使用 keyring

的 適用於 C 的 AWS Encryption SDK、 適用於 JavaScript 的 AWS Encryption SDK、 適用於 JAVA 的 AWS Encryption SDK、和 AWS Encryption SDK 的。 NET使用金鑰圈執行信封加密。Keyring 會產生、加密及解密資料金鑰。金鑰圈會決定保護每個訊息的唯一資料金鑰來源，以及加密該資料金鑰的包裝金鑰。您可以在加密時指定 keyring，並在解密時指定相同或不同的 keyring。您可以使用SDK提供的鑰匙圈，也可以編寫自己相容的自訂鑰匙圈。

您可以個別使用每個 keyring 或是結合 keyring 成為多重 keyring。雖然多數 keyring 可以產生、加密及解密資料金鑰，您可能想要建立僅執行一個特定操作的 keyring，例如只會產生資料金鑰的 keyring，並將該 keyring 與其他 keyring 結合使用。

我們建議您使用可保護包裝金鑰的金鑰圈，並在安全邊界內執行密碼編譯作業，例如使用永不離開 AWS Key Management Service()AWS KMS未加密 AWS KMS keys 的金 AWS KMS 鑰圈。您也可以撰寫使用儲存在硬體安全性模組 (HSMs) 中或受其他主要金鑰服務保護的包裝金鑰環。如需詳細資訊，請參閱AWS Encryption SDK 規格中的金鑰圈介面主題。

金鑰圈在 適用於 JAVA 的 AWS Encryption SDK、 適用於 Python 的 AWS Encryption SDK和 AWS 加CLI密中扮演主要金鑰和主要金鑰提供者的角色。如果您使用的不同語言實作 AWS Encryption SDK 來加密和解密資料，請務必使用相容的金鑰環和主金鑰提供者。如需詳細資訊，請參閱 Keyring 相容性。

本主題說明如何使用的金鑰圈功能，以 AWS Encryption SDK 及如何選擇金鑰圈。如需建立和使用金鑰環的範例，請參閱 C 和JavaScript主題。

主題

• keyring 如何運作
• Keyring 相容性
• 選擇鑰匙圈