概念

了解 AWS 付款密碼學中使用的基本術語和概念，以及如何使用它們來幫助您保護數據。

別名

與 AWS 付款密碼編譯金鑰相關聯的使用者易記名稱。在許多 AWS 付款密碼編譯 API 作業中，別名可與金鑰 ARN 互換使用。別名允許旋轉或以其他方式更改密鑰，而不會影響您的應用程序代碼。別名名稱是最多 256 個字元的字串。它可唯一識別帳戶和區域內相關聯的 AWS 付款密碼編譯金鑰。在 AWS 付款密碼學中，別名一律以alias/開頭。

別名的格式如下：

alias/<alias-name>

例如：

alias/sampleAlias2

金鑰 ARN

關鍵 ARN 是 AWS 支付密碼學中密鑰條目的 Amazon 資源名稱（ARN）。它是 AWS 付款密碼編譯金鑰的唯一、完全合格的識別碼。一種關鍵 ARN 包含一個 AWS 帳戶、區域及一隨機產生的 ID。ARN 與關鍵材料不相關或衍生出來。由於在建立或匯入作業期間會自動指派這些值，因此這些值不是冪等的。多次匯入相同的金鑰會產生多個金鑰 ARN，並具有自己的生命週期。

金鑰 ARN 的格式如下：

arn:<partition>:payment-cryptography:<region>:<account-id>:alias/<alias-name>

以下是 ARN 金鑰範例：

arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h

金鑰識別碼

密鑰標識符是對密鑰的參考，其中一個（或多個）是 AWS 支付密碼操作的典型輸入。有效的密鑰標識符可以是密鑰 Arn 或密鑰別名。

AWS 付款密碼編譯金鑰

AWS 支付密碼編譯密鑰（密鑰）用於所有加密功能。您可以使用 create key 指令直接產生金鑰，也可以透過呼叫金鑰匯入將金鑰新增至系統。金鑰的來源可以透過檢視屬性來決定 KeyOrigin。 AWS 支付密碼學還支持在加密操作期間使用的派生或中間密鑰，例如 DUKPT 使用的密鑰。

這些鍵在創建時定義了不可變和可變的屬性。屬性 (例如演算法、長度和用法) 是在建立時定義的，且無法變更。其他，例如生效日期或到期日，可以修改。如需AWS 付款密碼編譯金鑰屬性的完整清單，請參閱 AWS 付款密碼編譯 API 參考資料。

AWS 付款密碼編譯金鑰具有金鑰類型，主要由 ANSI X9 TR 31 定義，這些金鑰類型主要由 ANSI X9 TR 31 定義，將其使用限制在 PCI PIN 第 3.1 版要求 19 中所指定。

當儲存、與其他帳戶共用，或按照 PCI PIN v3.1 要求 18-3 中的指定匯出時，屬性會繫結至使用金鑰區塊的金鑰。

在 AWS 付款密碼編譯平台中使用稱為金鑰 Amazon 資源名稱 (ARN) 的唯一值來識別金鑰。

注意

金鑰ARN會在初始建立金鑰或匯入 AWS 付款密碼編譯服務時產生。因此，如果使用匯入金鑰功能多次新增相同的金鑰材料，相同的金鑰材料將位於多個金鑰下，但每個金鑰的生命週期都不同。