本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 存取 AWS Key Management Service
<a name="accessing-kms"></a>

您可以透過 AWS KMS 下列方式使用 ：

**Topics**
+ [AWS 管理主控台](#kms-console)
+ [AWS Command Line Interface](#kms-cli)
+ [AWS KMS REST API](#kms-api)
+ [AWS SDKs](#kms-sdk)
+ [搭配 AWS SDK 使用此服務](sdk-general-information-section.md)
+ [AWS Encryption SDK](#crypto-sdk)
+ [AWS KMS 最終一致性](#programming-eventual-consistency)
+ [搭配 使用混合式後量子 TLS AWS KMS](pqtls.md)
+ [AWS KMS 透過 VPC 端點連線至](kms-vpc-endpoint.md)
+ [雙堆疊端點支援](ipv6-kms.md)

## AWS 管理主控台
<a name="kms-console"></a>

主控台是用於管理 AWS KMS 和資源的 Web 型使用者介面 AWS 。如果您已註冊 AWS 帳戶，您可以登入 AWS 管理主控台 並從 AWS KMS AWS 管理主控台 首頁選擇 來存取 AWS KMS 主控台。

### 使用 AWS KMS 主控台所需的許可
<a name="console-permissions"></a>

若要使用 AWS KMS 主控台，使用者必須擁有一組最低許可，以允許他們使用其中 AWS KMS 的資源 AWS 帳戶。除了這些 AWS KMS 許可，使用者還必須具有列出 IAM 使用者和 IAM 角色清單的許可。如果您建立比最基本必要許可更嚴格的 IAM 政策，則對於採取該 IAM 政策的使用者而言， AWS KMS 主控台就無法如預期運作。

對於允許使用者唯讀存取 AWS KMS 主控台所需的最低許可，請參閱[允許使用者在 AWS KMS 主控台中檢視 KMS 金鑰](customer-managed-policies.md#iam-policy-example-read-only-console)。

若要允許使用者使用 AWS KMS 主控台來建立和管理 KMS 金鑰，請將 **AWSKeyManagementServicePowerUser** 受管政策連接至使用者，如中所述[AWS 的 受管政策 AWS Key Management Service](security-iam-awsmanpol.md)。

對於透過 [AWS SDKs](https://aws.amazon.com/tools/#sdk)[AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/)、 或 使用 AWS KMS API 的使用者，您不需要允許最低主控台許可[AWS Tools for PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/)。但是，您需要授予這些使用者使用 API 的許可。如需詳細資訊，請參閱[許可參考](kms-api-permissions-reference.md)。

## AWS Command Line Interface
<a name="kms-cli"></a>

您可以使用這些 AWS CLI 工具在系統的命令列發出命令或建置指令碼，以執行 AWS （包括 AWS KMS) 任務。

如需 AWS KMS 透過 使用 的詳細資訊 AWS CLI，請參閱 [AWS CLI 命令參考](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kms/index.html)

## AWS KMS REST API
<a name="kms-api"></a>

 的架構設計 AWS KMS 為程式設計語言中立。REST API 是 的 HTTP 界面 AWS KMS。透過 REST API，您可以使用標準 HTTP 請求來建立、擷取和刪除金鑰。

 如需使用 的詳細資訊 AWS KMS REST API，請參閱 [AWS Key Management Service API 參考](https://docs.aws.amazon.com/kms/latest/APIReference/Welcome.html)

## AWS SDKs
<a name="kms-sdk"></a>

AWS 提供SDKs（軟體開發套件），其中包含適用於常見程式設計語言和平台 (Java、JavaScript、C、Python 等） 的程式庫和範本程式碼。 AWS SDKs提供便捷的方式來建立對 AWS KMS 和 的程式設計存取 AWS。 AWS KMS 是一項REST服務。您可以使用 AWS SDK AWS KMS 程式庫將請求傳送至 ，該程式庫會包裝基礎 AWS KMS REST API 並簡化您的程式設計任務。如需有關 的資訊 AWS SDKs，包括如何下載和安裝它們，請參閱[在 上建置的工具 AWS](https://aws.amazon.com/developer/tools)。

[AWS KMS 使用 AWS SDKs程式碼範例](service_code_examples.md) 提供 AWS KMS 透過 使用 的良好起點 AWS SDKs。

## AWS Encryption SDK
<a name="crypto-sdk"></a>

 AWS Encryption SDK 是在應用程式中實作用戶端加密的工具。它不提供 KMS 的完整存取權，而是與 整合 AWS KMS，或可在不參考 KMS 金鑰的情況下用作獨立 SDK。程式庫適用於 Java、JavaScript、C、Python 和其他程式設計語言。

如需詳細資訊，請參閱《AWS Encryption SDK 開發人員指南》[https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)。

AWS KMS key 政策和 IAM 政策

## AWS KMS 最終一致性
<a name="programming-eventual-consistency"></a>

由於系統的分散式性質， AWS KMS API 遵循[最終一致性](https://en.wikipedia.org/wiki/Eventual_consistency)模型。因此，您執行的後續命令可能不會立即看到 AWS KMS 資源的變更。

當您執行 AWS KMS API 呼叫時，在變更全面可用之前，可能會有短暫的延遲 AWS KMS。變更傳播到整個系統通常需要不到幾秒鐘的時間，但在某些情況下可能需要幾分鐘。在此期間，您可能會收到非預期的錯誤，例如 `NotFoundException` 或 `InvalidStateException`。例如，`NotFoundException`如果您`GetParametersForImport`在呼叫 後立即呼叫 ， AWS KMS 可能會傳回 `CreateKey`。

建議您在 AWS KMS 用戶端上設定重試策略，以便在短暫的等待期間之後自動重試操作。如需詳細資訊，請參閱與叫在 AWS SDK 與工具參考指南的[重試操作](https://docs.aws.amazon.com/sdkref/latest/guide/feature-retry-behavior.html) 。

對於授權相關的 API 呼叫，您可以[使用授權權扙](using-grant-token.md)來避免任何潛在的延遲，並立即在授權中使用權限。如需詳細資訊，請參閱[最終一致性模式 (授權)](grants.md#terms-eventual-consistency)。