本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 控制目標 3:以安全的方式傳遞或傳輸金鑰。 *要求 8:* AWS 付款密碼編譯的金鑰傳遞已評估為 PCI PIN 評估的一部分。匯入付款 AWS 密碼編譯之前和匯出之後,您將需要記錄傳輸的金鑰保護機制。服務提供所有金鑰的金鑰檢查值,以驗證正確的傳輸。 要求 8-4 要求以保護公有金鑰完整性和真實性的方式傳遞公有金鑰。您的應用程式與 之間的傳遞, AWS 是由應用程式的身分驗證使用 AWS Identity and Access Management 方法 AWS,透過 TLS 伺服器憑證對應用程式進行 AWS API 端點身分驗證所控制。此外,從 AWS 付款密碼編譯匯出或匯入的公有金鑰具有暫時性、客戶特定 CAs 簽署的憑證 (請參閱 [GetPublicKeyCertificate](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetPublicKeyCertificate)、[GetParametersForImport](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetParametersForImport) 和 [GetParametersForExport](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetParametersForExport))。這些 CAs不能用作唯一身分驗證方法,因為它們不符合 PCI PIN 安全附件 A2。不過,憑證仍會透過提供身分驗證的 IAM 為公有金鑰提供完整性保證。 使用非對稱方法與業務合作夥伴交換公有金鑰時,您必須使用安全的檔案交換網站等,透過通訊管道提供 以進行企業身分驗證。 *要求 9:*服務不使用或直接支援純文字金鑰元件。 *要求 10:*服務會強制執行保護傳輸金鑰的相對金鑰強度。從 AWS 付款密碼編譯匯出至 之前和匯出之後,您必須負責金鑰傳遞,並使用適用於金鑰匯入、匯出和產生之正確 API 和 TR-31 參數。您應該有記錄的程序來描述金鑰傳輸機制,以及用於傳輸的密碼編譯金鑰清單。 *要求 11:*程序的文件必須指定傳遞金鑰的方式。使用 AWS 付款密碼編譯 API 的金鑰傳遞程序應包括使用具有金鑰匯入和匯出許可的角色,以及執行指令碼或建立 key. AWS CloudTrail logs 的其他程式碼的核准,其中包含所有 [ImportKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ImportKey) 和 [ExportKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ExportKey) 事件。