本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 什么是 AWS 支付密码学？
<a name="what-is"></a>

AWS Payment Cryptography 是一项托管 AWS 服务，可根据支付卡行业 (PCI) 标准提供对支付处理中使用的加密功能和密钥管理的访问权限，而无需您购买专用的支付 HSM 实例。 AWS Payment Cryptography 为执行支付功能的客户（例如收单机构、支付促进机构、网络、交换机、处理器和银行）提供了将其支付加密操作迁移到更靠近云端应用程序的地方，并最大限度地减少对包含专用支付的辅助数据中心或托管设施的依赖。 HSMs

 该服务旨在满足适用的行业规则，包括 PCI PIN、PCI P2PE 和 PCI DSS，并且该服务利用经过 [PCI PTS HSM V3 和 FIPS 140-2 Level 3 认证](cryptographic-details-internalops.md)的硬件。它旨在支持低延迟、[高水平的正常运行时间和弹性](https://aws.amazon.com/payment-cryptography/sla/?did=sla_card&trk=sla_card)。 AWS Payment Cryptography 具有完全的弹性 HSMs，消除了内部部署的许多操作要求，例如需要配置硬件、安全地管理密钥材料以及在安全的设施中维护紧急备份。 AWS Payment Cryptography 还为您提供了以电子方式与合作伙伴共享密钥的选项，无需共享纸质明文组件。

 您可以使用 [AWS Payment Cryptography 控制面板 API](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/Welcome.html) 来创建和管理密钥。

您可以使用 [AWS Payment Cryptography 数据面板 API](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/Welcome.html)，以便使用加密密钥进行与支付相关的交易处理和相关的加密操作。

AWS 支付密码学提供了可用于管理密钥的重要功能：
+ 创建和管理对称和非对称 AWS 支付加密密钥，包括 TDES、AES 和 RSA 密钥，并指定其预期用途，例如生成 CVV 或 DUKPT 密钥派生。
+ 在硬件安全模块 (HSMs) 的保护下，自动安全地存储您的 AWS 支付密码学密钥，同时在用例之间强制执行密钥分离。
+  创建、删除、列出和更新别名，这些别名是 “友好名称”，可用于访问或控制对您的 P AWS ayment Cryptography 密钥的访问权限。
+  标记您的 AWS 支付密码学密钥以进行识别、分组、自动化、访问控制和成本跟踪。
+  使用密钥加密密钥 (KEK) 在 P AWS ayment Cryptography 和 HSM（或第三方）之间导入和导出对称密钥，符合 TR-31（可互操作的安全密钥交换密钥区块规范）。
+  使用非对称密钥对在 AWS 支付密码学和其他系统之间导入和导出对称密钥加密密钥 (KEK)，然后使用电子手段，例如 TR-34（使用非对称技术分发对称密钥的方法）。

您可以在加密操作中使用您的 AWS 支付加密密钥，例如：
+  使用对称或非对称 AWS 支付加密密钥对数据进行加密、解密和重新加密。
+  根据 PCI PIN 规则，在加密密钥之间安全地转换敏感数据（例如持卡人密码），而不会暴露明文。
+  生成或验证持卡人数据，例如 CVV 或 ARQC。 CVV2 
+  生成并验证持卡人 pin 码。
+  生成或验证 MAC 签名。

# 概念
<a name="concepts"></a>

了解 AWS 支付密码学中使用的基本术语和概念，以及如何使用它们来帮助您保护数据。

**别名**  <a name="concepts.alias"></a>
与 AWS 支付加密密钥关联的用户友好名称。在许多 AWS 支付密码学 API 操作中，别名可以与密[钥 ARN](#concepts.key-arn) 互换使用。别名允许轮换或以其他方式更改密钥，而不会影响您的应用程序代码。别名是最多 256 个字符的字符串。它可以唯一标识账户和区域内关联的 AWS 支付密码密钥。在 AWS 支付密码学中，别名始终以开头。`alias/`  
别名的格式如下：  

```
alias/<alias-name>
```
例如：  

```
alias/sampleAlias2
```

