中的非对称密钥 AWS KMS - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

中的非对称密钥 AWS KMS

AWS KMS 支持表示数学上相关的 RSA、椭圆曲线 (ECC) 或 SM2(仅限中国区域)公钥和私钥对的非对称 KMS 密钥。这些密钥对是在经过 FIPS 140-2 加密模块验证计划认证的 AWS KMS 硬件安全模块中生成的,但中国(北京)和中国(宁夏)地区除外。私钥永远不会让 AWS KMS HSM 保持未加密状态。您可以下载公钥进行分发并在外部使用 AWS。您可以创建非对称 KMS 密钥用于加密和解密、签名和验证或获取共享密钥(必须选择一种密钥使用类型)。

您可以在中创建和管理非对称 KMS 密钥 AWS 账户,包括设置控制密钥访问权限的密钥策略、IAM 策略权、启用和禁用 KMS 密钥、创建标签别名以及删除 K MS 密钥。您可以在AWS CloudTrail 日志中审核所有使用或管理您的非对称 KMS 密钥 AWS 的操作。

AWS KMS 还提供了非对称数据密钥对,这些密钥对旨在用于外部的客户端加密。 AWS KMS非对称数据密钥对中的私有密钥由 AWS KMS中的对称加密 KMS 密钥保护。

本主题将介绍非对称 KMS 密钥的工作原理、它们与其他 KMS 密钥之间的差异,以及如何确定需要采用哪种 KMS 密钥保护数据。它还解释了非对称数据密钥对的工作原理 AWS KMS以及如何在外部使用它们。

区域

所有 AWS 区域 支持的密钥都支持非对称 KMS 密钥和非对称数据密钥对。 AWS KMS

了解更多

非对称 KMS 密钥

您可以在 AWS KMS中创建非对称 KMS 密钥。非对称 KMS 密钥表示数学上相关的公有密钥和私有密钥对。公有密钥可以交给任何人,即使他们不可靠,但私有密钥必须保密。

在非对称 KMS 密钥中,私钥是在中创建的 AWS KMS ,永远不会处于 AWS KMS 未加密状态。要使用私钥,您必须致电 AWS KMS。您可以 AWS KMS 通过调用 AWS KMS API 操作来使用其中的公钥。或者,您可以下载公钥并在外部使用 AWS KMS。

如果您的用例要求无法呼叫的用户在外部 AWS 进行加密 AWS KMS,那么非对称 KMS 密钥是一个不错的选择。但是,如果您要创建 KMS 密钥来加密您在 AWS 服务中存储或管理的数据,请使用对称加密 KMS 密钥。 AWS 与之集成的服务仅 AWS KMS使用对称加密 KMS 密钥来加密您的数据。这些服务不支持使用非对称 KMS 密钥进行加密。

AWS KMS 支持三种类型的非对称 KMS 密钥。

  • RSA KMS 密钥:带有 RSA 密钥对的 KMS 密钥,用于加密和解密或签名和验证(但不能两者兼而有之)。 AWS KMS 支持多种密钥长度,以满足不同的安全要求。

  • 椭圆曲线 (ECC) KMS 密钥:带有椭圆曲线密钥对的 KMS 密钥,用于签名和验证或派生共享密钥(但不能两者兼而有之)。 AWS KMS 支持几条常用的曲线。

  • SM2 KMS 密钥(仅限中国区域):带有 SM2 密钥对的 KMS 密钥,用于加密和解密、签名和验证或派生共享密钥(您必须选择一种密钥使用类型)。

有关选择非对称密钥配置的帮助,请参阅 选择一种 KMS 密钥类型。有关 AWS KMS 支持 RSA KMS 密钥的加密和签名算法的技术细节,请参阅 RSA 密钥规范。有关 AWS KMS 支持 ECC KMS 密钥的签名算法的技术细节,请参阅椭圆曲线密钥规范。有关 AWS KMS 支持 SM2 KMS 密钥的加密和签名算法(仅限中国区域)的技术细节,请参阅 SM2 密钥规范

有关可以对对称 KMS 密钥和非对称 KMS 密钥执行的操作的比较表格,请参阅比较对称 KMS 密钥与非对称 KMS 密钥。要获取确定 KMS 密钥是对称还是非对称的帮助,请参阅 识别非对称 KMS 密钥

区域

所有 AWS 区域 支持的密钥都支持非对称 KMS 密钥和非对称数据密钥对。 AWS KMS