透過 AWS CloudFormation 建立 AWS KMS 資源

AWS Key Management Service 已與 AWS CloudFormation 整合，這項服務可協助您建立 AWS 資源的模型和設定，以減少建立和管理資源和基礎設施的時間。您可以建立一個範本，描述 KMS 金鑰和別名，然後 AWS CloudFormation 會為您佈建和設定那些資源。如需AWS KMS支援的相關資訊 CloudFormation，請參閱使AWS CloudFormation用者指南中的 KMS 資源類型參考。

當您使用 AWS CloudFormation 時，您可以重複使用您的範本，重複、一致的設定您的 AWS KMS 資源。只需描述一次您的資源，即可在多個 AWS 帳戶 與區域內重複佈建相同資源。

若要佈建和設定 AWS KMS 和其他 AWS 服務的資源，您必須了解 AWS CloudFormation 範本。範本是以 JSON 或 YAML 格式化的文本檔案。而您亦可以透過這些範本的說明，了解欲在 AWS CloudFormation 堆疊中佈建的資源。如果您不熟悉 JSON 或 YAML，您可以使用 AWS CloudFormation 設計器協助您開始使用 AWS CloudFormation 範本。如需更多詳細資訊，請參閱 AWS CloudFormation 使用者指南 中的 什麼是 AWS CloudFormation 設計器？。

區域

AWS KMS CloudFormation 支援的所有區域都支援AWS CloudFormation資源。

AWS CloudFormation 範本中的 AWS KMS 資源

AWS KMS 支援以下 AWS CloudFormation 資源。

• AWS::KMS::Key 會建立對稱或非對稱 KMS 金鑰。您可以使用此資源來建立對稱或非對稱多區域主要 KMS 金鑰。若要建立多區域複本金鑰，請使用 AWS::KMS::ReplicaKey 資源。您無法使用此資源建立具有匯入金鑰材料的 KMS 金鑰或自訂金鑰存放區的 KMS 金鑰。

• AWS::KMS::Alias 會建立別名，並且讓它與 KMS 金鑰建立關聯。可以在範本中定義 KMS 金鑰，也可以由其他機制建立。

• AWS::KMS::ReplicaKey 會建立多區域複本金鑰。若要建立多區域主要金鑰，請使用 AWS::KMS::Key 資源。您無法使用此資源來複寫具有匯入金鑰材料的多區域金鑰。如需多區域金鑰的詳細資訊，請參閱 AWS KMS 中的多區域金鑰。

重要

如果您變更了現有 KMS 金鑰上 KeyUsage、KeySpec 或 MultiRegion 屬性的值，則會排定刪除現有 KMS 金鑰，並用指定的值建立新的 KMS 金鑰。

排定刪除後，現有的 KMS 金鑰會變成無法使用。如果您沒有在 AWS CloudFormation 之外取消現有 KMS 金鑰的排定刪除，則在刪除 KMS 金鑰時，所有在現有 KMS 金鑰下加密的資料都將無法恢復。

範本建立的 KMS 金鑰是您 AWS 帳戶 中的實際資源。授權的主體可以透過範本、AWS KMS 主控台或 AWS KMS API 使用和管理範本所建立的 KMS 金鑰。當您從範本刪除 KMS 金鑰時，系統會使用您預先指定的等待期間排程刪除 KMS 金鑰。

例如，您可以使用 AWS CloudFormation 範本來建立測試 KMS 金鑰，其中包含您偏好的主要政策、金鑰規格、金鑰使用方式、別名和標籤。您可以透過測試套件執行金鑰、檢閱結果，然後使用範本來排程要刪除的測試金鑰。稍後，您可以再次執行範本，以建立具有相同屬性的測試金鑰。

或者，您可以使用 AWS CloudFormation 範本來定義符合商務規則和安全標準的特定 KMS 金鑰組態。然後，您可以在需要建立 KMS 金鑰的任何時候使用該範本。您無需擔心金鑰設定錯誤。如果您偏好的組態出現變更，則您可以使用範本來更新 KMS 金鑰。例如，範本可讓您輕鬆地以程式設計方式啟用範本定義之所有 KMS 金鑰上的自動金鑰輪換。

如需更多關於 AWS KMS 的詳細資訊 (包括範例)，請參閱《AWS CloudFormation 使用者指南》中的 KMS 資源類型參考。

進一步了解 AWS CloudFormation

如需進一步了解 AWS CloudFormation，請參閱下列資源：

• AWS CloudFormation

• AWS CloudFormation使用者指南

• AWS CloudFormation API 參考

• AWS CloudFormation 命令列介面使用者指南