本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 外部金鑰存放區中的 KMS 金鑰 若要在外部金鑰存放區中建立、檢視、管理、使用和排程 KMS 金鑰的刪除,您可以使用與用於其他 KMS 金鑰非常相似的程序。但是,當您在外部金鑰存放區中建立 KMS 金鑰時,您會指定[外部金鑰存放區](keystore-external.md#concept-external-key-store)和[外部金鑰](keystore-external.md#concept-external-key)。當您在外部金鑰存放區中使用 KMS 金鑰時,外部金鑰管理器將使用指定的外部金鑰執行[加密和解密操作](keystore-external.md#xks-how-it-works)。 AWS KMS 無法在您的外部金鑰管理器中建立、檢視、更新或刪除任何密碼編譯金鑰。 AWS KMS 絕不會直接存取您的外部金鑰管理器或任何外部金鑰。所有密碼編譯操作的請求都會由您的[外部金鑰存放區代理](keystore-external.md#concept-xks-proxy)進行協調。若要在外部金鑰存放區中使用 KMS 金鑰,託管 KMS 金鑰的外部金鑰存放區必須[連接](xks-connect-disconnect.md)至其外部金鑰存放區代理。 **支援的功能** 除了本節所討論的程序,您還可以對外部金鑰存放區中的 KMS 金鑰執行下列操作: + 使用[金鑰政策](key-policies.md)、[IAM 政策](iam-policies.md)和[授予](grants.md),以控制對 KMS 金鑰的存取。 + [啟用和停用](enabling-keys.md) KMS 金鑰。這些動作不會影響外部金鑰管理器中的外部金鑰。 + 指派[標籤](tagging-keys.md)並建立[別名](kms-alias.md),使用[屬性型存取控制](abac.md) (ABAC) 授權對 KMS 金鑰的存取。 + 使用 KMS 金鑰執行下列密碼編譯操作: + [加密](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) + [解密](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) 自訂金鑰存放區中*不*支援產生非對稱資料金鑰對、[GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html) 和 [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html) 的操作。 + 將 KMS 金鑰用於[與 AWS KMS整合的AWS 服務](https://aws.amazon.com/kms/features/#AWS_Service_Integration),且這些服務支援[客戶受管金鑰](concepts.md#customer-mgn-key)。 **不支援的功能** + 外部金鑰存放區僅支援[對稱加密 KMS 金鑰](symm-asymm-choose-key-spec.md#symmetric-cmks)。您無法在外部金鑰存放區中建立 HMAC KMS 金鑰或非對稱 KMS 金鑰。 + 外部金鑰存放區中的 KMS 金鑰不支援 [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html) 和 [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)。 + 您無法使用 [AWS::KMS::Key CloudFormation 範本](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html)在外部金鑰存放區中建立外部金鑰存放區或 KMS 金鑰。 + 外部金鑰存放區不支援[多區域金鑰](multi-region-keys-overview.md)。 + 外部金鑰存放區不支援具有[匯入金鑰材料](importing-keys.md)的 KMS 金鑰。 + 外部金鑰存放區中的 KMS 金鑰不支援[自動金鑰輪換](rotate-keys.md)。 **在外部金鑰存放區中使用 KMS 金鑰** 在請求中使用 KMS 金鑰時,請按照其[金鑰 ID、金鑰 ARN、別名或別名 ARN](concepts.md#key-id) 來識別 KMS 金鑰。您不需要指定外部金鑰存放區。回應包含為針對任何對稱加密 KMS 金鑰所傳回的相同欄位。不過,當您在外部金鑰存放區中使用 KMS 金鑰時,外部金鑰管理器將使用與 KMS 金鑰關聯的外部金鑰來執行加密和解密操作。 