本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 中的非對稱金鑰 AWS KMS *非對稱 KMS 金鑰*表示以數學方式相關的公有金鑰和私有金鑰對。您可以將公有金鑰提供給任何人,即使不受信任的人也可以,但私有金鑰則一定要保管好。 在非對稱 KMS 金鑰中,私有金鑰是在 中建立 AWS KMS ,絕不會保持 AWS KMS 未加密狀態。若要使用私有金鑰,您必須呼叫 AWS KMS。您可以透過呼叫 AWS KMS API 操作 AWS KMS ,在 中使用公有金鑰。或者,您可以[下載公有金鑰](download-public-key.md)並在外部使用 AWS KMS。 如果您的使用案例需要無法呼叫的使用者 AWS 在 外部加密 AWS KMS,非對稱 KMS 金鑰是不錯的選擇。不過,如果您要建立 KMS 金鑰來加密您在 AWS 服務中存放或管理的資料,請使用對稱加密 KMS 金鑰。[AWS 與 整合的 服務 AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration)只會使用對稱加密 KMS 金鑰來加密您的資料。這些服務不支援使用非對稱 KMS 金鑰進行加密。 使用 簽署大於 4 KB 的訊息時 AWS KMS,您必須在簽署 AWS KMS 之前對 外部的訊息進行雜湊。 AWS KMS 提供三種處理訊息輸入`MessageType`的選項:`RAW`純文字訊息 (其中 AWS KMS 執行雜湊)、預先雜湊訊息 `DIGEST` (其中 AWS KMS 略過雜湊步驟),以及`EXTERNAL_MU`特別是輸入為 64 位元組代表 μ 值的 ML-DSA KMS 金鑰規格。對於超過 4 KB 限制的大型訊息,請在外部雜湊訊息,並在 calling AWS KMS [Sign](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) and AWS KMS [Verify](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) 操作時使用 [https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html#KMS-Sign-request-MessageType](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html#KMS-Sign-request-MessageType)(或 [https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html#KMS-Sign-request-MessageType](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html#KMS-Sign-request-MessageType) ML-DSA KMS 金鑰)。 AWS KMS 支援多種類型的非對稱 KMS 金鑰。 **RSA KMS 金鑰** 具有 RSA 金鑰對的 KMS 金鑰,用於加密和解密或簽署和驗證 (但不能同時進行兩者)。 AWS KMS 支援多種金鑰長度,以滿足不同的安全需求。 如需 AWS KMS 支援 RSA KMS 金鑰之加密和簽署演算法的技術詳細資訊,請參閱 [RSA 金鑰規格](symm-asymm-choose-key-spec.md#key-spec-rsa)。 **橢圓曲線 (ECC) KMS 金鑰** 具有橢圓曲線金鑰對的 KMS 金鑰,用於簽署和驗證或衍生共用秘密 (但不能同時產生兩者)。 AWS KMS 支援數個常用的曲線。 如需 AWS KMS 支援 ECC KMS 金鑰之簽署演算法的技術詳細資訊,請參閱[橢圓曲線金鑰規格](symm-asymm-choose-key-spec.md#key-spec-ecc)。 **ML-DSA KMS 金鑰** 具有 ML-DSA 金鑰對的 KMS 金鑰,用於簽署和驗證。ML-DSA 是由美國國家標準技術研究所 (NIST) 開發的量子後密碼編譯標準,可防止量子運算帶來的安全威脅。ML-DSA 是從 RSA 或橢圓曲線數位簽章演算法轉換為量子後安全密碼編譯的組織建議使用的數位簽章演算法。 AWS KMS 支援多種金鑰長度,以滿足不同的安全需求。如需 AWS KMS 支援 ML-DSA KMS 金鑰之簽署演算法的技術詳細資訊,請參閱 [ML-DSA 金鑰規格](symm-asymm-choose-key-spec.md#key-spec-mldsa)。 **SM2 KMS 金鑰 (僅限中國區域)** 具有 SM2 金鑰對的 KMS 金鑰,用於加密和解密、簽署和驗證,或衍生共用秘密 (您必須選擇一個[Key usage](create-keys.md#key-usage)類型)。 如需 AWS KMS 支援 SM2 KMS 金鑰的加密和簽署演算法技術詳細資訊 (僅限中國區域),請參閱 [SM2 金鑰規格](symm-asymm-choose-key-spec.md#key-spec-sm)。 如需有關如何選擇非對稱金鑰組態的說明,請參閱[選擇要建立的 KMS 金鑰類型](create-keys.md#symm-asymm-choose)。 **區域** AWS 區域 AWS KMS 支援的所有 都支援非對稱 KMS 金鑰和非對稱資料金鑰對。 **進一步了解** + 若要建立非對稱 KMS 金鑰,請參閱 [建立非對稱 KMS 金鑰](asymm-create-key.md)。 + 若要建立多區域非對稱 KMS 金鑰,請參閱[建立多區域主索引鍵](create-primary-keys.md)。 + 若要了解如何使用非對稱 KMS 金鑰簽署訊息並驗證簽章,請參閱 *AWS 安全部落格*中的[使用 AWS KMS新的非對稱金鑰功能進行數位簽署](https://aws.amazon.com/blogs/security/digital-signing-asymmetric-keys-aws-kms/)。 + 若要了解刪除非對稱 KMS 金鑰的特殊考量,請參閱 [Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks)。 + 若要識別和檢視非對稱 KMS 金鑰,請參閱 [識別非對稱 KMS 金鑰](identify-key-types.md#identify-asymm-keys)。