本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
关于 AWS KMS keys
AWS Key Management Service (AWS KMS) 允许您创建可用于传递给服务的数据的加密密钥。主要资源类型是 KMS 密钥,其中有三种类型:
-
高级加密标准 (AES) 对称密钥 — 这些是在 AES 的 Galois 计数器模式 (GCM) 模式下使用的 256 位密钥。这些密钥为大小小于 4 KB 的数据提供经过身份验证的加密和解密。这是最常见的密钥类型。它用于保护其他数据密钥,例如您的应用程序中使用的数据密钥或代表 AWS 服务 您加密数据的密钥。
-
RSA 或椭圆曲线非对称密钥 — 这些密钥有各种大小可供选择,并支持多种算法。根据算法的不同,它们可用于加密和解密以及签名和验证操作。
-
用于执行基于哈希的消息身份验证码 (HMAC) 操作的对称密钥-这些密钥是 256 位密钥,用于签名和验证操作。
无法以明文形式从服务中导出 KMS 密钥。它们由服务使用的硬件安全模块 (HSMs) 生成,并且只能在其中使用。这是防止密钥泄露的基本安全属性。 AWS KMS 在中国(北京)和中国(宁夏)地区, HSMs 它们已获得OSCCA 认
您可以使用各种加密 APIs 方法向提交数据,以便使用 KMS 密钥执行加密、解密、签名或验证操作。 AWS KMS 您也可以选择让 KMS 密钥充当密钥加密密钥,以保护称为数据密钥的密钥类型。可以从中导出数据密钥 AWS KMS 以在本地应用程序中使用 AWS 服务 ,也可以导出代表您保护数据的应用程序。数据密钥的使用在所有密钥管理系统中都很常见,通常被称为信封加密。信封加密允许在处理您的敏感数据的远程系统上使用数据密钥,而不必将您的敏感数据直接发送到 KMS 密钥下 AWS KMS 进行加密。
有关更多信息 AWS KMS keys,请参阅 AWS KMS 文档中的AWS KMS 密码学基础知识。
