终止支持通知：2026 年 10 月 7 日， AWS 将停止对的支持。 AWS IoT Greengrass Version 1 2026 年 10 月 7 日之后，您将无法再访问这些 AWS IoT Greengrass V1 资源。如需了解更多信息，请访问[迁移自 AWS IoT Greengrass Version 1](https://docs.aws.amazon.com/greengrass/v2/developerguide/migrate-from-v1.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Greengrass 核心设备的密钥管理
<a name="key-management"></a>

客户有责任保证在 Greengrass 核心设备上安全存储加密（公共和私有）密钥。在以下情况下， AWS IoT Greengrass 使用公钥和私钥：
+ IoT 客户端密钥与 IoT 证书一起使用，以便在 Greengrass 核心连接 AWS IoT Core时对传输层安全性 (TLS) 握手进行身份验证。有关更多信息，请参阅 [设备身份验证和授权 AWS IoT Greengrass](device-auth.md)。
**注意**  
密钥和证书也称为核心私钥和核心设备证书。
+ MQTT 服务器密钥用于 MQTT 服务器证书对核心设备和客户端设备之间的 TLS 连接进行身份验证。有关更多信息，请参阅 [设备身份验证和授权 AWS IoT Greengrass](device-auth.md)。
+ 本地 Secrets Manager 还使用 IoT 客户端密钥来保护用于加密本地机密的数据密钥，但您可以提供自己的私钥。有关更多信息，请参阅 [密钥加密](secrets.md#secrets-encryption)。

Greengrass 核心支持使用文件系统权限、[硬件安全模块](hardware-security.md)或同时使用两者进行的私钥存储。如果您使用基于文件系统的私钥，您需要负责在核心设备上安全存储这些私钥。

在 Greengrass 核心上，您的私钥位置在 `config.json` 文件的 `crypto` 部分中指定。如果您将核心配置为使用客户提供的 MQTT 服务器证书的密钥，您需要负责轮换该密钥。有关更多信息，请参阅 [AWS IoT Greengrass 核心安全主体](gg-sec.md#gg-principals)。

对于客户端设备，您需要负责使 TLS 堆栈保持最新状态并保护私钥安全。私钥与设备证书一起使用，用于对与 AWS IoT Greengrass 服务的 TLS 连接进行身份验证。