選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

AWS KMS keys

PDF
RSS
焦點模式
AWS KMS keys - AWS Key Management Service
客戶受管金鑰AWS 受管金鑰AWS 擁有的金鑰AWS KMS key 階層金鑰識別符 (KeyID)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

您為在自己的密碼編譯應用程式中使用而建立和管理的 KMS 金鑰屬於稱為客戶受管金鑰的類型。客戶受管金鑰也可以與使用 KMS 金鑰 AWS 的服務搭配使用,以代您加密服務存放的資料。對於希望完全控制金鑰生命週期和使用方式的客戶,建議使用客戶受管金鑰。帳戶中有客戶受管金鑰需要每月成本。此外,使用和/或管理金鑰的請求會產生使用成本。如需詳細資訊,請參閱AWS Key Management Service 定價

在某些情況下,客戶可能希望 AWS 服務加密其資料,但他們不希望管理金鑰的額外負荷,也不想支付金鑰的費用。AWS 受管金鑰 是存在於您帳戶中的 KMS 金鑰,但只能在特定情況下使用。具體而言,它只能用於 AWS 您操作的服務內容,並且只能由金鑰存在的帳戶內的主體使用。您無法管理這些金鑰生命週期或許可的任何相關內容。當您在 AWS 服務中使用加密功能時,您可能會看到 AWS 受管金鑰;它們使用「aws<service code>」形式的別名。例如, aws/ebs金鑰只能用來加密 EBS 磁碟區,而且只能用於與金鑰位於相同帳戶中的 IAM 主體所使用的磁碟區。請考慮縮小 AWS 受管金鑰 範圍的 ,僅供您帳戶中的使用者用於您帳戶中的資源。您無法將 下加密的資源 AWS 受管金鑰 與其他 帳戶共用。雖然您的帳戶中可以自由存在 AWS 受管金鑰 ,但指派給金鑰 AWS 的服務會向您收取任何使用此金鑰類型的費用。

AWS 受管金鑰 是舊版金鑰類型,自 2021 年起不再為新 AWS 服務建立。反之,新的 (和舊版) AWS 服務會使用稱為 的 ,依預設AWS 擁有的金鑰加密客戶資料。是一個 KMS AWS 擁有的金鑰 金鑰,位於由 AWS 服務管理的帳戶中,因此服務運算子能夠管理其生命週期和使用許可。透過使用 AWS 擁有的金鑰, AWS 服務可以透明地加密您的資料,並允許輕鬆跨帳戶或跨區域共用資料,而無需擔心金鑰許可。 AWS 擁有的金鑰 用於encryption-by-default的工作負載,提供更輕鬆、更自動化的資料保護。由於這些金鑰是由 擁有和管理 AWS,因此您不需要支付其存在或其用量的費用,您無法變更其政策,您無法稽核這些金鑰上的活動,也無法刪除它們。在控制很重要時使用客戶受管金鑰,但在便利性最重要 AWS 擁有的金鑰 時使用。

客戶受管金鑰 AWS 受管金鑰 AWS 擁有的金鑰
金鑰政策 由客戶獨家控制 由服務控制;客戶可檢視 完全受控制,且只能由加密您資料的 AWS 服務檢視
日誌 CloudTrail 客戶追蹤或事件資料存放區 CloudTrail 客戶追蹤或事件資料存放區 客戶無法檢視
生命週期管理 客戶管理輪換、刪除和區域位置 AWS KMS 管理輪換 (每年)、刪除和區域位置 AWS 服務 管理輪換、刪除和區域位置
定價

金鑰存在的每月費用 (按比例計算

每小時)。也會針對金鑰用量收費

 不收取月費;但呼叫者會針對這些金鑰上的 API 用量付費 客戶無須付費

您建立的 KMS 金鑰是客戶受管金鑰。使用 KMS 金鑰來加密您的服務資源的 AWS 服務 通常會為您建立金鑰。在您的 AWS 帳戶中 AWS 服務 建立的 KMS 金鑰為 AWS 受管金鑰。在服務帳戶中 AWS 服務 建立的 KMS 金鑰為 AWS 擁有的金鑰

KMS 金鑰類型 可以檢視 KMS 金鑰中繼資料 可以管理 KMS 金鑰 僅用於我的 AWS 帳戶 自動旋轉 定價
客戶受管金鑰 選用。

月費 (按小時比例計算)

