本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 中的基礎設施安全 AWS Key Management Service
<a name="infrastructure-security"></a>

作為受管服務， AWS Key Management Service (AWS KMS) 受到 [Amazon Web Services：安全程序概觀](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)中所述的 AWS 全球網路安全程序的保護。

若要 AWS KMS 透過網路存取，您可以呼叫 AWS KMS API [AWS Key Management Service 參考中所述的 API](https://docs.aws.amazon.com/kms/latest/APIReference/) 操作。 AWS KMS 需要 TLS 1.2，並建議在所有區域中使用 TLS 1.3。 AWS KMS 也支援所有區域中 AWS KMS 服務端點的混合式後量子 TLS，中國區域除外。 AWS KMS 不支援 FIPS 端點的混合後量子 TLS AWS GovCloud (US)。若要採用[標準 AWS KMS 端點](https://docs.aws.amazon.com/general/latest/gr/kms.html)或 [AWS KMS FIPS 端點](https://docs.aws.amazon.com/general/latest/gr/kms.html)，用戶端必須支援 TLS 1.2 或更新版本。用戶端也必須支援具備完美轉送私密 (PFS) 的密碼套件，例如臨時 Diffie-Hellman (DHE) 或橢圓曲線臨時 Diffie-Hellman (ECDHE)。現代系統 (如 Java 7 和更新版本) 大多會支援這些模式。

此外，請求必須使用存取金鑰 ID 和與 IAM 主體相關聯的私密存取金鑰來簽署。或者，您可以透過 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) 來產生暫時安全憑證來簽署請求。

您可以從任何網路位置呼叫這些 API 操作，但 AWS KMS 支援全域政策條件，可讓您根據來源 IP 地址、VPC 和 VPC 端點控制對 KMS 金鑰的存取。您可以在金鑰政策和 IAM 政策中使用這些條件索引鍵。不過，這些條件可能會 AWS 阻止 代表您使用 KMS 金鑰。如需詳細資訊，請參閱[AWS 全域條件索引鍵](conditions-aws.md)。

例如，下列金鑰政策陳述式允許可擔任該`KMSTestRole`角色的使用者 AWS KMS key 將其用於指定的[密碼編譯操作](kms-cryptography.md#cryptographic-operations)，除非來源 IP 地址是政策中指定的其中一個 IP 地址。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Principal": {"AWS":
    "arn:aws:iam::111122223333:role/KMSTestRole"},
    "Action": [
      "kms:Encrypt",
      "kms:Decrypt",
      "kms:ReEncrypt*",
      "kms:GenerateDataKey*",
      "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
      "NotIpAddress": {
        "aws:SourceIp": [
          "192.0.2.0/24",
          "203.0.113.0/24"
        ]
      }
    }
  }
}
```

------

## 實體主機的隔離
<a name="compliance-physical-security"></a>

 AWS KMS 使用 之實體基礎設施的安全受到 [Amazon Web Services：安全程序概觀](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)之**實體和環境安全**一節中所述的控制。您可以在上一節所列的合規報告和第三方稽核問題清單中找到更多詳細資訊。

AWS KMS 由專用強化硬體安全模組 (HSMs) 支援，其設計具有特定控制，可抵禦實體攻擊。HSM 是*不*具有虛擬化層 (例如 Hypervisor) 的實體裝置，可在數個邏輯租用戶之間共用實體裝置。 AWS KMS keys 金鑰材料只會存放在 HSM 的揮發性記憶體中，而且只有在使用 KMS 金鑰時才會存放。當 HSM 移出操作狀態時，此記憶體會被清除，包括預期和非預期的關機和重設。如需 AWS KMS HSMs 操作的詳細資訊，請參閱[AWS Key Management Service 密碼編譯詳細資訊](https://docs.aws.amazon.com/kms/latest/cryptographic-details/)。