本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 中的非对称密钥 AWS KMS *非对称 KMS 密钥*表示数学上相关的公有密钥和私有密钥对。公有密钥可以交给任何人,即使他们不可靠,但私有密钥必须保密。 在非对称 KMS 密钥中,私钥是在中创建的, AWS KMS 并且永远不会处于 AWS KMS 未加密状态。要使用私钥,您必须致电 AWS KMS。您可以 AWS KMS 通过调用 AWS KMS API 操作来使用其中的公钥。或者,您可以[下载公钥](download-public-key.md)并在外部使用 AWS KMS。 如果您的用例要求无法呼叫的用户在外部 AWS 进行加密 AWS KMS,那么非对称 KMS 密钥是一个不错的选择。但是,如果您要创建 KMS 密钥来加密您在 AWS 服务中存储或管理的数据,请使用对称加密 KMS 密钥。 [AWS 与之集成的服务](https://aws.amazon.com/kms/features/#AWS_Service_Integration)仅 AWS KMS使用对称加密 KMS 密钥来加密您的数据。这些服务不支持使用非对称 KMS 密钥进行加密。 使用对大于 4 KB 的邮件进行签名时 AWS KMS,必须在签名 AWS KMS 之前在外部对消息进行哈希处理。 AWS KMS 提供了三个用于处理消息输入的`MessageType`选项:`RAW`用于纯文本消息(在其中 AWS KMS 执行哈希)、`DIGEST`用于预哈希处理的消息(其中 AWS KMS 跳过哈希步骤),以及`EXTERNAL_MU`专门用于输入为 64 字节代表 μ 值的 ML-DSA KMS 密钥规范。[对于超过 4 KB 限制的大型消息,请在外部对消息进行哈希处理,并在调用 S AWS KMS[ign](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) and Verify 操作时使用 [https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html#KMS-Sign-request-MessageType](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html#KMS-Sign-request-MessageType)(或用[https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html#KMS-Sign-request-MessageType](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html#KMS-Sign-request-MessageType)于 ML-DSA KMS 密钥)。 AWS KMS](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) AWS KMS 支持多种类型的非对称 KMS 密钥。 **RSA KMS 密钥** 带有 RSA 密钥对的 KMS 密钥,用于加密和解密或签名和验证(但不能两者兼而有之)。 AWS KMS 支持多种密钥长度,以满足不同的安全要求。 有关 AWS KMS 支持 RSA KMS 密钥的加密和签名算法的技术细节,请参阅 [RSA](symm-asymm-choose-key-spec.md#key-spec-rsa) 密钥规范。 **椭圆曲线(ECC)KMS 密钥** 带有椭圆曲线密钥对的 KMS 密钥,用于签名和验证或派生共享密钥(但不能两者兼而有之)。 AWS KMS 支持几条常用的曲线。 有关 AWS KMS 支持 ECC KMS 密钥的签名算法的技术细节,请参阅[椭圆曲线](symm-asymm-choose-key-spec.md#key-spec-ecc)密钥规范。 **ML-DSA KMS 密钥** 使用 ML-DSA 密钥对进行签名和验证的 KMS 密钥。ML-DSA 是由美国国家标准与技术研究院(NIST)开发的后量子密码术标准,旨在抵御量子计算带来的安全威胁。对于从 RSA 或椭圆曲线数字签名算法过渡到后量子安全密码术的组织,ML-DSA 是推荐使用的数字签名算法。 AWS KMS 支持多种密钥长度,以满足不同的安全要求。有关 AWS KMS 支持 ML-DSA KMS 密钥的签名算法的技术细节,请参阅 [M](symm-asymm-choose-key-spec.md#key-spec-mldsa) L-DSA 密钥规范。 **SM2 KMS 密钥(仅限中国区域)** 带有密钥对的 KMS 密 SM2 钥,用于加密和解密、签名和验证或派生共享密钥(必须选择一种[Key usage](create-keys.md#key-usage)类型)。 有关 AWS KMS 支持 SM2 KMS 密钥的加密和签名算法(仅限中国区域)的技术细节,[SM2 请参阅密钥](symm-asymm-choose-key-spec.md#key-spec-sm)规范。 有关选择非对称密钥配置的帮助,请参阅 [选择要创建的 KMS 密钥的类型](create-keys.md#symm-asymm-choose)。 **区域** 所有 AWS 区域 支持的密钥都支持非对称 KMS 密钥和非对称数据密钥对。 AWS KMS **了解详情** + 若要创建非对称 KMS 密钥,请参阅 [创建非对称 KMS 密钥](asymm-create-key.md)。 + 若要创建多区域非对称 KMS 密钥,请参阅 [创建多区域主密钥](create-primary-keys.md)。 + 要了解如何使用非对称 KMS 密钥签署消息和验证签名,请参阅 *AWS 安全博客*中的[采用 AWS KMS的新的非对称密钥功能进行数字签名](https://aws.amazon.com/blogs/security/digital-signing-asymmetric-keys-aws-kms/)。 + 要了解删除非对称 KMS 密钥的特殊注意事项,请参阅[Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks)。 + 要识别和查看非对称 KMS 密钥,请参阅[识别非对称 KMS 密钥](identify-key-types.md#identify-asymm-keys)。