本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Key Management Service(AWS KMS) 提供 Web 界面來產生和管理密碼編譯金鑰,並以密碼編譯服務供應商的身分運作,以保護資料。AWS KMS 提供傳統的金鑰管理服務,並與 AWS 服務整合,為提供跨 AWS 的一致客戶金鑰視圖,擁有集中式管理和稽核功能。本白皮書提供 AWS KMS 密碼編譯操作的詳細說明,以協助您評估服務所提供的功能。
AWS KMS 包含透過 AWS Management Console 的 Web 界面、命令列界面和 RESTful API 操作,以請求 FIPS 140-2 經驗證硬體安全模組 (HSM) 分散式機群的密碼編譯操作 [1]。AWS KMS HSM 是一款多晶片獨立硬體密碼編譯設備,旨在提供專用的密碼編譯功能,以滿足 AWS KMS 的安全和可擴展性需求。您可以在作為 AWS KMS keys 管理的金鑰下建立自己的 HSM 式密碼編譯階層。這些金鑰只能在處理密碼編譯請求所需的必要時間內在 HSM 上和記憶體內提供。您可以建立多個 KMS 金鑰,每個金鑰都以其金鑰 ID 表示。僅限於在由每個客戶管理的 AWS IAM 角色和帳戶下,可以建立、刪除客戶 KMS 金鑰,或用來加密、解密、簽署或驗證資料。您可以藉由建立連接至金鑰的政策,來定義誰可以管理和/或使用 KMS 金鑰的存取控制項。這些政策可讓您為每個 API 操作定義金鑰的應用程式特定用途。
除此之外,大多數 AWS 服務支援使用 KMS 金鑰對靜態資料加密。此功能可讓客戶控制 AWS 服務何時可以如何透過控制存取 KMS 金鑰的方式和時間來存取加密的資料。
AWS KMS 是一種分層服務,包含面向 Web 的 AWS KMS 主機和一層 HSM。這些分層主機的群組會形成 AWS KMS 堆疊。所有 AWS KMS 請求必須透過 Transport Layer Security 通訊協定 (TLS) 提出,並在 AWS KMS 主機終止。AWS KMS 主機只允許使用提供完整轉寄密碼