每次使用費
AWS 受管金鑰 必要。每年 (約 365 天)。

沒有月費

使用費 (有些會為您 AWS 服務 支付此費用)
AWS 擁有的金鑰 會 AWS 服務 管理輪換策略。 沒有費用

AWS 與 整合的 服務 AWS KMS在對 KMS 金鑰的支援上有所不同。有些 AWS 服務預設會使用 AWS 擁有的金鑰 或 來加密您的資料 AWS 受管金鑰。有些 AWS 服務支援客戶受管金鑰。其他服務 AWS 支援所有類型的 KMS 金鑰,可讓您輕鬆使用 AWS 擁有的金鑰、 的可見性 AWS 受管金鑰,或控制客戶受管金鑰。如需 AWS 服務提供的加密選項的詳細資訊,請參閱 使用者指南中的靜態加密主題或 服務的開發人員指南。

客戶受管金鑰

您建立的 KMS 金鑰是客戶受管金鑰。客戶受管金鑰是您建立、擁有和管理 AWS 帳戶 之 中的 KMS 金鑰。您可以完全控制這些 KMS 金鑰,包括建立和維護其金鑰政策、IAM 政策和授予啟用和停用這些項目、輪換其密碼編譯材料新增標籤建立參考 KMS 金鑰的別名,以及排程 KMS 金鑰供刪除

客戶受管金鑰會出現在 AWS KMS的 AWS Management Console 客戶受管金鑰頁面。如要明確識別客戶受管金鑰,請使用 DescribeKey 操作。對於客戶受管金鑰,DescribeKey 回應的 KeyManager 欄位值是 CUSTOMER

您可以在密碼編譯操作中使用您的客戶受管金鑰,並在 AWS CloudTrail 日誌中稽核其使用情形。此外,許多與 AWS KMS整合的AWS 服務可讓您指定客戶受管金鑰,以保護為您存放和管理的資料。

客戶受管金鑰會衍生每月費用,以及超出免費方案部分的使用費用。它們會計入您帳戶的 AWS KMS 配額。如需詳細資訊,請參閱 AWS Key Management Service 定價配額

AWS 受管金鑰

AWS 受管金鑰 是帳戶中的 KMS 金鑰,由AWS 與 整合的服務 AWS KMS代表您建立、管理和使用。

有些 AWS 服務可讓您選擇 AWS 受管金鑰 或客戶受管金鑰,以保護該服務中的資源。一般而言,除非您需要控制保護資源的加密金鑰,否則 AWS 受管金鑰 是不錯的選擇。您不需要建立或維護金鑰或其金鑰政策,而且 AWS 受管金鑰永遠沒有月費。

您有權檢視帳戶中的 AWS 受管金鑰檢視其金鑰政策,以及稽核其在日誌中的使用。 AWS CloudTrail 不過,您無法變更任何屬性 AWS 受管金鑰、輪換它們、變更其金鑰政策,或排定刪除它們。此外,您無法直接 AWS 受管金鑰 在密碼編譯操作中使用 ;建立密碼編譯操作的服務會代表您使用它們。

組織中的資源控制政策不適用於 AWS 受管金鑰。

AWS 受管金鑰 會顯示在 AWS Management Console 的 AWS 受管金鑰頁面上 AWS KMS。您也可以 AWS 受管金鑰 依別名識別,其格式為 aws/service-name,例如 aws/redshift。若要明確識別 AWS 受管金鑰,請使用 DescribeKey 操作。對於 AWS 受管金鑰,DescribeKey 回應的 KeyManager 欄位值是 AWS

所有 AWS 受管金鑰 都會每年自動輪換。您無法變更此輪換排程。

注意

在 2022 年 5 月, 的輪換排程 AWS 受管金鑰 從每三年 (約 1,095 天) AWS KMS 變更為每年 (約 365 天)。

新的 AWS 受管金鑰 會在建立後自動輪換一年,之後大約每年輪換一次。

現有 AWS 受管金鑰 會在最近一次輪換後一年自動輪換,之後每年輪換一次。

無需支付月費 AWS 受管金鑰。它們可能會收取超過免費方案使用的費用,但有些 AWS 服務會為您支付這些費用。如需詳細資訊,請參閱該服務使用者指南或開發人員指南中的靜態加密主題。如需詳細資訊,請參閱 AWS Key Management Service 定價

AWS 受管金鑰 不會計入您帳戶每個區域中 KMS 金鑰數量的資源配額。但是,如果代表您帳戶中的委託人使用,則會將 KMS 金鑰計入請求配額中。如需詳細資訊,請參閱 配額

