本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS CloudHSM 金鑰存放區中的 KMS 金鑰
在 AWS CloudHSM 金鑰存放區中建立對稱加密 KMS 金鑰之後,您可以將它用於下列密碼編譯操作:
自訂金鑰存放區不支援產生非對稱資料金鑰配對GenerateDataKeyPair和GenerateDataKeyPairWithoutPlaintext的作業。
在請求中使用您的 KMS 金鑰時,請依其 ID 或別名來識別 KMS 金鑰;您不需要指定 AWS CloudHSM 金鑰存放區或 AWS CloudHSM 叢集。回應包含為針對任何對稱加密 KMS 金鑰所傳回的相同欄位。
不過,當您使用 AWS CloudHSM 金鑰存放區中的 KMS 金鑰時,密碼編譯操作完全是在與 AWS CloudHSM 金鑰存放區相關聯的 AWS CloudHSM 叢集內執行。操作會使用叢集內與您選擇的 KMS 金鑰相關聯的金鑰材料。
但必須符合以下條件,才有可能這樣做。
-
KMS 金鑰的金鑰狀態必須是
Enabled。若要尋找金鑰狀態,請使用AWS KMS主控台中的 [狀態KeyState] 欄位或DescribeKey回應中的欄位。 -
AWS CloudHSM 金鑰存放區必須連接到其 AWS CloudHSM 叢集。其在AWS KMS控制台或DescribeCustomKeyStores響應
ConnectionState中的狀態必須是CONNECTED。 -
與自訂金鑰存放區相關聯的 AWS CloudHSM 叢集至少必須包含一個作用中的 HSM。若要尋找叢集中作用中 HSM 的數目,請使用AWS KMS主控台、AWS CloudHSM主控台或DescribeClusters作業。
-
AWS CloudHSM 叢集必須包含 KMS 金鑰的金鑰材料。如果已從叢集刪除金鑰資料,或 HSM 是從不含金鑰資料的備份所建立,則密碼編譯操作會失敗。
如果不符合這些條件,密碼編譯操作會失敗,且 AWS KMS 會傳回 KMSInvalidStateException 例外狀況。一般而言,您只需要重新連接 AWS CloudHSM 金鑰存放區。如需其他說明,請參閱如何修正失效的 KMS 金鑰。
在 AWS CloudHSM 金鑰存放區中使用 KMS 金鑰時,請注意每個 AWS CloudHSM 金鑰存放區中的 KMS 金鑰會針對密碼編譯操作共用自訂金鑰存放區請求配額。如果您超過配額,則 AWS KMS 會傳回 ThrottlingException。如果與 AWS CloudHSM 金鑰存放區相關聯的 AWS CloudHSM 叢集正在處理許多命令,包括與 AWS CloudHSM 金鑰存放區無關的命令,您甚至會在較低的速率時收到 ThrottlingException。如果您收到任何請求的 ThrottlingException,請降低請求速率,然後再試一次命令。如需自訂金鑰存放區配額的詳細資訊,請參閱 自訂金鑰存放區請求配額。
