本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Key Management Service
<a name="overview"></a>

AWS Key Management Service (AWS KMS) 是一项 AWS 托管服务，可让您轻松创建和控制用于加密和签名数据的密钥。您在中创建的 AWS KMS 受 AWS KMS keys 到 [FIPS 140-3 安全等级 3 验证的硬件安全模块 (](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884)HSM) 的保护。他们永远不会以 AWS KMS 未加密的方式离开。要使用或管理您的 KMS 密钥，您需要与进行交互 AWS KMS。

## 为什么要使用 AWS KMS？
<a name="service-kms-why"></a>

在加密数据时，您需要保护加密密钥。如果加密您的密钥，您需要保护加密密钥。最终，您必须保护数据保护层次结构中最高级别的加密密钥（称为*根密钥*）。这就是用 AWS KMS 武之地。

![\[根密钥保护用于保护您数据的数据密钥\]](http://docs.aws.amazon.com/zh_cn/kms/latest/developerguide/images/key-hierarchy-root.png)


AWS KMS 保护您的根密钥。KMS 密钥完全是在其中创建、管理、使用和删除的 AWS KMS。其绝不会使服务处于未加密状态。要使用或管理您的 KMS 密钥，请致电 AWS KMS。

![\[AWS KMS 保护您的根密钥\]](http://docs.aws.amazon.com/zh_cn/kms/latest/developerguide/images/key-hierarchy-kms-key.png)


此外，您还可以在中创建和管理[密钥策略](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) AWS KMS，确保只有受信任的用户才能访问 KMS 密钥。

## AWS KMS in AWS 区域
<a name="kms_regions"></a>

[AWS Key Management Service 终端节点和配额中列出了支持的内容](https://docs.aws.amazon.com/general/latest/gr/kms.html)。 AWS 区域 AWS KMS 如果支持的 AWS KMS 功能不 AWS KMS 支持 AWS 区域 ，则在有关该功能的主题中描述了区域差异。

## AWS KMS 定价
<a name="pricing"></a>

与其他 AWS 产品一样，使用 AWS KMS 不需要合同或最低购买量。有关 AWS KMS 定价的更多信息，请参阅[AWS Key Management Service 定价](https://aws.amazon.com/kms/pricing/)。

## AWS KMS 服务等级协议
<a name="kms_service_levels"></a>

AWS Key Management Service 以[服务等级协议为后盾，该协议](https://aws.amazon.com/kms/sla/)定义了我们的服务可用性政策。