**密钥 ARN**  <a name="concepts.key-arn"></a>
密钥 ARN 是 AWS Payment Cryptography 中密钥条目的 Amazon 资源名称（ARN）)。它是 AWS 支付密码学密钥的唯一且完全限定的标识符。密钥 ARN 包括 AWS 账户、区域和随机生成的 ID。ARN 与密钥材料无关，也并非源自密钥材料。由于它们是在创建或导入操作期间自动分配的，因此这些值不具备幂等性。多次导入同一个密钥将导致多个密钥 ARNs 具有自己的生命周期。  
密钥 ARN 的格式如下：  

```
arn:<partition>:payment-cryptography:<region>:<account-id>:alias/<alias-name>
```
以下是示例密钥 ARN：  

```
arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
```

**密钥标识符**  <a name="concepts.key-identifer"></a>
密钥标识符是对密钥的引用，其中一个（或多个）是 AWS 支付密码学操作的典型输入。有效的密钥标识符可以是 [Key Arn](#concepts.key-arn) 或[密钥别名](#concepts.alias)。

**AWS 付款密码学密钥**  <a name="concepts.main"></a>
AWS 支付密码学密钥（密钥）用于所有加密功能。密钥可以由您使用 create key 命令直接生成，也可以通过调用密钥导入添加到系统中。可以通过查看属性来确定密钥的来源 KeyOrigin。 AWS Payment Cryptography 还支持加密操作期间使用的派生密钥或中间密钥，例如 DUKPT 使用的密钥。  
 这些密钥在创建时定义了不可变和可变属性。算法、长度和用法等属性是在创建时定义的，无法更改。其他内容（例如生效日期或到期日期）可以修改。有关[AWS 支付密码学密钥属性的完整列表，请参阅 AWS 支付密码学 API 参考](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/)。  
AWS 支付密码学密钥的密钥类型主要由 [ANSI X9 TR 31](terminology.md#terms.tr31) 定义，这些密钥类型仅限于 PCI PIN v3.1 要求 19 中规定的预期用途。  
按照 PCI PIN v3.1 第 18-3 条要求的规定进行存储、与其他账户共享或导出时，属性将使用密钥块绑定到密钥。  
密钥在 AWS 支付加密平台中使用称为密钥 Amazon 资源名称 (`ARN`) 的唯一值进行识别。  
密钥`ARN`是在最初创建密钥或将密钥导入 AWS 支付加密服务时生成的。因此，如果使用导入密钥功能多次添加相同的密钥材料，则相同的密钥材料将位于多个密钥 `ARNS` 下，但每个密钥都有不同的密钥生命周期。

# 行业术语
<a name="terminology"></a>

**Topics**
+ [常见密钥类型](#key-types)
+ [其他术语](#other-terms)

## 常见密钥类型
<a name="key-types"></a>

AWS 付款密码学密钥  
 AWS 付款加密密钥存在于单个 AWS 区域密钥中。它由存储在 AWS 支付加密服务中的关键元数据和材料组成。密钥可以作为 TR-31 密钥块从外部来源导入，也可以由 AWS 支付加密服务生成。

**AWK**  
收单机构工作密钥 (AWK) 是通常用于在 acquirer/acquirer 处理器和网络（例如Visa或Mastercard）之间交换数据的密钥。从历史上看，AWK 利用 3DES 进行加密，将表示为 \$1P0\$1PIN\$1ENCRYPTION\$1KEY。 TR31

**BDK**  
基础派生密钥 (BDK) 是用于派生后续密钥的工作密钥，通常用作 PCI PIN 和 PCI P2PE DUKPT 流程的一部分。它表示为 \$1B0\$1BASE\$1DERIVAT *TR31ION\$1KEY*。

**CMK**  
卡片主密钥 (CMK) 是一个或多个卡牌专用密钥，通常源自[发行人主密钥](#terms.imk) P *AN* 和 *PSN*，通常是 *3D* ES 密钥。在个性化过程中，这些密钥存储在 EMV 芯片上。的示例 CMKs 包括 AC、SMI 和 SMC 密钥。

