本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用创建 AWS KMS 资源 AWS CloudFormation
AWS Key Management Service 与一项服务集成 AWS CloudFormation,该服务可帮助您对 AWS 资源进行建模和设置,从而减少创建和管理资源和基础架构所花费的时间。您可以创建描述 KMS 密钥和别名的模板, AWS CloudFormation 将为您预置和配置这些资源。有关 AWS KMS 支持的信息 CloudFormation,请参阅《AWS CloudFormation 用户指南》中的 KMS 资源类型参考。
使用时 AWS CloudFormation,您可以重复使用模板来一致且重复地设置 AWS KMS 资源。只需描述一次您的资源,然后在多个 AWS 账户 区域中一遍又一遍地配置相同的资源。
要为和其他 AWS 服务配置 AWS KMS 和配置资源,必须了解AWS CloudFormation 模板。模板是 JSON 或 YAML 格式的文本文件。这些模板描述了您要在 AWS CloudFormation 堆栈中配置的资源。如果你不熟悉 JSON 或 YAML,可以使用 D AWS CloudFormation esigner 来帮助你开始使用 AWS CloudFormation 模板。有关更多信息,请参阅《AWS CloudFormation 用户指南》中的什么是 AWS CloudFormation Designer?。
区域
AWS KMS CloudFormation 所有支持的区域 AWS CloudFormation 都支持资源。
AWS KMSAWS CloudFormation 模板中的资源
AWS KMS 支持以下 AWS CloudFormation 资源。
-
该
AWS::KMS::Key资源在中指定了 KMS 密钥 AWS Key Management Service。您可以使用此资源创建对称加密 KMS 密钥、用于加密或签名的非对称 KMS 密钥以及对称 HMAC KMS 密钥。您可以使用AWS::KMS::Key创建所有支持类型的多区域主密钥。要复制多区域密钥,请使用AWS::KMS::ReplicaKey资源。 -
AWS::KMS::Alias创建一个别名并将其与 KMS 密钥关联。KMS 密钥可以在模板中定义,也可以由其他机制创建。 -
AWS::KMS::ReplicaKey创建一个多区域副本密钥。要创建多区域主密钥,请使用AWS::KMS::Key资源。您不能使用此资源复制具有导入密钥材料的多区域密钥。有关多区域密钥的详细信息,请参阅 中的多区域密钥 AWS KMS。
重要
如果您更改现有 KMS 密钥的 KeyUsage、KeySpec 或 MultiRegion 属性的值,则会安排删除现有 KMS 密钥,并使用指定值创建新的 KMS 密钥。
安排删除后,现有 KMS 密钥将无法使用。如果您不取消计划删除之外的现有 KMS 密钥,则删除 KMS 密钥后 AWS CloudFormation,在现有 KMS 密钥下加密的所有数据都将无法恢复。
模板创建的 KMS 密钥是您的实际资源 AWS 账户。授权委托人可以使用模板、 AWS KMS 控制台或 AWS KMS API 使用和管理模板创建的 KMS 密钥。当您从模板中删除 KMS 密钥时,系统将使用您提前指定的等待时间来计划删除 KMS 密钥。
例如,您可以使用 AWS CloudFormation 模板创建包含密钥策略、密钥规范、密钥用法、别名和您喜欢的标签的测试 KMS 密钥。您可以通过测试套件运行它,查看结果,然后使用模板计划删除测试密钥。稍后,您可以再次运行模板以创建具有相同属性的测试密钥。
或者,您可以使用 AWS CloudFormation 模板来定义满足您的业务规则和安全标准的特定 KMS 密钥配置。然后,您可以在需要创建 KMS 密钥的任何时候使用该模板。对于密钥配置错误,您无需担心。如果您的首选配置发生了更改,您可以使用模板更新 KMS 密钥。例如,您可以使用模板轻松地以编程方式对模板定义的所有 KMS 密钥启用自动密钥轮替。
有关 AWS KMS 资源的更多信息(包括示例),请参阅《AWS CloudFormation 用户指南》中的 KMS 资源类型参考。
了解更多关于 AWS CloudFormation
要了解更多信息 AWS CloudFormation,请参阅以下资源:
