本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
概念
了解 AWS 支付密码学中使用的基本术语和概念,以及如何使用它们来帮助您保护数据。
- 别名
-
与 AWS 支付密码学密钥关联的用户友好名称。在许多 AWS 支付密码学 API 操作中,别名可以与密钥 ARN 互换使用。别名允许轮换或以其他方式更改密钥,而不会影响您的应用程序代码。别名是最多 256 个字符的字符串。它可以唯一标识账户和区域内关联的 AWS 支付密码密钥。在 AWS 支付密码学中,别名始终以开头。
alias/
别名的格式如下:
alias/
<alias-name>
例如:
alias/sampleAlias2
- 密钥 ARN
-
密钥 ARN 是 AWS Payment Cryptography 中密钥条目的 Amazon 资源名称(ARN))。它是 AWS 支付密码学密钥的唯一且完全限定的标识符。密钥 ARN 包括 AWS 账户、区域和随机生成的 ID。ARN 与密钥材料无关,也并非源自密钥材料。由于它们是在创建或导入操作期间自动分配的,因此这些值不具备幂等性。多次导入同一个密钥将导致多个密钥 ARN 具有自己的生命周期。
密钥 ARN 的格式如下:
arn:
<partition>
:payment-cryptography:<region>
:<account-id>
:alias/<alias-name>
以下是示例密钥 ARN:
arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
- 密钥标识符
-
密钥标识符是对密钥的引用,其中一个(或多个)是 AWS 支付密码学操作的典型输入。有效的密钥标识符可以是 Key Arn 或密钥别名。
- AWS 付款密码学密钥
-
AWS 支付密码学密钥(密钥)用于所有加密功能。密钥可以由您使用 create key 命令直接生成,也可以通过调用密钥导入添加到系统中。可以通过查看属性来确定密钥的来源 KeyOrigin。 AWS Payment Cryptography 还支持加密操作期间使用的派生密钥或中间密钥,例如 DUKPT 使用的密钥。
这些密钥在创建时定义了不可变和可变属性。算法、长度和用法等属性是在创建时定义的,无法更改。其他内容(例如生效日期或到期日期)可以修改。有关AWS 支付密码学密钥属性的完整列表,请参阅 AWS 支付密码学 API 参考。
AWS 支付密码学密钥的密钥类型主要由 ANSI X9 TR 31 定义,这些密钥类型仅限于 PCI PIN v3.1 要求 19 中规定的预期用途。
按照 PCI PIN v3.1 第 18-3 条要求的规定进行存储、与其他账户共享或导出时,属性将使用密钥块绑定到密钥。
密钥在 AWS 支付密码学平台中使用称为密钥 Amazon 资源名称 (
ARN
) 的唯一值进行识别。注意
密钥
ARN
是在最初创建密钥或将密钥导入 AWS 支付加密服务时生成的。因此,如果使用导入密钥功能多次添加相同的密钥材料,则相同的密钥材料将位于多个密钥下,但每个密钥都有不同的密钥生命周期。