**CMK-AC**  
应用程序密码 (AC) 密钥用作 EMV 交易的一部分，用于生成交易密码，是一种[卡片主密钥](#terms.cmk)。

**CMK-SMI**  
安全消息完整性 (SMI) 密钥用作 EMV 的一部分，用于验证使用 MAC 发送到卡的有效负载（例如 pin 码更新脚本）的完整性。它是一种[卡片主密钥](#terms.cmk)。

**CMK-SMC**  
安全消息保密性 (SMC) 密钥用作 EMV 的一部分，用于加密发送到卡片的数据，例如密码更新。它是一种[卡片主密钥](#terms.cmk)。

**CVK**  
卡片验证密钥 (CVK) 是用于使用定义的算法生成 CVV CVV2 和类似值以及验证输入的密钥。它表示为 \$1C0\$1CARD\$1VERIFICAT *TR31ION\$1KEY*。

**IMK**  
发行方主密钥 (IMK) 是用作 EMV 芯片卡个性化一部分的主密钥。通常，AC（密码）、SMI（脚本主密钥）密钥各有 3 IMKs 个。integrity/signature), and SMC (script master key for confidentiality/encryption

**IK**  
[初始密钥 (IK) 是 DUKPT 过程中使用的第一个密钥，源自基本派生密钥 (BDK)。](#terms.bdk)此密钥上不会处理任何交易，但它用于派生未来将用于交易的密钥。创建 IK 的推导方法是在 X9. 24-1:2017 中定义的。使用 TDES BDK 时，X9. 24-1:2009 是适用的标准，IK 被初始密码加密密钥 (IPEK) 所取代。

**IPEK**  
初始 PIN 加密密钥 (IPEK) 是 DUKPT 流程中使用的初始密钥，源自基本派生密钥 ([BDK](#terms.bdk))。此密钥上不会处理任何交易，但它用于派生未来将用于交易的密钥。IPEK 用词不当，因为这个密钥也可以用来派生数据加密和 Mac 密钥。创建 IPEK 的推导方法是在 X9 中定义的。24-1:2009。[使用 AES BDK 时，X9. 24-1:2017 是适用的标准，IPEK 被初始密钥 (IK) 所取代。](#terms.initialkey)

**IWK**  
发行者工作密钥 (IWK) 是通常用于在 issuer/issuer 处理器和网络（例如Visa或Mastercard）之间交换数据的密钥。*从历史上看，IWK 利用 3DES 进行加密，表示为 \$1P0\$1PIN\$1ENCRYPTION\$1KEY。TR31*

**KBPK**  
密钥块加密密钥 (KBPK) 是一种对称密钥，用于保护密钥块，从而 wrap/encrypt 保护其他密钥。KBPK 与 K [E](#terms.kek) K 类似，但是 KEK 直接保护密钥材料，而在 TR-31 和类似方案中，KBPK 仅间接保护工作密钥。使用时 [`TR-31`](#terms.tr31)，*TR31\$1K1\$1KEY\$1BLOCK\$1PROTECTION\$1KEY 是正确的密钥类型，尽管出于历史目的，可以互换支持 \$1* K0\$1KEY\$1ENCRYPTION\$1KEY。 TR31

**KEK**  
密钥加密密钥 (KEK) 是用于加密其他密钥以进行传输或存储的密钥。根据标准，用于保护其他密钥的密钥通常具有 *TR31\$1K0\$1KEY\$1EN KeyUsage CRYPTION\$1KEY\$1KEY*。[`TR-31`](#terms.tr31)

**PEK**  
PIN 加密密钥 (PEK) 是一种工作密钥，用于对存储或在双方之间传输进行加密 PINs 。IWK 和 AWK 是 pin 加密密钥具体用途的两个示例。这些密钥表示为 *TR31\$1P0\$1PIN\$1ENCRYPTION\$1KEY*。

**PGK**  
PGK（Pin 生成密钥）是 P [in 验证](#terms.pvk)密钥的另一个名称。它实际上并不用于生成引脚（默认情况下，引脚是加密随机数），而是用于生成验证值，例如PVV。

**PRK**  
主区域密钥是已启用复制功能的给定支付加密密钥的权威复制源。PRK 是指多区域密钥复制配置中的来源支付加密密钥角色。在付款加密密钥上启用复制后，该特定密钥复制配置被称为 PRK。

**PVK**  
PIN 验证密钥 (PVK) 是一种工作密钥，用于生成 PVV 等 PIN 验证值。*两种最常见的类型是用于生成偏移值的 *TR31\$1V1\$1 \$1PIN\$1VERIFICATION IBM3624 \$1KEY 和用于验证值的 \$1V2\$1VISA\$1PIN\$1VERIFICATION\$1KEY*。 IBM3624 TR31* Visa/ABA 这也可以称为 [Pin 生成密钥](#terms.pgk)。

