本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理外部金鑰存放區中的 KMS 金鑰
若要在外部金鑰存放區中建立、檢視、管理、使用和排程 KMS 金鑰的刪除,您可以使用與用於其他 KMS 金鑰非常相似的程序。但是,當您在外部金鑰存放區中建立 KMS 金鑰時,您會指定外部金鑰存放區和外部金鑰。當您在外部金鑰存放區中使用 KMS 金鑰時,外部金鑰管理器將使用指定的外部金鑰執行加密和解密操作。
AWS KMS 無法建立、檢視、更新或刪除外部金鑰管理器中的任何密碼編譯金鑰。AWS KMS 從不會直接存取您的外部金鑰管理器或任何外部金鑰。所有密碼編譯操作的請求都會由您的外部金鑰存放區代理進行協調。若要在外部金鑰存放區中使用 KMS 金鑰,託管 KMS 金鑰的外部金鑰存放區必須連接至其外部金鑰存放區代理。
支援的功能
除了本節所討論的程序,您還可以對外部金鑰存放區中的 KMS 金鑰執行下列操作:
不支援的功能
-
外部金鑰存放區僅支援對稱加密 KMS 金鑰。您無法在外部金鑰存放區中建立 HMAC KMS 金鑰或非對稱 KMS 金鑰。
-
GenerateDataKeyPair和GenerateDataKeyPairWithoutPlaintext不支援外部金鑰存放區中的 KMS 金鑰。
-
您無法使用 AWS CloudFormation 範本在外部金鑰存放區中建立外部金鑰存放區或 KMS 金鑰。
-
外部金鑰存放區不支援多區域金鑰。
-
外部金鑰存放區不支援具有匯入金鑰材料的 KMS 金鑰。
-
外部金鑰存放區中的 KMS 金鑰不支援自動金鑰輪換。