AWS 擁有的金鑰

AWS 擁有的金鑰 是 AWS 服務擁有和管理用於多個 的 KMS 金鑰集合 AWS 帳戶。雖然 AWS 擁有的金鑰 不在您的 中 AWS 帳戶,但 AWS 服務可以使用 AWS 擁有的金鑰 來保護您帳戶中的資源。

有些 AWS 服務可讓您選擇 AWS 擁有的金鑰 或客戶受管金鑰。一般而言,除非您需要稽核或控制保護 資源的加密金鑰,否則 AWS 擁有的金鑰 是不錯的選擇。 AWS 擁有的金鑰 完全免費 (無需每月費用或使用費),它們不會計入您帳戶的AWS KMS 配額,而且易於使用。您不需要建立或維護金鑰或其金鑰政策。

的輪換因服務 AWS 擁有的金鑰 而異。如需特定 輪換的相關資訊 AWS 擁有的金鑰,請參閱 服務使用者指南或開發人員指南中的靜態加密主題。

AWS KMS key 階層

您的金鑰階層從最上層邏輯金鑰 開始 AWS KMS key。KMS 金鑰代表頂層金鑰材料的容器,並且在 AWS 服務命名空間內使用 Amazon Resource Name (ARN) 進行專屬定義。ARN 包括專屬產生的金鑰識別符,金鑰 ID。KMS 金鑰是根據使用者透過 提出的請求所建立 AWS KMS。接收時, AWS KMS 會請求建立要放置在 KMS 金鑰容器中的初始 HSM 後端金鑰 (HBK)。HBK 是在網域中的 HSM 上產生的,並且設計為永遠不會以純文字形式從 HSM 匯出。相反地,HBK 會在受 HSM 管理的網域金鑰下加密匯出。這些匯出的 HBK 稱為匯出的金鑰字符 (EKT)。

EKT 會匯出至高度耐用、低延遲的儲存體。例如,假設您收到邏輯 KMS 金鑰的 ARN。這代表您的金鑰階層或密碼編譯內容的頂端。您可以在帳戶中建立多個 KMS 金鑰,並在 KMS 金鑰上設定政策,就像任何其他 AWS 具名資源一樣。

在特定 KMS 金鑰的階層中,HBK 可以被視為 KMS 金鑰的版本。當您想要輪換 KMS 金鑰時 AWS KMS,會建立新的 HBK,並與 KMS 金鑰建立關聯,做為 KMS 金鑰的作用中 HBK。系統會保留較舊的 HBK,可用來解密和驗證先前受保護的資料。但是,只有作用中的密碼編譯金鑰可以用來保護新的資訊。

AWS KMS key 階層。

您可以透過 提出請求 AWS KMS ,以使用您的 KMS 金鑰來直接保護資訊,或請求受 KMS 金鑰保護的其他 HSM 產生的金鑰。這些金鑰稱為客戶資料金鑰 (CDK)。CDK 可以傳回加密為加密文字 (CT),純文字,或兩者兼而有之。在 KMS 金鑰下加密的所有物件 (客戶提供的資料或 HSM 產生的金鑰) 只能透過呼叫在 HSM 上解密 AWS KMS。

傳回的密碼文字或解密的承載永遠不會存放在其中 AWS KMS。資訊會透過至 AWS KMS的 TLS 連線傳回給您。這也適用於 AWS 服務代表您進行的呼叫。

金鑰階層和特定金鑰屬性會出現在下表中。

金鑰 描述 生命週期

網域金鑰

僅在 HSM 記憶體中用來包裝 KMS 金鑰 (HSM 備份金鑰) 版本的 256 位元 AES-GCM 金鑰。

每日輪換 1

HSM 備份金鑰

256 位元對稱金鑰或 RSA 或橢圓曲線私有金鑰,用於保護客戶資料和金鑰,並以網域金鑰加密存放。一個或多個 HSM 備份金鑰由 KMS 金鑰組成,用 keyId 表示。

每年輪換 2 (選用組態)

衍生的加密金鑰

僅在 HSM 記憶體中用來加密客戶資料和金鑰的 256 位元 AES-GCM 金鑰。從每個加密的 HBK 衍生。

每次加密使用一次,並在解密時重新產生

客戶資料金鑰

以純文字和加密文字從 HSM 匯出之使用者定義的對稱或非對稱金鑰。

在 HSM 備份金鑰下加密,並透過 TLS 通道傳回給授權的使用者。

輪換和使用由應用程式控制

1 AWS KMS 可能不時鬆弛網域金鑰輪換至 ,最多每週一次,以考慮網域管理和組態任務。

2 由 AWS KMS 代表您 AWS 受管金鑰 建立和管理的預設會每年自動輪換。

金鑰識別符 (KeyID)

