基本概念

學習一些基本術語與概念將協助您充分利用 AWS Key Management Service。

AWS KMS key

注意

AWS KMS 正在使用 AWS KMS key 和 KMS 金鑰取代術語客戶主要金鑰 (CMK)。概念並沒有變更。為了防止重大變更，AWS KMS 會保留此術語的一些變化。

代表金鑰階層頂端的邏輯金鑰。賦予 KMS 金鑰一個 Amazon Resource Name (ARN)，其中包含唯一金鑰識別符或金鑰 ID。AWS KMS keys 有三種類型：

• 客戶管理的金鑰 – 客戶建立並控制客戶受管金鑰的生命週期和重要政策。針對這些金鑰發出的所有要求都會記錄為 CloudTrail 事件。

• AWS 受管金鑰 – AWS 會建立並控制 AWS 受管金鑰 的生命週期和金鑰政策，是客戶 AWS 帳戶 中的資源。客戶可以檢視的存取政策和 CloudTrail 事件AWS 受管金鑰，但無法管理這些金鑰的任何層面。針對這些金鑰發出的所有要求都會記錄為 CloudTrail 事件。

• AWS 擁有的金鑰 – 這些金鑰是由 AWS 建立，並專門使用以在不同 AWS 服務之間進行內部加密操作。客戶無法掌握中的關鍵政策或AWS 擁有的金鑰使用情況 CloudTrail。

別名

與 KMS 金鑰相關聯的使用者易記名稱。別名可以在許多 AWS KMS API 操作中與金鑰 ID 交換搭配使用。

許可

連接至 KMS 金鑰的政策，用於定義金鑰的許可。預設政策允許您定義的任何主體，並允許 AWS 帳戶 新增參照金鑰的 IAM 政策。

授權

一開始預期的 IAM 主體或使用持續時間未知並因此新增至金鑰或 IAM 政策時使用 KMS 金鑰的委派許可。授權的用途之一是定義範圍下移的許可，以了解 AWS 服務可以如何使用 KMS 金鑰。在沒有直接簽署之 API 呼叫的情況下，服務可能需要使用您的金鑰代表您對加密的資料執行非同步工作。

資料金鑰

在 HSM 上產生的加密金鑰，受 KMS 金鑰保護。AWS KMS 允許授權的實體取得受 KMS 金鑰保護的資料金鑰。它們可以同時以純文字 (未加密) 資料金鑰和加密資料金鑰傳回。資料金鑰可以是對稱的或非對稱的 (同時傳回公有和私有部分)。

加密文字

AWS KMS 的加密輸出，有時也稱為客戶加密文字，以消除混淆。加密文字包含加密的資料，其中包含識別要在解密程序中使用之 KMS 金鑰的其他資訊。加密的資料金鑰是使用 KMS 金鑰時產生之加密文字的一個常見範例，但任何大小小於 4 KB 的資料都可以在 KMS 金鑰下加密，以產生加密文字。

加密內容

與受 AWS KMS 保護資訊關聯之其他資訊的鍵值對映射。AWS KMS 使用經過驗證的加密來保護資料金鑰。加密內容會納入 AWS KMS 加密文字中已驗證加密的 AAD 中。此內容資訊是選用的，不會在請求金鑰 (或加密操作) 時傳回。但如果使用，則需要此內容值才能成功完成解密操作。加密內容預期用於提供其他經驗證的資訊。此資訊可協助您強制執行原則並包含在AWS CloudTrail 記錄檔中。例如，您可以使用 {"key name":"satellite uplink key"} 的鍵值對來命名資料金鑰。後續使用的金鑰會建立 AWS CloudTrail 項目，其中包含 "key name":"satellite uplink key"。此額外資訊可提供有用的內容，以了解為何使用指定的 KMS 金鑰。

公有金鑰

使用非對稱密碼 (RSA 或橢圓曲線) 時，公有金鑰是公有-私有金鑰對的「公有元件」。公有金鑰可以共用並分配至需要為公有-私有金鑰對擁有者加密資料的實體。對於數位簽章操作，公有金鑰用於驗證簽章。

私有金鑰

使用非對稱密碼 (RSA 或橢圓曲線) 時，私有金鑰是公有-私有金鑰對的「私有元件」。私有金鑰用於解密資料或建立數位簽章。與對稱 KMS 金鑰類似，私有金鑰會在 HSM 中加密。其只會解密到 HSM 的短期記憶體中，並且僅在處理您的密碼編譯請求所需的時間內。