本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Control Tower 可與 AWS Key Management Service () 搭配使用AWS KMS。或者,如果您想要使用您管理的加密金鑰來加密和解密 AWS Control Tower 資源,您可以產生和設定 AWS KMS keys。您可以在更新登陸區域時新增或變更 KMS 金鑰。最佳實務是,我們建議您使用自己的 KMS 金鑰,並不時變更金鑰。
AWS KMS 可讓您建立多區域 KMS 金鑰和非對稱金鑰。不過,AWS Control Tower 不支援多區域金鑰或非對稱金鑰。AWS Control Tower 會執行現有金鑰的預先檢查。如果您選擇多區域金鑰或非對稱金鑰,您可能會看到錯誤訊息。在這種情況下, 會產生另一個金鑰以搭配 AWS Control Tower 資源使用。
對於操作 AWS CloudHSM 叢集的客戶:建立與您的 CloudHSM 叢集相關聯的自訂金鑰存放區。然後,您可以建立 KMS 金鑰,該金鑰位於您建立的 CloudHSM 自訂金鑰存放區中。您可以將此 KMS 金鑰新增至 AWS Control Tower。
您必須對 KMS 金鑰的許可政策進行特定更新,以使其與 AWS Control Tower 搭配使用。如需詳細資訊,請參閱名為 的 章節更新 KMS 金鑰政策。