**RRK**  
副本区域密钥是从 PRK 安全复制到配置副本的复制密钥材料和元数据 AWS 区域。RRK 是支付加密密钥的只读副本。RRK 是指特定密钥在多区域密钥复制配置中扮演的角色。任何关键元数据更改（包括复制设置）都必须应用于 PRK。

## 其他术语
<a name="other-terms"></a>

**ARQC**  
授权请求密码 (ARQC) 是由 EMV 标准芯片卡（或等效的非接触式实现）在交易时生成的密码。通常，ARQC 由芯片卡生成，并在交易时转发给发卡机构或其代理进行验证。

**CVV**  
信用卡验证值是一种静态的秘密值，传统上嵌入在磁条上，用于验证交易的真实性。该算法还用于其他目的，例如 iCvV、CAVV 等。 CVV2对于其他用例，它可能不会以这种方式嵌入。

**CVV2**  
信用卡验证值 2 是一种静态的秘密值，传统上印在支付卡的正面（或背面），用于验证不在卡上的付款（例如通过电话或在线）的真实性。它使用与 CVV 相同的算法，但服务代码设置为 000。

**iCvV**  
iCvV 是一个 CVV2类似的值，但在 EMV（Chip）卡上嵌入了 track2 的等效数据。此值是使用服务代码 999 计算得出的，它与 CVV1 /不同，CVV2 以防止窃取的信息被用于创建不同类型的新付款凭证。例如，如果获得了芯片交易数据，则无法使用这些数据来生成磁条 (CVV1) 或用于在线购买 (CVV2)。  
它使用[CVK](#terms.cvk)钥匙

**DUKPT**  
每次交易派生唯一密钥 (DUKPT) 是一种密钥管理标准，通常用于定义实物 POS/POI 上一次性加密密钥的使用。从历史上看，DUKPT 利用 3DES 进行加密。DUKPT 的行业标准在 ANSI X9.24-3-2017 中定义。

**ECC**  
ECC（椭圆曲线密码学）是一种公钥密码系统，它使用椭圆曲线的数学来创建加密密钥。ECC 提供的安全级别与 RSA 等传统方法相同，但密钥长度要短得多，从而以更有效的方式提供同等的安全性。这与 RSA 不是切实可行的解决方案（RSA 密钥长度 > 4096 位）的用例尤其相关。 AWS 支付密码学支持 [NIST](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf) 定义的曲线，用于 ECDH 操作。

**ECDH**  
[ECDH（Elliptic Curve Diffie-Hellman）是一项密钥协议协议，允许双方建立共享机密（例如KEK或PEK）。](#terms.kek)在ECDH中，甲方和乙方各有自己的公私密钥对，彼此交换公钥（以 AWS 支付密码学证书的形式）以及密钥派生元数据（派生方法、哈希类型和共享信息）。双方将自己的私钥乘以对方的公钥，由于椭圆曲线的属性，双方都能够推导（生成）生成的密钥。

**EMV**  
[EMV](https://www.emvco.com/)（最初是Europay、Mastercard、Visa）是一个与支付利益相关者合作创建可互操作的支付标准和技术的技术机构。一个示例标准是针对 chip/contactless 卡及其与之交互的支付终端，包括使用的加密技术。EMV 密钥派生是指根据一组初始密钥为每张支付卡生成唯一密钥的方法，例如 [`IMK`](#terms.imk) 

**HSM**  
硬件安全模块 (HSM) 是一种物理设备，用于保护加密操作（例如加密、解密和数字签名）以及用于这些操作的底层密钥。

**KCAAS**  
密钥托管人即服务 (KCAAS) 提供与密钥管理相关的各种服务。对于支付密钥，他们通常可以将纸质密钥组件转换为 AWS 付款密码学支持的电子表格，或者将受电子保护的密钥转换为某些供应商可能需要的纸质组件。他们还可能为丢失会对您的持续运营造成不利影响的密钥提供密钥托管服务。KCAAS供应商能够以符合PCI DSS、PCI PIN和PCI P2PE标准的方式帮助客户减轻在 AWS 支付密码学等安全服务之外管理密钥材料的运营负担。