金鑰識別符形同 KMS 金鑰的名稱,可幫助您在主控台中識別您的 KMS 金鑰。您可以使用它們指出要在 AWS KMS API 操作、金鑰政策、IAM 政策和授予中使用的 KMS 金鑰。金鑰識別符的值與 KMS 金鑰相關聯的金鑰資料完全無關。

AWS KMS 會定義數個金鑰識別符。當您建立 KMS 金鑰時, AWS KMS 會產生金鑰 ARN 和金鑰 ID,這是 KMS 金鑰的屬性。當您建立別名時, 會根據您定義的別名名稱 AWS KMS 產生別名 ARN。您可以在 API 的 和 中檢視金鑰 AWS Management Console 和別名識別符 AWS KMS 。

在 AWS KMS 主控台中,您可以依金鑰 ARN、金鑰 ID 或別名名稱檢視和篩選 KMS 金鑰,並依金鑰 ID 和別名名稱排序。如需在主控台中尋找金鑰識別符的說明,請參閱尋找金鑰 ID 和金鑰 ARN

在 AWS KMS API 中,您用來識別 KMS 金鑰的參數會命名為 KeyId或變化,例如 TargetKeyIdDestinationKeyId。不過,這些參數的數值並不限於金鑰 ID。有些參數可以接受任何有效的金鑰識別符。如需每個參數值的相關資訊,請參閱 AWS Key Management Service API 參考中的參數描述。

注意

使用 AWS KMS API 時,請注意您使用的金鑰識別符。不同的 API 需要不同的金鑰識別符。一般而言,請使用您任務適用之最完整且最實用的金鑰識別符。

AWS KMS 支援下列金鑰識別符。

金鑰 ARN

金鑰 ARN 是 KMS 金鑰的 Amazon Resource Name (ARN)。它是 KMS 金鑰唯一、完全合格的識別符。金鑰 ARN 包含 AWS 帳戶、 區域和金鑰 ID。如需尋找 KMS 金鑰的金鑰 ARN 說明,請參閱 尋找金鑰 ID 和金鑰 ARN

金鑰 ARN 的格式如下:

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

以下是單一區域 KMS 金鑰的範例金鑰 ARN。

arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

多區域金鑰之金鑰 ARN 的 key-id 元素以 mrk- 字首開頭。以下是多區域金鑰的範例金鑰 ARN。

arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab
金鑰 ID

金鑰 ID 可唯一地識別帳戶和區域內的 KMS 金鑰。如需尋找 KMS 金鑰的金鑰 ID 說明,請參閱 尋找金鑰 ID 和金鑰 ARN

以下是單一區域 KMS 金鑰的範例金鑰 ID。

1234abcd-12ab-34cd-56ef-1234567890ab

多區域金鑰的金鑰 ID 以 mrk- 字首開頭。以下是多區域金鑰的範例金鑰 ID。

mrk-1234abcd12ab34cd56ef1234567890ab
別名 ARN

別名 ARN 是別名的 Amazon Resource Name AWS KMS (ARN)。它是別名及其代表的 KMS 金鑰唯一、完全合格的識別符。別名 ARN 包含 AWS 帳戶、 區域和別名名稱。

別名 ARN 在任何時候可識別一個特定的 KMS 金鑰。不過,因為您可以變更與別名相關聯的 KMS 金鑰,所以別名 ARN 可以在不同的時間識別不同的 KMS 金鑰。如需尋找 KMS 金鑰的別名 ARN 說明,請參閱 尋找 KMS 金鑰的別名名稱和別名 ARN

別名 ARN 的格式如下:

arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

以下是虛構 ExampleAlias 的 ARN 別名。

arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias
別名名稱

別名名稱是最多 256 個字元的字串。其可唯一地識別帳戶和區域內關聯的 KMS 金鑰。在 AWS KMS API 中,別名名稱一律以 開頭alias/。如需尋找 KMS 金鑰之別名名稱的說明,請參閱 尋找 KMS 金鑰的別名名稱和別名 ARN

別名的格式如下:

alias/<alias-name>

例如:

alias/ExampleAlias

別名名稱的 aws/ 字首預留給 AWS 受管金鑰。您無法使用此字首建立別名。例如,Amazon Simple Storage Service (Amazon S3) AWS 受管金鑰 的別名名稱如下。

alias/aws/s3

在本頁面

下一個主題:

非對稱金鑰。

上一個主題:

概念

需要協助?

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。