本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 基本概念 學習一些基本術語和概念將協助您充分利用 AWS Key Management Service。 **AWS KMS key** AWS KMS 正在將術語*客戶主金鑰 (CMK)* 取代為 *AWS KMS key*和 *KMS 金鑰*。概念並沒有變更。為了防止中斷變更, AWS KMS 正在保留此術語的一些變化。 代表金鑰階層頂端的邏輯金鑰。賦予 KMS 金鑰一個 Amazon Resource Name (ARN),其中包含唯一金鑰識別符或金鑰 ID。 AWS KMS keys 有三種類型: + **客戶管理的金鑰** – 客戶建立並控制客戶受管金鑰的生命週期和重要政策。針對這些金鑰提出的所有請求都會記錄為 CloudTrail 事件。 + **AWS 受管金鑰** – AWS 建立和控制 的生命週期和金鑰政策 AWS 受管金鑰,這是客戶 中的 資源 AWS 帳戶。客戶可以檢視 AWS 受管金鑰的存取政策和 CloudTrail 事件,但無法管理這些金鑰的任何方面。針對這些金鑰提出的所有請求都會記錄為 CloudTrail 事件。 + **AWS 擁有的金鑰** – 這些金鑰由 建立,並僅供 AWS 用於不同 AWS 服務的內部加密操作。客戶無法查看 CloudTrail AWS 擁有的金鑰 中的金鑰政策或使用。 **別名** 與 KMS 金鑰相關聯的使用者易記名稱。別名可與許多 AWS KMS API 操作中的金鑰 ID 互換使用。 **許可** 連接至 KMS 金鑰的政策,用於定義金鑰的許可。預設政策允許您定義的任何主體,並允許 AWS 帳戶 新增參考金鑰的 IAM 政策。 **授權** 一開始預期的 IAM 主體或使用持續時間未知並因此新增至金鑰或 IAM 政策時使用 KMS 金鑰的委派許可。授予的其中一個用途是定義 AWS 服務如何使用 KMS 金鑰的縮小範圍許可。在沒有直接簽署之 API 呼叫的情況下,服務可能需要使用您的金鑰代表您對加密的資料執行非同步工作。 **資料金鑰** HSMs 上產生的密碼編譯金鑰,受到 KMS 金鑰的保護。 AWS KMS 允許授權實體取得受 KMS 金鑰保護的資料金鑰。它們可以同時以純文字 (未加密) 資料金鑰和加密資料金鑰傳回。資料金鑰可以是對稱的或非對稱的 (同時傳回公有和私有部分)。 **加密文字** 的加密輸出 AWS KMS有時稱為客戶加密文字,以消除混淆。加密文字包含加密的資料,其中包含識別要在解密程序中使用之 KMS 金鑰的其他資訊。加密的資料金鑰是使用 KMS 金鑰時產生之加密文字的一個常見範例,但任何大小小於 4 KB 的資料都可以在 KMS 金鑰下加密,以產生加密文字。 **加密內容** 與 AWS KMS受保護資訊相關聯的其他資訊的金鑰/值對映射。 AWS KMS 使用已驗證的加密來保護資料金鑰。加密內容會併入已驗證加密的 AWS KMS加密加密文字 AAD。此內容資訊是選用的,不會在請求金鑰 (或加密操作) 時傳回。但如果使用,則需要此內容值才能成功完成解密操作。加密內容預期用於提供其他經驗證的資訊。此資訊可協助您強制執行政策,並包含在 AWS CloudTrail 日誌中。例如,您可以使用 {"key name":"satellite uplink key"} 的鍵值對來命名資料金鑰。後續使用金鑰會建立包含「金鑰名稱」:「衛星上行金鑰」 AWS CloudTrail 的項目。此額外資訊可提供有用的內容,以了解為何使用指定的 KMS 金鑰。 **公有金鑰** 使用非對稱密碼 (RSA 或橢圓曲線) 時,公有金鑰是公有-私有金鑰對的「公有元件」。公有金鑰可以共用並分配至需要為公有-私有金鑰對擁有者加密資料的實體。對於數位簽章操作,公有金鑰用於驗證簽章。 **私有金鑰** 使用非對稱密碼 (RSA 或橢圓曲線) 時,私有金鑰是公有-私有金鑰對的「私有元件」。私有金鑰用於解密資料或建立數位簽章。與對稱 KMS 金鑰類似,私有金鑰會在 HSM 中加密。其只會解密到 HSM 的短期記憶體中,並且僅在處理您的密碼編譯請求所需的時間內。