自訂金鑰存放區

金鑰存放區是用於存放密碼編譯金鑰的安全位置。AWS KMS 中的預設金鑰存放區也支援產生及管理其存放金鑰所需的方法。在預設情況下，您在 AWS KMS 中建立的 AWS KMS keys 的密碼編譯金鑰材料會由硬體安全模組 (HSM) (通過 FIPS 140-2 驗證的密碼編譯模組) 產生並保護。KMS 金鑰的金鑰材料永遠不會讓 HSM 處於未加密狀態。

然而，如果需要更多的 HSM 控制權，您可以建立自訂金鑰存放區。

自訂金鑰存放區是 AWS KMS 內的邏輯金鑰存放區，由您擁有和管理的 AWS KMS 之外的金鑰管理器支援。自訂金鑰存放區結合了 AWS KMS 的方便且完整的金鑰管理介面，以及擁有和控制金鑰材料和密碼編譯操作的能力。當您使用自訂金鑰存放區中的 KMS 金鑰時，您的金鑰管理器將使用您的密碼編譯金鑰執行密碼編譯操作。因此，您需要對密碼編譯金鑰的可用性和耐久性以及 HSM 的操作承擔更多責任。

AWS KMS 支援兩種自訂金鑰存放區。

AWS CloudHSM 金鑰存放區是由 AWS CloudHSM 叢集支援的 AWS KMS 自訂金鑰存放區。在您的 AWS CloudHSM 金鑰存放區中建立 KMS 金鑰時，AWS KMS 會在相關聯的 AWS CloudHSM 叢集中產生一個 256 位元、持久、不可匯出的進階加密標準 (AES) 對稱金鑰。此金鑰材料永遠不會讓您的 AWS CloudHSM 叢集處於未加密狀態。當您在 AWS CloudHSM 金鑰存放區中使用 KMS 金鑰時，將在叢集的 HSM 中執行密碼編譯操作。AWS CloudHSM 叢集由經過 FIPS 140-2 第 3 級認證的硬體安全模組 (HSM) 支援。
外部金鑰存放區是由您擁有和控制的 AWS 之外的外部金鑰管理器所支援的 AWS KMS 自訂金鑰存放區。當您在外部金鑰存放區中使用 KMS 金鑰時，外部金鑰管理器將使用密碼編譯金鑰執行所有加密和解密操作。外部金鑰存放區的設計是為了支援來自不同廠商的各種外部金鑰管理器。

AWS KMS 不會直接檢視、存取外部金鑰管理器或密碼編譯金鑰，或與之互動。當您在外部金鑰存放區中使用 KMS 金鑰進行加密或解密時，外部金鑰管理器將使用外部金鑰執行操作。您保留對密碼編譯金鑰的完全控制權，包括拒絕或停止密碼編譯操作而不與 AWS 互動的能力。但是，由於距離和額外的處理，外部金鑰存放區中的 KMS 金鑰可能會有較差的延遲和效能，並且可能與 AWS KMS 中包含金鑰材料的 KMS 金鑰具有不同的可用性特性。如需詳細資訊了解與 AWS KMS 外部金鑰存放區功能相容的金鑰管理程式，請參閱《AWS Key Management Service常見問題》的 Which external vendors support the XKS Proxy specification?

這兩種類型的自訂金鑰存放區與標準 AWS KMS 金鑰存放區以及彼此之間有很大不同。其安全模型、責任歸屬、效能、價格與使用案例也非常不同。在選擇自訂金鑰存放區之前，請閱讀相關文件，並確認為了獲得額外控制而承擔額外的設定和維護責任是否為明智的取捨。但是，如果您的操作所依據的規則和法規需要直接控制金鑰材料，則自訂金鑰存放區可能是您的理想選擇。

不支援的功能

AWS KMS 不支援自訂金鑰存放區中的以下功能。

主題

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

步驟 4：匯入金鑰材料

AWS CloudHSM 主要商店