本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
關於 AWS KMS keys
AWS Key Management Service (AWS KMS) 可讓您建立密碼編譯金鑰,可用於您傳遞給服務的資料。主要資源類型是 KMS 金鑰,其中有三種類型:
-
進階加密標準 (AES) 對稱金鑰 – 這些是 256 位元金鑰,用於 AES 的 Galois 計數器模式 (GCM) 模式。這些金鑰提供大小小於 4 KB 的資料驗證加密和解密。這是最常見的金鑰類型。它用於保護其他資料金鑰,例如您的應用程式中使用的資料 AWS 服務 金鑰,或代表您加密資料的資料金鑰。
-
RSA 或橢圓曲線非對稱索引鍵 – 這些索引鍵提供各種大小,並支援許多演算法。根據演算法,它們可用於加密和解密以及簽署和驗證操作。
-
用於執行雜湊型訊息驗證碼 (HMAC) 操作的對稱金鑰 – 這些金鑰是用於簽署和驗證操作的 256 位元金鑰。
無法從服務以純文字匯出 KMS 金鑰。它們是由 產生,並且只能在 服務使用的硬體安全模組 HSMs) 內使用。這是 的基本安全屬性 AWS KMS ,可防止金鑰遭到入侵。在中國 (北京) 和中國 (寧夏) 區域,這些 HSMs已經過 OSCCA
您可以使用 AWS KMS 各種密碼編譯 APIs 將資料提交至 ,以使用 KMS 金鑰執行加密、解密、簽署或驗證操作。您也可以選擇讓 KMS 金鑰充當金鑰加密金鑰,以保護稱為資料金鑰的金鑰類型。您可以從 匯出資料金鑰 AWS KMS ,以便在本機應用程式或代表保護 AWS 服務 資料的 中使用。資料金鑰的使用在所有金鑰管理系統中都很常見,通常稱為信封加密。信封加密允許在處理您的敏感資料的遠端系統上使用資料金鑰,而不必直接將敏感資料傳送到 AWS KMS 以進行 KMS 金鑰下的加密。
如需詳細資訊,請參閱 AWS KMS 文件中的 AWS KMS keys和 AWS KMS 密碼編譯基本概念。
