本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Key Management Service
AWS Key Management Service (AWS KMS) 是一種受管服務,可讓您輕鬆地建立和控制用來保護資料的密碼編譯金鑰。AWS KMS 使用硬體安全模組 (HSM) 根據 FIPS 140-2 密碼模組驗證計畫
AWS KMS 已與大部分加密資料的其他 AWS 服務
您可以使用 AWS KMS API 來建立和管理 KMS 金鑰和特殊功能,例如自訂金鑰存放區,以及在密碼編譯操作中使用 KMS 金鑰。如需詳細資訊,請參閱 AWS Key Management Service API 參考。
您可以建立並管理您的 AWS KMS keys:
您可以在密碼編譯操作中使用 KMS 金鑰。如需範例,請參閱 對 AWS KMS API 進行程式設計。
-
使用對稱或非對稱 KMS 金鑰加密、解密和重新加密資料
-
使用非對稱 KMS 金鑰簽署和驗證訊息。
-
產生和驗證 HMAC 代碼。
-
產生適合加密應用程式的隨機數字。
您也可以使用 AWS KMS 的進階功能。
-
建立多區域金鑰,其相當於相同 KMS 金鑰在不同 AWS 區域 中的副本。
-
將密碼編譯材料匯入至 KMS 金鑰。
-
在 AWS CloudHSM 叢集提供技術的 AWS CloudHSM 金鑰存放區中建立 KMS 金鑰。
-
在 AWS 之外的密碼編譯金鑰所支援的外部金鑰存放區中建立 KMS 金鑰。
-
透過 VPC 的私有端點直接連線到 AWS KMS。
-
使用混合式後量子 TLS 為您傳送至 AWS KMS 的資料提供前瞻性傳輸中加密。
透過 AWS KMS,您可對加密資料的存取擁有更多的掌控權。您可以直接在應用程式中使用金鑰管理和加密功能,或者透過與 AWS KMS 整合的 AWS 服務。不論您是撰寫 AWS 適用的應用程式或者使用 AWS 服務,AWS KMS 都可讓您維持控制誰能夠使用您的 AWS KMS keys,以及取得加密資料的存取權。
AWS KMS 與 AWS CloudTrail 整合,這項服務會將日誌檔案傳送到您指定的 Amazon S3 儲存貯體。透過使用, CloudTrail 您可以監控和調查 KMS 金鑰的使用方式和時間,以及使用者。
AWS 區域 中的 AWS KMS
支援 AWS KMS 的 AWS 區域 會列在 AWS Key Management Service 端點和配額中。如果 AWS KMS 支援的 AWS 區域 中不支援某個 AWS KMS 功能,該功能的相關主題中會描述區域性差異。
AWS KMS 定價
與其他 AWS 產品一樣,使用 AWS KMS 不需要合同或最低購買額。如需關於 AWS KMS 定價的詳細資訊,請參閱 AWS Key Management Service 定價
服務水準協議
定義服務可用性政策的服務水準協議
進一步了解
-
若要了解 AWS KMS 中的術語和概念,請參閱 AWS KMS 概念。
-
如需 AWS KMS API 的資訊,請參閱 AWS Key Management Service API 參考。如需不同程式設計語言的範例,請參閱 對 AWS KMS API 進行程式設計。
-
若要了解如何使用 AWS CloudFormation 範本建立和管理金鑰和別名,請參閱 透過 AWS CloudFormation 建立 AWS KMS 資源 和《AWS CloudFormation 使用者指南》中的AWS Key Management Service 資源類型參考。
-
如需 AWS KMS 如何使用密碼編譯和保護 KMS 金鑰的詳細技術資訊,請參閱 AWS Key Management Service 密碼編譯詳細資訊。密碼編譯詳細資訊文件並未描述 AWS KMS 在中國 (北京) 和中國 (寧夏) 區域的運作方式。
-
如需每個 AWS 區域 的 AWS KMS 端點清單 (包含 FIPS 端點),請參閱《AWS 一般參考》AWS Key Management Service 主題的服務端點。
-
如需有關 AWS KMS 問題的說明,請參閱 AWS Key Management Service開發論壇
。
AWS SDK 中的 AWS KMS