為了確保外部金鑰存放區中 KMS 金鑰加密的加密文字至少與標準 KMS 金鑰加密的任何加密文字一樣安全, AWS KMS 會使用[雙重加密](keystore-external.md#concept-double-encryption)。資料會先 AWS KMS 使用 AWS KMS 金鑰材料在 中加密。然後,您的外部金鑰管理器會使用 KMS 金鑰的外部金鑰對其進行加密。若要解密雙重加密的密文,您的外部金鑰管理器會先使用 KMS 金鑰的外部金鑰對密文進行解密。然後,它會 AWS KMS 使用 KMS AWS KMS 金鑰的金鑰材料在 中解密。 但必須符合以下條件,才有可能這樣做。 + KMS 金鑰的[金鑰狀態](key-state.md)必須是 `Enabled`。若要尋找金鑰狀態,請參閱 [AWS KMS 主控台](finding-keys.md#viewing-console-details)中客戶受管金鑰的 **Status** (狀態) 欄位或 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 回應中的 `KeyState` 欄位。 + 託管 KMS 金鑰的外部金鑰存放區必須連接至其[外部金鑰存放區代理](keystore-external.md#concept-xks-proxy),也就是說,外部金鑰存放區的[連接狀態](xks-connect-disconnect.md#xks-connection-state)必須為 `CONNECTED`。 您可以在 AWS KMS 主控台的**外部金鑰存放**區頁面或 [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) 回應中檢視連線狀態。外部金鑰存放區的連接狀態也顯示在 AWS KMS 主控台 KMS 金鑰的詳細資訊頁面上。在詳細資訊頁面上,選擇 **Cryptographic configuration** (密碼編譯組態) 索引標籤,並查看 **Custom key store** (自訂金鑰存放區) 區段中的 **Connection state** (連接狀態) 欄位。 如果連接狀態為 `DISCONNECTED`,則必須先將其連接。如果連接狀態為 `FAILED`,則您必須解決問題,中斷連接外部金鑰存放區,然後進行連接。如需說明,請參閱[連接和中斷連接外部金鑰存放區](xks-connect-disconnect.md)。 + 外部金鑰存放區代理必須能夠找到外部金鑰。 + 必須啟用外部金鑰,而且必須執行加密和解密。 外部金鑰的狀態獨立於 KMS 金鑰的[金鑰狀態](key-state.md)變更,並不受其影響,包括啟用和停用 KMS 金鑰。同樣,停用或刪除外部金鑰不會變更 KMS 金鑰的金鑰狀態,但使用關聯 KMS 金鑰的密碼編譯操作將會失敗。 如果不符合這些條件,密碼編譯操作會失敗,並 AWS KMS 傳回`KMSInvalidStateException`例外狀況。您可能需要[重新連接外部金鑰存放區](xks-connect-disconnect.md),或使用外部金鑰管理器工具來重新設定或修復外部金鑰。如需其他說明,請參閱[外部金鑰存放區故障診斷](xks-troubleshooting.md)。 在外部金鑰存放區中使用 KMS 金鑰時,請注意每個外部金鑰存放區中的 KMS 金鑰會針對密碼編譯操作共用[自訂金鑰存放區請求配額](requests-per-second.md#rps-key-stores)。如果您超過配額, 會 AWS KMS 傳回 `ThrottlingException`。如需自訂金鑰存放區配額的詳細資訊,請參閱 [自訂金鑰存放區請求配額](requests-per-second.md#rps-key-stores)。 **進一步了解** + 若要進一步了解外部金鑰存放區,請參閱 [外部金鑰存放區](keystore-external.md)。 + 若要進一步了解外部金鑰存放區中的金鑰材料,請參閱 [外部金鑰](keystore-external.md#concept-external-key)。 + 若要在外部金鑰存放區中建立 KMS 金鑰,請參閱 [在外部金鑰存放區中建立 KMS 金鑰](create-xks-keys.md)。 + 若要識別和檢視外部金鑰存放區中的 KMS 金鑰,請參閱 [識別外部金鑰存放區中的 KMS 金鑰](identify-key-types.md#view-xks-key)。 + 若要了解在外部金鑰存放區中刪除 KMS 金鑰的特殊考量,請參閱[從外部金鑰存放區刪除 KMS 金鑰](deleting-keys.md#delete-xks-key)。