

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 關於 AWS KMS keys
<a name="about-kms-keys"></a>

AWS Key Management Service (AWS KMS) 可讓您建立密碼編譯金鑰，可用於您傳遞給服務的資料。主要資源類型是 KMS 金鑰，其中有[三種類型](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)：
+ **進階加密標準 (AES) 對稱金鑰** – 這些是 256 位元金鑰，用於 AES 的 Galois 計數器模式 (GCM) 模式。這些金鑰提供大小小於 4 KB 的資料驗證加密和解密。這是最常見的金鑰類型。它用於保護其他資料金鑰，例如您的應用程式中使用的資料 AWS 服務 金鑰，或代表您加密資料的資料金鑰。
+ **RSA 或橢圓曲線非對稱索引鍵** – 這些索引鍵提供各種大小，並支援許多演算法。根據演算法，它們可用於加密和解密以及簽署和驗證操作。
+ 用於**執行雜湊型訊息驗證碼 (HMAC) 操作的對稱金鑰** – 這些金鑰是用於簽署和驗證操作的 256 位元金鑰。

無法從服務以純文字匯出 KMS 金鑰。它們是由 產生，並且只能在 服務使用的硬體安全模組 HSMs) 內使用。這是 的基本安全屬性 AWS KMS ，可防止金鑰遭到入侵。在中國 （北京） 和中國 （寧夏） 區域，這些 HSMs已經過 [OSCCA](https://www.oscca.gov.cn/) 認證。在所有其他區域中，用於 HSMs AWS KMS 會在安全層級 3 的 [NIST 內透過 FIPS 140 程式](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/3739)進行驗證。如需 中 AWS KMS 有助於保護金鑰之設計和控制項的詳細資訊，請參閱[AWS Key Management Service 密碼編譯詳細資訊](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)。

您可以使用 AWS KMS 各種密碼編譯 APIs 將資料提交至 ，以使用 KMS 金鑰執行加密、解密、簽署或驗證操作。您也可以選擇讓 KMS 金鑰充當*金鑰加密金鑰*，以保護稱為*資料金鑰*的金鑰類型。您可以從 匯出資料金鑰 AWS KMS ，以便在本機應用程式或代表保護 AWS 服務 資料的 中使用。資料金鑰的使用在所有金鑰管理系統中都很常見，通常稱為[信封加密](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping)。*信封加密*允許在處理您的敏感資料的遠端系統上使用資料金鑰，而不必直接將敏感資料傳送到 AWS KMS 以進行 KMS 金鑰下的加密。

如需詳細資訊，請參閱 AWS KMS 文件中的 [AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)和 [AWS KMS 密碼編譯基本概念](https://docs.aws.amazon.com/kms/latest/developerguide/kms-cryptography.html)。