**KCV**  
密钥校验值 (KCV) 是指各种校验和方法，主要用于在无需访问实际密钥材料的情况下比较彼此的密钥。KCV 也被用于完整性验证（尤其是在交换密钥时），尽管此角色现在已作为密钥块格式的一部分包括在内，例如 [`TR-31`](#terms.tr31)。对于 TDES 密钥，KCV 是通过使用要检查的密钥对每个值为零的 8 个字节进行加密，并保留加密结果的 3 个最高阶字节来计算的。对于 AES 密钥，KCV 使用 CMAC 算法计算，其中输入数据为 16 个字节的零，并保留加密结果的 3 个最高位字节。

**KDH**  
密钥分配主机 (KDH) 是在密钥交换过程（例如 [TR-34](#terms.tr34)）中发送密钥的设备或系统。从 AWS Payment Cryptography 发送密钥时，它被视为 KDH。

**KIF**  
密钥注入工具 (KIF) 是一种安全设施，用于初始化支付终端，包括向支付终端加载加密密钥。

**KRD**  
密钥接收设备 (KRD) 是在密钥交换过程中（例如 [TR-34](#terms.tr34)）中接收密钥的设备。向 AWS 支付密码学发送密钥时，它被视为 KRD。

**KSN**  
密钥序列号 (KSN) 是用作 DUKPT 加密/解密输入的值，用于为每笔交易创建唯一的加密密钥。KSN 通常由一个 BDK 标识符、一个半唯一的终端 ID 以及一个交易计数器组成，该计数器在给定支付终端上处理的每次转换时递增。根据X9.24，对于TDES，10字节的KSN通常由密钥集ID的24位、终端ID的19位和交易计数器的21位组成，尽管密钥集ID和终端ID之间的边界对支付密码学的功能没有影响。 AWS 对于 AES，12 字节的 KSN 通常由 BDK ID 的 32 位、派生标识符 (ID) 的 32 位和事务计数器的 32 位组成。

**MPoC**  
 MPoC（商业硬件上的移动销售点）是一项 PCI 标准，旨在满足解决方案的安全要求，使商家能够使用智能手机或其他商用 off-the-shelf (COTS) 移动设备接受持卡人 PINs或非接触式付款。

**PAN**  
主账号 (PAN) 是信用卡或借记卡等账户的唯一标识符。长度通常为 13-19 位数字。前 6-8 位数字标识网络和发卡行。

**PIN 码块**  
在处理或传输过程中包含 PIN 码以及其他数据元素的数据块。PIN 码块格式标准化了 PIN 码块的内容以及如何处理它以检索 PIN 码。大多数 PIN 块由 PIN 和 PIN 长度组成，通常包含部分或全部 PAN。 AWS 支付密码学支持 ISO 9564-1 格式 0、1、3 和 4。AES 密钥需要格式 4。在验证或转换时 PINs，需要指定传入或传出数据的 PIN 块。

**POI**  
互动点 (POI) 也经常与销售点 (POS) 匿名使用，是持卡人与之交互以出示其支付凭证的硬件设备。POI 的一个示例是商家位置的实物终端。有关经过认证的 PCI PTS POI 终端列表，请访问 [PCI 网站](https://www.pcisecuritystandards.org/)。

**PSN**  
PAN 序列号 (PSN) 是一个数值，用于区分使用相同 [PAN](#terms.pan) 发行的多张卡。

**公有密钥**  <a name="terms.publickey"></a>
使用非对称密码（RSA、ECC）时，公钥是公私密钥对的公共组成部分。加密详细信息介绍公有密钥可以共享并分发给需要为公有-私有密钥对拥有者加密数据的实体。对于数字签名操作，公有密钥用于验证签名。

**私有密钥**  <a name="terms.privatekey"></a>
使用非对称密码（RSA、ECC）时，私钥是公私密钥对的私有组件。私有密钥用于解密数据或创建数字签名。与对称 AWS 支付密码学密钥类似，私钥由安全地创建。 HSMs这些密钥仅在 HSM 的易失存储器中解密，并且仅在处理加密请求所需的时间内解密。

**PVV**  
PIN 验证值 (PVV) 是一种加密输出，可用于在不存储实际引脚的情况下验证引脚。尽管这是一个通用术语，但在 AWS 支付密码学的背景下，PVV是指Visa或ABA PVV方法。这个 PVV 是一个四位数的数字，其输入是卡号、平移序列号、平移本身和 PIN 验证密钥。在验证阶段，Payment Cryptography在内部使用交易数据重新创建PVV，并将其与 AWS AWS 支付密码学客户存储的值再次进行比较。这样，它在概念上类似于加密哈希或 MAC。

