本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 控制目标 2：用于 PIN encryption/decryption 和相关密钥管理的加密密钥的创建过程可确保无法预测任何密钥或确定某些密钥比其他密钥更有可能。
<a name="pin-compliance-control-2"></a>

*要求 5：*通过 AWS 支付密码生成密钥已作为我们的 PCI PIN 评估的一部分进行了评估。这可以在密钥表 “生成者” 列中指定。

*要求 6：*作为该服务 PCI PIN 评估的一部分，对 AWS 支付密码学中持有的密钥的安全控制进行了评估。包括与应用程序内密钥生成相关的安全控制措施以及与任何其他服务提供商的密钥生成相关的安全控制措施的描述。

*要求 7：*您必须有一份密钥生成策略文档，其中应说明密钥的生成方式，并且所有受影响的各方都必须了解这些程序/政策。使用 APC API 创建密钥的程序应包括使用具有密钥创建权限和批准运行脚本或其他创建密钥的代码的角色。 AWS CloudTrail 日志包含带有日期和时间、密钥 ARN 和用户 ID 的所有[CreateKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_CreateKey)事件。作为该服务 PIN 评估的一部分，对 HSM 序列号和访问物理媒体的日志进行了评估。