

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 关于 AWS KMS keys
<a name="about-kms-keys"></a>

AWS Key Management Service (AWS KMS) 允许您创建可用于传递给服务的数据的加密密钥。主要资源类型是 KMS 密钥，其中有[三种类型](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)：
+ **高级加密标准 (AES) 对称密钥** — 这些是在 AES 的 Galois 计数器模式 (GCM) 模式下使用的 256 位密钥。这些密钥为大小小于 4 KB 的数据提供经过身份验证的加密和解密。这是最常见的密钥类型。它用于保护其他数据密钥，例如您的应用程序中使用的数据密钥或代表 AWS 服务 您加密数据的密钥。
+ **RSA 或椭圆曲线非对称密钥** — 这些密钥有各种大小可供选择，并支持多种算法。根据算法的不同，它们可用于加密和解密以及签名和验证操作。
+ **用于执行基于哈希的消息身份验证码 (HMAC) 操作的对称密钥**-这些密钥是 256 位密钥，用于签名和验证操作。

无法以明文形式从服务中导出 KMS 密钥。它们由服务使用的硬件安全模块 (HSMs) 生成，并且只能在其中使用。这是防止密钥泄露的基本安全属性。 AWS KMS 在中国（北京）和中国（宁夏）地区， HSMs 它们已获得OSCCA [认](https://www.oscca.gov.cn/)证。在所有其他地区，中 HSMs 使用的内容 AWS KMS 均在 [NIST 的 FIPS 140 计划](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/3739)下进行安全级别为 3 的验证。有关中有助于保护密钥 AWS KMS 的设计和控件的更多信息，请参阅[AWS Key Management Service 加密详细信息](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)。

您可以使用各种加密 APIs 方法向提交数据，以便使用 KMS 密钥执行加密、解密、签名或验证操作。 AWS KMS 您也可以选择让 KMS 密钥充当密*钥加密密钥*，以保护称为*数据*密钥的密钥类型。可以从中导出数据密钥 AWS KMS 以在本地应用程序中使用 AWS 服务 ，也可以导出代表您保护数据的应用程序。数据密钥的使用在所有密钥管理系统中都很常见，通常被称为[信封加密](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping)。*信封加密*允许在处理您的敏感数据的远程系统上使用数据密钥，而不必将您的敏感数据直接发送到 KMS 密钥下 AWS KMS 进行加密。

有关更多信息 [AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)，请参阅 AWS KMS 文档中的[AWS KMS 密码学基础知识](https://docs.aws.amazon.com/kms/latest/developerguide/kms-cryptography.html)。