**RSA Wrap/Unwrap**  
RSA wrap 使用非对称密钥来封装对称密钥（例如 TDES 密钥），以便传输到另一个系统。只有具有匹配私钥的系统才能解密有效负载并加载对称密钥。相反，RSA 解包将安全地解密使用 RSA 加密的密钥，然后将该密钥加载到支付密码中。 AWS RSA wrap 是一种交换密钥的低级方法，它不以密钥块格式传输密钥，也不使用发送方的有效载荷签名。应考虑其他控制措施来确定天意和关键属性不会发生变化。  
 TR-34 内部也使用 RSA，但它是一种单独的格式，不可互操作。

**TR-31**  
TR-31（正式定义为 ANSI X9 TR 31）是由美国国家标准协会 (ANSI) 定义的一种密钥块格式，用于支持在与密钥数据本身相同的数据结构中定义密钥属性。TR-31 密钥块格式定义了一组与密钥关联的按键属性，以便将它们组合在一起。 AWS Payment Cryptography 尽可能使用 TR-31 标准化术语来确保正确的密钥分离和密钥用途。TR-31 已被 [AN](https://webstore.ansi.org/standards/ascx9/ansix91432022) SI X9.143-2022 所取代。

**TR-34**  
TR-34 是 ANSI X9.24-2 的实现，它描述了一种使用非对称技术（例如 RSA）安全分发对称密钥（例如 3DES 和 AES）的协议。 AWS Payment Cryptography 使用 TR-34 方法来允许安全导入和导出密钥。

**X9.143**  
X9.143 是一种密钥块格式，由美国国家标准协会 (ANSI) 定义，用于支持在同一数据结构中保护密钥和密钥属性。密钥块格式定义了一组与密钥关联的按键属性，以便将它们组合在一起。 AWS Payment Cryptography 尽可能使用 X9.143 标准化术语来确保正确的密钥分离和密钥用途。X9.143 取代了之前[的 TR-31](#terms.tr31) 提案，尽管在大多数情况下，它们是向后和向前兼容的，而且这些术语通常可以互换使用。

## 相关服务
<a name="w2aab7c25"></a>

**[AWS Key Management Service](https://aws.amazon.com/kms/)**  
AWS 密钥管理服务 (AWS KMS) 是一项托管服务，可让您轻松创建和控制用于保护数据的加密密钥。 AWS KMS 使用硬件安全模块 (HSMs) 来保护和验证您的 AWS KMS 密钥。

**[AWS CloudHSM](https://aws.amazon.com/cloudhsm/)**  
AWS CloudHSM 在 AWS 云中为客户提供专用的通用型 HSM 实例。 AWS CloudHSM 可以提供各种加密功能，例如创建密钥、数据签名或加密和解密数据。

## 有关更多信息
<a name="w2aab7c27"></a>
+ 要了解 AWS 支付密码学中使用的术语和概念，请参阅[AWS 支付密码](concepts.md)学概念。
+ 有关 AWS 支付密码控制面板 API 的信息，请参阅[AWS 支付密码控制面板 API](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/Welcome.html) 参考。
+ 有关 AWS 支付密码学数据面板 API 的信息，请参阅[AWS 支付加密数据平面 API](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/Welcome.html) 参考。
+ [有关支付密码学如何使用密码学和保护 AWSAWS 支付密码学密钥的详细技术信息，请参阅加密详细信息。](cryptographic-details.md)

# 的终端节点 AWS Payment Cryptography
<a name="endpoints"></a>

要以编程方式连接 AWS Payment Cryptography，您可以使用终端节点，即服务入口点的 URL。 AWS SDKs 和命令行工具会 AWS 区域 根据请求的区域上下文自动使用服务的默认终端节点，因此通常无需显式设置这些值。必要时，您可以为 API 请求指定不同的终端节点。

## 控制面板端点
<a name="payment-cryptography_region-control"></a>

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/payment-cryptography/latest/userguide/endpoints.html)

## 数据面板端点
<a name="payment-cryptography_region-data"></a>

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/payment-cryptography/latest/userguide/endpoints.html)