 在自定义密钥存储中 (Origin = AWS_CLOUDHSM)

 

- 创建多区域主密钥

Decrypt

DeleteAlias

DeleteImportedKeyMaterial

- 在多区域密钥受支持

- 在非对称 KMS 密钥、HMAC KMS 密钥或自定义密钥存储中的 KMS 密钥中不受支持。

DescribeKey

DisableKey

DisableKeyRotation

- 在非对称 KMS 密钥、HMAC KMS 密钥、自定义密钥存储中的 KMS 密钥,以及具有导入的密钥材料的 KMS 密钥中不受支持。

EnableKey

EnableKeyRotation

- 在非对称 KMS 密钥、HMAC KMS 密钥、自定义密钥存储中的 KMS 密钥,以及具有导入的密钥材料的 KMS 密钥中不受支持。

Encrypt

GenerateDataKey

GenerateDataKeyPair

- 在非对称 KMS 密钥、HMAC KMS 密钥或自定义密钥存储中的 KMS 密钥中不受支持。

[1]

GenerateDataKeyPairWithoutPlaintext

- 在非对称 KMS 密钥、HMAC KMS 密钥或自定义密钥存储中的 KMS 密钥中不受支持。

[1]

GenerateDataKeyWithoutPlaintext

GenerateMac

GetKeyPolicy

GetKeyRotationStatus

KeyRotationEnabled 将始终为 false。)

KeyRotationEnabled 将始终为 false。)

KeyRotationEnabled 将始终为 false。)

GetParametersForImport

- 在多区域密钥受支持

- 在非对称 KMS 密钥、HMAC KMS 密钥、自定义密钥存储中的 KMS 密钥,以及具有导入的密钥材料的 KMS 密钥中不受支持。

GetPublicKey

ImportKeyMaterial

- 在多区域密钥受支持

- 在非对称 KMS 密钥、HMAC KMS 密钥、自定义密钥存储中的 KMS 密钥,以及具有导入的密钥材料的 KMS 密钥中不受支持。

ListAliases

ListGrants

ListKeyPolicies

ListResourceTags

ListRetirableGrants

PutKeyPolicy

ReEncrypt

ReplicateKey

- 仅在多区域密钥上有效

RetireGrant

RevokeGrant

ScheduleKeyDeletion

Sign

TagResource

UntagResource

UpdateAlias

当前 KMS 密钥和新的 KMS 密钥必须是相同的类型(要么都是对称的,要么都是非对称的),并且它们必须用于相同的密钥用途

UpdateKeyDescription

UpdateReplicaRegion

- 仅在多区域密钥上有效

验证

VerifyMac

[1] GenerateDataKeyPairGenerateDataKeyPairWithoutPlaintext 生成受对称加密 KMS 密钥保护的非对称数据密钥对。