本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
存取 AWS Key Management Service
您可以透過 AWS KMS 下列方式使用 :
AWS Management Console
主控台是用於管理 AWS AWS KMS 和資源的 Web 型使用者介面。如果您已註冊 AWS 帳戶,您可以登入 AWS Management Console 並從 AWS KMS AWS Management Console 首頁選擇 來存取 AWS KMS 主控台。
使用 AWS KMS 主控台所需的許可
若要使用 AWS KMS 主控台,使用者必須擁有一組最低許可,允許他們使用其中 AWS KMS 的資源 AWS 帳戶。除了這些 AWS KMS 許可之外,使用者還必須具有列出IAM使用者和IAM角色的許可。如果您建立比最基本必要許可更嚴格的 IAM 政策,則對於具有該 IAM 政策的使用者而言, AWS KMS 主控台就無法如預期運作。
對於允許使用者唯讀存取 AWS KMS 主控台所需的最低許可,請參閱允許使用者在 AWS KMS 主控台中檢視KMS金鑰。
若要允許使用者使用 AWS KMS 主控台建立和管理KMS金鑰,請將 AWSKeyManagementServicePowerUser 受管政策連接至使用者,如 中所述AWS 的 受管政策 AWS Key Management Service。
對於 AWS KMS API透過 AWS Command Line Interface、 或 使用 的使用者AWS SDKs
AWS Command Line Interface
您可以使用 AWS CLI 工具在系統的命令列發出命令或建置指令碼,以執行 AWS (包括 AWS KMS) 任務。
如需 AWS KMS 透過 使用 的詳細資訊 AWS CLI,請參閱 AWS CLI 命令參考
AWS KMS REST API
的架構設計 AWS KMS 為程式設計語言中立,使用 AWS支援的界面來存放和擷取物件。您可以使用 以程式設計方式存取 S3 AWS AWS KMS REST API。 的 REST API 是 的HTTP介面 AWS KMS。使用 REST API,您可以使用標準HTTP請求來建立、擷取和刪除儲存貯體和物件。
如需使用 的詳細資訊 AWS KMS REST API,請參閱 AWS Key Management Service API 參考
AWS SDKs
AWS 提供 SDKs(軟體開發套件),其中包含常見程式設計語言和平台 (Java、 JavaScriptC、Python 等) 的程式庫和範例程式碼。 AWS SDKs 提供便捷的方式,以建立 AWS KMS 和 的程式設計存取 AWS。 AWS KMS REST 服務。您可以使用 AWS KMS AWS SDK程式庫將請求傳送至 ,該程式庫會包裝基礎 AWS KMS REST API 並簡化您的程式設計任務。如需 的相關資訊 AWS SDKs,包括如何下載和安裝它們,請參閱在 上建置的工具 AWS
AWS KMS 使用 AWS SDKs程式碼範例 提供 AWS KMS 透過 使用 的良好起點 AWS SDKs.
AWS Encryption SDK
AWS Encryption SDK 是在應用程式中實作用戶端加密的工具。它不會提供 的完整存取權KMS,而是與 整合 AWS KMS,或可在SDK不參考KMS金鑰的情況下做為獨立使用。程式庫適用於 Java、 JavaScript、C、Python 和其他程式設計語言。
如需詳細資訊,請參閱《AWS Encryption SDK 開發人員指南》。
AWS KMS key 政策和IAM政策
AWS KMS 最終一致性
由於 AWS KMS API系統的分散式性質, 遵循最終一致性
當您執行 AWS KMS API呼叫時,在變更全面可用之前,可能會有短暫的延遲 AWS KMS。變更傳播到整個系統通常需要不到幾秒鐘的時間,但在某些情況下可能需要幾分鐘。在此期間,您可能會收到非預期的錯誤,例如 NotFoundException 或 InvalidStateException。例如,NotFoundException如果您GetParametersForImport在呼叫 後立即呼叫 , AWS KMS 可能會傳回 CreateKey。
建議您在 AWS KMS 用戶端上設定重試策略,以便在短暫等待期間後自動重試操作。如需詳細資訊,請參閱 AWS SDKs和 工具參考指南中的重試行為。
對於授予相關API呼叫,您可以使用授予字符來避免任何潛在的延遲,並立即在授予中使用許可。如需詳細資訊,請參閱最終一致性模式 (授權)。
