本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 什么是 AWS 支付密码学？
<a name="what-is"></a>

AWS Payment Cryptography 是一项托管 AWS 服务，可根据支付卡行业 (PCI) 标准提供对支付处理中使用的加密功能和密钥管理的访问权限，而无需您购买专用的支付 HSM 实例。 AWS Payment Cryptography 为执行支付功能的客户（例如收单机构、支付促进机构、网络、交换机、处理器和银行）提供了将其支付加密操作迁移到更靠近云端应用程序的地方，并最大限度地减少对包含专用支付的辅助数据中心或托管设施的依赖。 HSMs

 该服务旨在满足适用的行业规则，包括 PCI PIN、PCI P2PE 和 PCI DSS，并且该服务利用经过 [PCI PTS HSM V3 和 FIPS 140-2 Level 3 认证](cryptographic-details-internalops.md)的硬件。它旨在支持低延迟、[高水平的正常运行时间和弹性](https://aws.amazon.com/payment-cryptography/sla/?did=sla_card&trk=sla_card)。 AWS Payment Cryptography 具有完全的弹性 HSMs，消除了内部部署的许多操作要求，例如需要配置硬件、安全地管理密钥材料以及在安全的设施中维护紧急备份。 AWS Payment Cryptography 还为您提供了以电子方式与合作伙伴共享密钥的选项，无需共享纸质明文组件。

 您可以使用 [AWS Payment Cryptography 控制面板 API](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/Welcome.html) 来创建和管理密钥。

您可以使用 [AWS Payment Cryptography 数据面板 API](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/Welcome.html)，以便使用加密密钥进行与支付相关的交易处理和相关的加密操作。

AWS 支付密码学提供了可用于管理密钥的重要功能：
+ 创建和管理对称和非对称 AWS 支付加密密钥，包括 TDES、AES 和 RSA 密钥，并指定其预期用途，例如生成 CVV 或 DUKPT 密钥派生。
+ 在硬件安全模块 (HSMs) 的保护下，自动安全地存储您的 AWS 支付密码学密钥，同时在用例之间强制执行密钥分离。
+  创建、删除、列出和更新别名，这些别名是 “友好名称”，可用于访问或控制对您的 P AWS ayment Cryptography 密钥的访问权限。
+  标记您的 AWS 支付密码学密钥以进行识别、分组、自动化、访问控制和成本跟踪。
+  使用密钥加密密钥 (KEK) 在 P AWS ayment Cryptography 和 HSM（或第三方）之间导入和导出对称密钥，符合 TR-31（可互操作的安全密钥交换密钥区块规范）。
+  使用非对称密钥对在 AWS 支付密码学和其他系统之间导入和导出对称密钥加密密钥 (KEK)，然后使用电子手段，例如 TR-34（使用非对称技术分发对称密钥的方法）。

您可以在加密操作中使用您的 AWS 支付加密密钥，例如：
+  使用对称或非对称 AWS 支付加密密钥对数据进行加密、解密和重新加密。
+  根据 PCI PIN 规则，在加密密钥之间安全地转换敏感数据（例如持卡人密码），而不会暴露明文。
+  生成或验证持卡人数据，例如 CVV 或 ARQC。 CVV2 
+  生成并验证持卡人 pin 码。
+  生成或验证 MAC 签名。

## 相关服务
<a name="w2aab7c25"></a>

**[AWS Key Management Service](https://aws.amazon.com/kms/)**  
AWS 密钥管理服务 (AWS KMS) 是一项托管服务，可让您轻松创建和控制用于保护数据的加密密钥。 AWS KMS 使用硬件安全模块 (HSMs) 来保护和验证您的 AWS KMS 密钥。

**[AWS CloudHSM](https://aws.amazon.com/cloudhsm/)**  
AWS CloudHSM 在 AWS 云中为客户提供专用的通用型 HSM 实例。 AWS CloudHSM 可以提供各种加密功能，例如创建密钥、数据签名或加密和解密数据。

## 有关更多信息
<a name="w2aab7c27"></a>
+ 要了解 AWS 支付密码学中使用的术语和概念，请参阅[AWS 支付密码](concepts.md)学概念。
+ 有关 AWS 支付密码控制面板 API 的信息，请参阅[AWS 支付密码控制面板 API](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/Welcome.html) 参考。
+ 有关 AWS 支付密码学数据面板 API 的信息，请参阅[AWS 支付加密数据平面 API](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/Welcome.html) 参考。
+ [有关支付密码学如何使用密码学和保护 AWSAWS 支付密码学密钥的详细技术信息，请参阅加密详细信息。](cryptographic-details.md)