控制目標 6：以安全的方式管理金鑰。

要求 21：金鑰儲存和與 AWS 付款密碼編譯搭配使用已評估為服務 PCI PIN 評估的一部分。對於與金鑰元件相關的儲存需求，您有責任按照 21-2 和 21-3 所述存放它們。在匯入至 服務之前和匯出自服務之後，您將需要在政策文件中描述金鑰保護機制。

要求 22： AWS 付款密碼編譯的金鑰洩露程序已評估為服務 PCI PIN 評估的一部分。您需要描述關鍵入侵偵測和回應程序，包括監控和回應來自 的通知 AWS。

要求 23： AWS 付款密碼編譯不支援變體或其他可逆金鑰計算方法。APC 主金鑰或由它們加密的金鑰絕不可供客戶使用。可逆金鑰計算的使用已評估為服務 PCI PIN 評估的一部分。

要求 24：內部秘密和私有金鑰的銷毀實務 AWS 付款密碼編譯已評估為服務 PCI PIN 評估的一部分。從 APC 匯出至 之前和匯出之後，您將需要描述金鑰的金鑰銷毀程序。關鍵元件相關的銷毀要求 (24-2.2 和 24-2.3) 仍由您負責。

要求 25：在 AWS 付款密碼編譯中存取秘密和私有金鑰，已評估為服務 PCI PIN 評估的一部分。從 AWS 付款密碼編譯匯出至 之前和匯出之後，您將需要擁有金鑰存取控制的程序和文件。

要求 26：您將需要描述對在服務之外使用之金鑰、金鑰元件或相關資料的任何存取的記錄。您的應用程式使用 服務執行的所有金鑰管理活動的日誌可透過 取得 AWS CloudTrail。

要求 27：您將需要描述在服務之外使用的金鑰、金鑰元件或相關資料的備份程序。

要求 28：使用 API 進行所有金鑰管理的程序應包括使用具有金鑰管理許可的角色，以及執行指令碼或管理金鑰的其他程式碼的核准。 AWS CloudTrail 日誌包含所有金鑰管理事件