本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # CloudHSM 密钥存储中的 KMS 密钥 您可以创建、查看、管理、使用和计划删除 AWS CloudHSM 密钥库 AWS KMS keys 中的。您使用的过程与用于其他 KMS 密钥的过程非常相似。唯一的区别是,您在创建 KMS AWS CloudHSM 密钥时指定了密钥存储。然后, AWS KMS 为 AWS CloudHSM 集群中与密钥存储库关联的 KMS 密钥创建不可提取的 AWS CloudHSM 密钥材料。当您在密钥存储中使用 KMS AWS CloudHSM 密钥时,[加密操作](#use-cmk-keystore)将在集群 HSMs 中执行。 **支持的功能** 除了本节中讨论的步骤外,您还可以使用密钥存储中的 KMS 密钥执行以下操作: AWS CloudHSM + 使用密钥策略、IAM policy 和授权来[授予](control-access.md)对 KMS 密钥的访问权限。 + [启用和禁用](enabling-keys.md) KMS 密钥。 + 分配[标签](tagging-keys.md)并创建[别名](kms-alias.md),然后使用基于属性的访问权限控制(ABAC)授予对 KMS 密钥的访问权限。 + 使用 KMS 密钥执行以下加密操作: + [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) + [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) 自定义密钥存储库*不*支持生成非对称数据密钥对[GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)和[GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)的操作。 + 将 KMS 密钥和[与 AWS KMS集成的AWS 服务](service-integration.md)结合使用并支持客户托管密钥。 + 在[AWS CloudTrail 日志](logging-using-cloudtrail.md)和 [Amazon CloudWatch 监控工具](monitoring-overview.md)中跟踪您的 KMS 密钥的使用情况。 **不支持的功能** + AWS CloudHSM 密钥存储仅支持对称加密 KMS 密钥。您无法在密钥存储中创建 HMAC KMS 密钥、非对称 KMS 密钥或非对称数据密钥对。 AWS CloudHSM + 您无法将[密钥材料导](importing-keys.md)入密钥库中的 KMS AWS CloudHSM 密钥中。 AWS KMS 为 AWS CloudHSM 集群中的 KMS 密钥生成密钥材料。 + 您无法启用或禁用密钥库中 KMS 密钥的密钥材料的[AWS CloudHSM 自动轮换](rotate-keys.md)。 **在密钥库中使用 KMS AWS CloudHSM 密钥** 当您在请求中使用 KMS 密钥时,请按其 ID 或别名识别 KMS 密钥;您无需指定 AWS CloudHSM 密钥存储或 AWS CloudHSM 集群。响应包含为任何对称加密 KMS 密钥返回的相同字段。 但是,当您在密钥存储中使用 KMS AWS CloudHSM 密钥时,加密操作完全在与 AWS CloudHSM 密钥存储关联的 AWS CloudHSM 集群内执行。该操作使用集群中与您选择的 KMS 密钥关联的密钥材料。 要做到这一点,必须满足以下条件。 + KMS 密钥的[密钥状态](key-state.md)必须为 `Enabled`。要查找密钥状态,请使用[AWS KMS 控制台](finding-keys.md#viewing-console-details)中的**状态**`KeyState`字段或[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)响应中的字段。 + 密 AWS CloudHSM 钥库必须连接到其 AWS CloudHSM 集群。它在[AWS KMS 控制台](view-keystore.md)或[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)响应`ConnectionState`中的**状态**必须为`CONNECTED`。 + 与自定义密钥库关联的 AWS CloudHSM 集群必须包含至少一个活动的 HSM。要查找集群 HSMs 中的活动人数,请使用[AWS KMS 控制台](view-keystore.md)、 AWS CloudHSM 控制台或[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)操作。 + 集 AWS CloudHSM 群必须包含 KMS 密钥的密钥材料。如果已从集群中删除密钥材料,或者已从未包含密钥材料的备份中创建 HSM,则加密操作将失败。 如果不满足这些条件,则加密操作将失败并 AWS KMS 返回`KMSInvalidStateException`异常。通常,您只需要[重新连接 AWS CloudHSM 密钥库即](connect-keystore.md)可。有关其他帮助,请参阅[如何修复失败的 KMS 密钥](fix-keystore.md#fix-cmk-failed)。 在密钥存储中使用 KMS 密 AWS CloudHSM 钥时,请注意,每个密钥存储区中的 KMS 密 AWS CloudHSM 钥共享用于加密操作的[自定义密钥存储请求配额](requests-per-second.md#rps-key-stores)。如果超过配额,则 AWS KMS 返回 a `ThrottlingException`。如果与 AWS CloudHSM 密钥库关联的 AWS CloudHSM 集群正在处理大量命令,包括与 AWS CloudHSM 密钥库无关的命令,则可能会以更低的`ThrottlingException`速率获得。如果您收到任何请求的 `ThrottlingException`,请降低您的请求速率并重试这些命令。有关自定义密钥存储请求限额的详细信息,请参阅 [自定义密钥存储请求限额](requests-per-second.md#rps-key-stores)。 **了解详情** + 要了解有关 AWS CloudHSM 密钥库的更多信息,请参阅[AWS CloudHSM 钥匙库](keystore-cloudhsm.md)。 + 要在密钥库中创建 KMS AWS CloudHSM 密钥,请参阅[在密钥库中创建 KMS AWS CloudHSM 密钥](create-cmk-keystore.md)。 + 要识别和查看密钥库中的 KMS AWS CloudHSM 密钥,请参阅[识别密钥库中的 KMS AWS CloudHSM 密钥](identify-key-types.md#identify-key-hsm-keystore)。 + 要在密钥库中查找 KMS 密钥和 AWS CloudHSM 密钥材料,请参阅[在密钥库中查找 KMS 密钥和 AWS CloudHSM 密钥材料](find-key-material.md)。 + 要了解在密钥库中删除 KMS 密 AWS CloudHSM 钥的特殊注意事项,请参阅[从密钥库中删除 KMS 密钥](deleting-keys.md#delete-cmk-keystore)。 AWS CloudHSM