管理外部金鑰存放區中的 KMS 金鑰

若要在外部金鑰存放區中建立、檢視、管理、使用和排程 KMS 金鑰的刪除，您可以使用與用於其他 KMS 金鑰非常相似的程序。但是，當您在外部金鑰存放區中建立 KMS 金鑰時，您會指定外部金鑰存放區和外部金鑰。當您在外部金鑰存放區中使用 KMS 金鑰時，外部金鑰管理器將使用指定的外部金鑰執行加密和解密操作。

AWS KMS 無法建立、檢視、更新或刪除外部金鑰管理器中的任何密碼編譯金鑰。AWS KMS 從不會直接存取您的外部金鑰管理器或任何外部金鑰。所有密碼編譯操作的請求都會由您的外部金鑰存放區代理進行協調。若要在外部金鑰存放區中使用 KMS 金鑰，託管 KMS 金鑰的外部金鑰存放區必須連接至其外部金鑰存放區代理。

支援的功能

除了本節所討論的程序，您還可以對外部金鑰存放區中的 KMS 金鑰執行下列操作：

• 使用金鑰政策、IAM 政策和授予，以控制對 KMS 金鑰的存取。

• 啟用和停用 KMS 金鑰。這些動作不會影響外部金鑰管理器中的外部金鑰。

• 指派標籤並建立別名，使用屬性型存取控制 (ABAC) 授權對 KMS 金鑰的存取。

• 將 KMS 金鑰用於與 AWS KMS 整合的 AWS 服務，且這些服務支援客戶受管金鑰。

不支援的功能

• 外部金鑰存放區僅支援對稱加密 KMS 金鑰。您無法在外部金鑰存放區中建立 HMAC KMS 金鑰或非對稱 KMS 金鑰。

• GenerateDataKeyPair和GenerateDataKeyPairWithoutPlaintext不支援外部金鑰存放區中的 KMS 金鑰。

• 您無法使用 AWS CloudFormation 範本在外部金鑰存放區中建立外部金鑰存放區或 KMS 金鑰。

• 外部金鑰存放區不支援多區域金鑰。

• 外部金鑰存放區不支援具有匯入金鑰材料的 KMS 金鑰。

• 外部金鑰存放區中的 KMS 金鑰不支援自動金鑰輪換。

主題

• 在外部金鑰存放區中建立 KMS 金鑰
• 檢視外部金鑰存放區中的 KMS 金鑰
• 使用外部金鑰存放區中的 KMS 金鑰
• 排程從外部金鑰存放區刪除 KMS 金鑰