本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS KMS 中的非對稱金鑰
AWS KMS 支援代表數學上相關的 RSA、橢圓曲線 (ECC) 或 SM2 (僅限中國區域) 公有和私有金鑰對的非對稱 KMS 金鑰。這些金鑰對會在已通過 FIPS 140-2 密碼編譯模組驗證計劃
您可以在自己的 AWS 帳戶 帳戶中建立及管理非對稱 KMS 金鑰,包括設定金鑰政策、IAM 政策和控制 KMS 金鑰存取權的授予,以及啟用和停用 KMS 金鑰、建立標籤和別名與刪除 KMS 金鑰。您可以在 AWS CloudTrail 日誌 中的 AWS 內稽核使用或管理非對稱 KMS 金鑰的所有操作。
AWS KMS 也提供非對稱資料金鑰對,旨在用於 AWS KMS 以外的用戶端密碼編譯。非對稱資料金鑰對的私有金鑰受 AWS KMS 的對稱加密 KMS 金鑰 保護。
本主題說明非對稱 KMS 金鑰的運作方式、與其他 KMS 金鑰的不同之處,以及如何決定採用何種 KMS 金鑰類型來保護資料。並且說明非對稱資料金鑰對的運作方式,以及在 AWS KMS 以外的使用方式。
區域
AWS KMS 支援的所有 AWS 區域 區域都支援非對稱 KMS 金鑰和非對稱資料金鑰對。
進一步了解
-
若要建立非對稱 KMS 金鑰,請參閱 建立非對稱 KMS 金鑰。若要建立對稱加密 KMS 金鑰,請參閱建立金鑰。
-
若要建立多區域非對稱 KMS 金鑰,請參閱建立多區域金鑰。
-
若要了解 KMS 金鑰是對稱還是非對稱,請參閱 識別非對稱 KMS 金鑰。
-
如需適用每種 KMS 金鑰類型的 AWS KMS API 操作比較表,請參閱 金鑰類型參考。
-
若要控制對帳戶中主體可用於 KMS 金鑰和資料金鑰的金鑰規格、金鑰用途、加密演算法和簽署演算法的存取,請參閱 AWS KMS 條件鍵。
-
若要了解適用不同 KMS 金鑰類型的請求配額,請參閱 請求配額。
-
若要了解如何使用非對稱 KMS 金鑰簽署訊息並驗證簽章,請參閱 AWS 安全部落格中的使用 AWS KMS 新的非對稱金鑰功能進行數位簽署
。
非對稱 KMS 金鑰
您可以在 AWS KMS 中建立非對稱 KMS 金鑰。非對稱 KMS 金鑰表示以數學方式相關的公有金鑰和私有金鑰對。您可以將公有金鑰提供給任何人,即使不受信任的人也可以,但私有金鑰則一定要保管好。
在非對稱 KMS 金鑰中,私有金鑰是在 AWS KMS 中建立,且絕不會讓 AWS KMS 出現未加密狀況。若要使用私有金鑰,您必須呼叫 AWS KMS。您可以透過呼叫 AWS KMS API 操作,以在 AWS KMS 內使用公有金鑰。或者,您也可以下載公有金鑰,在 AWS KMS 以外使用。
如果您的使用案例要求無法呼叫 AWS KMS 的使用者在 AWS 外部加密,非對稱 KMS 金鑰是很好的選擇。不過,如果您要建立 KMS 金鑰來加密您在 AWS 服務中存放或管理的資料,則請使用對稱加密 KMS 金鑰。與 AWS KMS 整合的 AWS 服務
AWS KMS 支援三種類型的非對稱 KMS 金鑰。
-
RSA KMS 金鑰:具有 RSA 金鑰對的 KMS 金鑰,可用於加密和解密或簽署和驗證 (但不能同時使用)。AWS KMS 支援數種金鑰長度,可滿足不同的安全需求。
-
橢圓曲線 (ECC) KMS 金鑰:具有橢圓曲線金鑰對的 KMS 金鑰對,可用於簽署和驗證。AWS KMS 支援數種常用的曲線。
-
SM2 KMS 金鑰 (僅限中國區域):具有 SM2 金鑰對的 KMS 金鑰,可用於加密和解密或簽署和驗證 (但不能同時使用)。
如需有關如何選擇非對稱金鑰組態的說明,請參閱選擇一個 KMS 金鑰類型。如需有關 AWS KMS 支援之 RSA KMS 金鑰的加密和簽署演算法技術詳細資訊,請參閱 RSA 金鑰規格。如需有關 AWS KMS 支援之 ECC KMS 金鑰的簽署演算法技術詳細資訊,請參閱橢圓曲線金鑰規格。如需有關 AWS KMS 支援之 SM2 KMS 金鑰 (僅限中國區域) 的加密和簽署演算法技術詳細資訊,請參閱 SM2 金鑰規格。
如需對稱和非對稱 KMS 金鑰執行之操作的比較表,請參閱比較對稱和非對稱 KMS 金鑰。如需判斷 KMS 金鑰是對稱還是不對稱的說明,請參閱 識別非對稱 KMS 金鑰。
區域
AWS KMS 支援的所有 AWS 區域 區域都支援非對稱 KMS 金鑰和非對稱資料金鑰對。