本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 控制目标 6：以安全的方式管理密钥。
<a name="pin-compliance-control-6"></a>

*要求 21：*作为该服务 PCI PIN 评估的一部分，对密钥存储和 AWS 支付密码的使用进行了评估。对于与关键组件相关的存储需求，您有责任按照 21-2 和 21-3 中的规定进行存储。在导入服务之前和从服务导出之后，您需要在策略文档中描述关键保护机制。

*要求22：*作为该服务PCI PIN评估的一部分，对 AWS 支付密码学的密钥泄露程序进行了评估。您需要描述关键的泄露检测和响应程序，包括[监控和对来自的通知的响应 AWS](https://aws.amazon.com/security-incident-response/)。

*要求 23：* AWS 支付密码学不支持变体或其他可逆密钥计算方法。APC 主密钥或由其加密的密钥永远无法提供给客户。作为该服务PCI PIN评估的一部分，对可逆密钥计算的使用进行了评估。

*要求24：*内部机密和私钥的销毁做法 AWS 支付密码学已作为该服务PCI PIN评估的一部分进行了评估。在导入 APC 之前和从 APC 导出之后，您需要描述密钥的密钥销毁程序。与关键部件相关的销毁要求（24-2.2 和 24-2.3）仍由您负责。

*要求25：* AWS 支付密码学中对秘密和私钥的访问权限已作为该服务PCI PIN评估的一部分进行了评估。在从 P AWS ayment Cryptography 导入之前和导出之后，您需要准备好密钥访问控制的流程和文档。

*要求 26：*您需要描述对服务之外使用的密钥、关键组件或相关材料的任何访问权限的日志记录。您的应用程序使用该服务进行的所有密钥管理活动的日志均可通过 AWS CloudTrail。

*要求 27：*您需要描述在服务之外使用的密钥、关键组件或相关材料的备份程序。

*要求 28：*使用 API 进行所有密钥管理的程序都应包括使用具有密钥管理权限和批准的角色来运行脚本或其他管理密钥的代码。 AWS CloudTrail 日志包含所有关键管理事件