本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 客戶操作
<a name="cryptographic-details-customerops"></a>

 AWS 根據 PCI 標準，付款密碼編譯對 HSM 實體合規負有完整責任。此服務也提供安全的金鑰存放區，並確保金鑰只能用於 PCI 標準允許的目的，並在建立或匯入期間由您指定。您負責設定金鑰屬性和存取權，以利用服務的安全性和合規功能。

**Topics**
+ [產生金鑰](#w2aac39c25b7)
+ [匯入金鑰](#w2aac39c25b9)
+ [匯出金鑰](#w2aac39c25c11)
+ [刪除 金鑰](#w2aac39c25c13)
+ [輪換 金鑰](#w2aac39c25c15)

## 產生金鑰
<a name="w2aac39c25b7"></a>

建立金鑰時，您可以設定服務用來強制合規使用金鑰的屬性：
+ 演算法和金鑰長度 
+ Usage 
+ 可用性和過期 

用於屬性型存取控制 (ABAC) 的標籤也應該在建立期間設定，以限制與特定合作夥伴或應用程式搭配使用的金鑰。請務必包含政策，以限制允許刪除或變更標籤的角色。

您應該確保決定可能使用和管理金鑰之角色的政策在建立金鑰之前已設定。

**注意**  
CreateKey 命令上的 IAM 政策可用於強制執行和示範金鑰產生的雙重控制。

## 匯入金鑰
<a name="w2aac39c25b9"></a>

匯入金鑰時，服務會使用金鑰區塊中的密碼編譯繫結資訊來設定強制合規使用金鑰的屬性。設定基本金鑰內容的機制是使用以來源 HSM 建立且受到共用或非對稱 [KEK](terminology.md#terms.kek) 保護的金鑰區塊。這符合 PCI PIN 要求，並保留來源應用程式的用量、演算法和金鑰強度。

除了金鑰區塊中的資訊之外，匯入時還必須建立重要的金鑰屬性、標籤和存取控制政策。

 使用密碼編譯匯入金鑰不會從來源應用程式傳輸金鑰屬性。您必須使用此機制適當地設定屬性。

 金鑰通常會使用純文字元件交換，由金鑰託管人傳輸，然後載入在安全房間實作雙重控制的儀式。 AWS 付款密碼編譯不支援此項目。API 將匯出具有憑證的公有金鑰，該憑證可由您自己的 HSM 匯入，以匯出可由服務匯入的金鑰區塊。可讓您使用自己的 HSM 載入純文字元件。

您應該使用金鑰檢查值 (KCV) 來驗證匯入的金鑰是否符合來源金鑰。

ImportKey API 上的 IAM 政策可用於強制執行和示範金鑰匯入的雙重控制。

## 匯出金鑰
<a name="w2aac39c25c11"></a>

與合作夥伴或內部部署應用程式共用金鑰可能需要匯出金鑰。使用金鑰區塊進行匯出，可維護具有加密金鑰材料的基本金鑰內容。

金鑰標籤可用來限制將金鑰匯出至共用相同標籤和值的 KEK。

 AWS 付款密碼編譯不提供或顯示純文字金鑰元件。這需要金鑰託管人直接存取 PCI PTS HSM 或 ISO 13491 測試的安全密碼編譯裝置 (SCD) 以進行顯示或列印。您可以使用 SCD 建立非對稱 KEK 或對稱 KEK，以在雙控下進行純文字金鑰元件建立程序。

金鑰檢查值 (KCV) 應該用來驗證目的地 HSM 比對來源金鑰是否匯入。

## 刪除 金鑰
<a name="w2aac39c25c13"></a>

您可以使用刪除金鑰 API，在您設定的一段時間後排定要刪除的金鑰。在那之前，時間索引鍵是可復原的。金鑰一旦刪除，就會從服務中永久移除。

DeleteKey API 上的 IAM 政策可用於強制執行和示範金鑰刪除的雙重控制。

## 輪換 金鑰
<a name="w2aac39c25c15"></a>

 可以使用金鑰別名來實作金鑰輪換的效果，方法是建立或匯入新金鑰，然後修改金鑰別名以參考新金鑰。根據您的管理實務，舊金鑰將被刪除或停用。