本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 基本概念 学习一些基本的术语和概念将帮助您充分利用这些术语和概念 AWS Key Management Service。 **AWS KMS key** AWS KMS 正在将 “*客户主密钥 (CMK)*” 一词替换为 “*AWS KMS key*和 *KMS 密钥*”。这一概念并未改变。为了防止重大更改, AWS KMS 保留了该术语的一些变体。 表示密钥层次结构顶部的逻辑密钥。KMS 密钥将指定一个 Amazon Resource Name (ARN),其中包含唯一密钥标识符或密钥 ID。 AWS KMS keys 有三种类型: + **客户管理密钥** - 客户创建并控制客户管理密钥的生命周期和密钥策略。针对这些密钥发出的所有请求都被记录为 CloudTrail 事件。 + **AWS 托管式密钥**— AWS 创建和控制生命周期和关键策略 AWS 托管式密钥,这些策略是客户资源中的资源 AWS 账户。客户可以查看这些密钥的访问策略和 CloudTrail 事件 AWS 托管式密钥,但无法管理这些密钥的任何方面。针对这些密钥发出的所有请求都被记录为 CloudTrail 事件。 + **AWS 拥有的密钥**— 这些密钥由 AWS 创建并专门用于跨不同 AWS 服务的内部加密操作。客户无法查看中的关键策略或 AWS 拥有的密钥 使用情况 CloudTrail。 **别名** 与 KMS 密钥相关联的用户易记名称。在许多 AWS KMS API 操作中,别名可以与密钥 ID 互换使用。 **权限** 附加到 KMS 密钥的策略,用于定义密钥的权限。默认策略允许您定义的任何委托人,并 AWS 账户 允许添加引用该密钥的 IAM 策略。 **授权** 一开始不知道预期 IAM 委托人或使用持续时间,因此无法添加到密钥或 IAM 策略时,使用 KMS 密钥的委托权限。授权的用途之一是为 AWS 服务如何使用 KMS 密钥定义限定范围的权限。如果您没有直接签名的 API 调用,该服务可能需要使用您的密钥代表您对加密数据执行异步工作。 **数据密钥** 生成的加密密钥由 KMS 密钥保护。 HSMs AWS KMS 允许授权实体获取受 KMS 密钥保护的数据密钥。这些密钥可以作为明文(未加密)数据密钥和加密数据密钥返回。数据密钥可以是对称的,也可以是非对称的(返回公有部分和私有部分)。 **密文** 的加密输出 AWS KMS,有时也称为客户密文,以消除混淆。密文包含带有附加信息的加密数据,这些信息标识要在解密过程中使用的 KMS 密钥。加密数据密钥是使用 KMS 密钥时生成的密文的一个常见示例,但大小小于 4 KB 的任何数据都可以在 KMS 密钥下加密以生成密文。 **加密上下文** 与受保护信息关联的其他信息的键值对映射 AWS KMS。 AWS KMS 使用经过身份验证的加密来保护数据密钥。加密上下文已合并到加密密文中经过身份验证的加密的 AAD AWS KMS中。此上下文信息是可选的,在请求密钥(或加密操作)时不会返回。但如果使用,则需要此上下文值才能成功完成解密操作。加密上下文的预期用途是提供额外的经身份验证信息。这些信息可以帮助您执行策略并包含在 AWS CloudTrail 日志中。例如,您可以使用 {"key name":"satellite uplink key"} 键值对来命名数据密钥。随后使用该密钥会创建一个包含 “密钥名称” 的 AWS CloudTrail 条目:“卫星上行链路密钥”。此附加信息可提供有用的上下文,以了解使用指定 KMS 密钥的原因。 **公有密钥** 使用非对称密码(RSA 或椭圆曲线)时,公有密钥是公有-私有密钥对的“公有组成部分”。加密详细信息介绍公有密钥可以共享并分发给需要为公有-私有密钥对拥有者加密数据的实体。对于数字签名操作,公有密钥用于验证签名。 **私有密钥** 使用非对称密码(RSA 或椭圆曲线)时,私有密钥是公有-私有密钥对的“私有组成部分”。私有密钥用于解密数据或创建数字签名。与对称 KMS 密钥类似,私钥在中加密。 HSMs这些密钥仅在 HSM 的短期存储中解密,并且仅在处理加密请求所需的时间内解密。