概念 - AWS 支付密码学

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

概念

了解 AWS 支付密码学中使用的基本术语和概念,以及如何使用它们来帮助您保护数据。

别名

与 AWS 支付密码学密钥关联的用户友好名称。在许多 AWS 支付密码学 API 操作中,别名可以与密钥 ARN 互换使用。别名允许轮换或以其他方式更改密钥,而不会影响您的应用程序代码。别名是最多 256 个字符的字符串。它可以唯一标识账户和区域内关联的 AWS 支付密码密钥。在 AWS 支付密码学中,别名始终以开头。alias/

别名的格式如下:

alias/<alias-name>

例如:

alias/sampleAlias2
密钥 ARN

密钥 ARN 是 AWS Payment Cryptography 中密钥条目的 Amazon 资源名称(ARN))。它是 AWS 支付密码学密钥的唯一且完全限定的标识符。密钥 ARN 包括 AWS 账户、区域和随机生成的 ID。ARN 与密钥材料无关,也并非源自密钥材料。由于它们是在创建或导入操作期间自动分配的,因此这些值不具备幂等性。多次导入同一个密钥将导致多个密钥 ARN 具有自己的生命周期。

密钥 ARN 的格式如下:

arn:<partition>:payment-cryptography:<region>:<account-id>:alias/<alias-name>

以下是示例密钥 ARN:

arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
密钥标识符

密钥标识符是对密钥的引用,其中一个(或多个)是 AWS 支付密码学操作的典型输入。有效的密钥标识符可以是 Key Arn密钥别名

AWS 付款密码学密钥

AWS 支付密码学密钥(密钥)用于所有加密功能。密钥可以由您使用 create key 命令直接生成,也可以通过调用密钥导入添加到系统中。可以通过查看属性来确定密钥的来源 KeyOrigin。 AWS Payment Cryptography 还支持加密操作期间使用的派生密钥或中间密钥,例如 DUKPT 使用的密钥。

这些密钥在创建时定义了不可变和可变属性。算法、长度和用法等属性是在创建时定义的,无法更改。其他内容(例如生效日期或到期日期)可以修改。有关AWS 支付密码学密钥属性的完整列表,请参阅 AWS 支付密码学 API 参考

AWS 支付密码学密钥的密钥类型主要由 ANSI X9 TR 31 定义,这些密钥类型仅限于 PCI PIN v3.1 要求 19 中规定的预期用途。

按照 PCI PIN v3.1 第 18-3 条要求的规定进行存储、与其他账户共享或导出时,属性将使用密钥块绑定到密钥。

密钥在 AWS 支付密码学平台中使用称为密钥 Amazon 资源名称 (ARN) 的唯一值进行识别。

注意

密钥ARN是在最初创建密钥或将密钥导入 AWS 支付加密服务时生成的。因此,如果使用导入密钥功能多次添加相同的密钥材料,则相同的密钥材料将位于多个密钥 下,但每个密钥都有不同的密钥生命周期。