本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS KMS 概念
<a name="concepts-intro"></a>

了解 AWS Key Management Service (AWS KMS) 中使用的基本術語和概念，以及它們如何協同運作以協助保護您的資料。

## 簡介 AWS KMS
<a name="intro"></a>

AWS Key Management Service (AWS KMS) 提供 Web 界面來產生和管理密碼編譯金鑰，並做為保護資料的密碼編譯服務提供者。 AWS KMS 提供與 AWS 服務整合的傳統金鑰管理服務 AWS，透過集中式管理和稽核，提供客戶金鑰的一致檢視。

AWS KMS 包含透過 AWS 管理主控台的 Web 界面、命令列界面和 RESTful API 操作，以請求 FIPS 140-3 驗證的分散式硬體安全模組 (HSMs) 的密碼編譯操作。 AWS KMS HSM 是一種多晶片獨立硬體密碼編譯設備，旨在提供專用密碼編譯函數，以滿足 的安全性和可擴展性要求 AWS KMS。您可以在作為 AWS KMS keys管理的金鑰下建立自己的 HSM 式密碼編譯階層。這些金鑰只能在處理密碼編譯請求所需的必要時間內在 HSM 上和記憶體內提供。您可以建立多個 KMS 金鑰，每個金鑰都以其金鑰 ID 表示。只有在每位客戶管理的 AWS IAM 角色和帳戶下，才能建立、刪除或使用客戶受管 KMS 金鑰來加密、解密、簽署或驗證資料。您可以藉由建立連接至金鑰的政策，來定義誰可以管理和/或使用 KMS 金鑰的存取控制項。這些政策可讓您為每個 API 操作定義金鑰的應用程式特定用途。

此外，大多數 AWS 服務都支援使用 KMS 金鑰加密靜態資料。此功能可讓客戶透過控制存取 KMS 金鑰的方式和時間，來控制 AWS 服務存取加密資料的方式和時間。

![\[AWS KMS 架構。\]](http://docs.aws.amazon.com/zh_tw/kms/latest/developerguide/images/kms-key-architecture-updated.png)


AWS KMS 是一種分層服務，由面向 Web 的 AWS KMS 主機和 HSMs層組成。這些分層主機的分組會形成 AWS KMS 堆疊。所有對 的請求 AWS KMS 都必須透過 Transport Layer Security 通訊協定 (TLS) 提出，並在 AWS KMS 主機上終止。 AWS KMS 主機只允許 TLS 搭配提供完美[轉送私密的密碼](http://dx.doi.org/10.6028/NIST.SP.800-52r2)套件。 AWS KMS 會使用所有其他 AWS API 操作可用的相同登入資料和政策機制 AWS Identity and Access Management (IAM) 來驗證和授權您的請求。

### AWS KMS 設計目標
<a name="design-goals"></a>

AWS KMS 的設計符合下列要求。

**耐久性**  
密碼編譯金鑰的耐久性旨在與 中最高的耐久性服務相同 AWS。單一密碼編譯金鑰可以加密長時間累積的大量資料。

**值得信賴**  
金鑰的使用受到您定義和管理之存取控制政策的保護。沒有任何機制可匯出純文字 KMS 金鑰。密碼編譯金鑰的機密性至關重要。若要對 HSM 執行管理動作，需要有多名 Amazon 員工擁有對以仲裁為基礎之存取控制項的角色特定存取權。

**低延遲和高輸送量**  
AWS KMS 在適合供其他 服務使用的延遲和輸送量層級提供密碼編譯操作 AWS。

**獨立區域**  
AWS 為需要限制不同區域中資料存取的客戶提供獨立區域。可以在 AWS 區域內隔離金鑰用量。

**隨機數字的安全來源**  
由於強式密碼編譯取決於真正不可預測的隨機數字產生， AWS KMS 提供高品質且經過驗證的隨機數字來源。

**稽核**  
AWS KMS 在 AWS CloudTrail 日誌中記錄密碼編譯金鑰的使用和管理。您可以使用 AWS CloudTrail 日誌來檢查密碼編譯金鑰的使用，包括 AWS 服務代表您使用金鑰。

為了實現這些目標， AWS KMS 系統包含一組管理「網域」的 AWS KMS 運算子和服務主機運算子 （統稱為「運算子」)。網域是區域定義的一組 AWS KMS 伺服器、HSMs和運算子。每個 AWS KMS 運算子都有硬體字符，其中包含用於驗證其動作的私有和公有金鑰對。HSM 具有額外的私有和公有金鑰對，可建立保護 HSM 狀態同步的加密金鑰。