KMS 外部金鑰存放區中的金鑰 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

KMS 外部金鑰存放區中的金鑰

若要在外部KMS金鑰存放區中建立、檢視、管理、使用和排程刪除金鑰,您可以使用與用於其他KMS金鑰的程序非常相似的程序。不過,當您在外部KMS金鑰存放區中建立金鑰時,您可以指定外部金鑰存放區外部金鑰 。當您在外部KMS金鑰存放區中使用金鑰時,加密和解密操作會由外部金鑰管理員使用指定的外部金鑰來執行。

AWS KMS 無法在您的外部金鑰管理器中建立、檢視、更新或刪除任何密碼編譯金鑰。 AWS KMS 絕不會直接存取您的外部金鑰管理器或任何外部金鑰。所有密碼編譯操作的請求都會由您的外部金鑰存放區代理進行協調。若要在外部KMS金鑰存放區中使用金鑰,託管KMS金鑰的外部金鑰存放區必須連接至其外部金鑰存放區代理。

支援的功能

除了本節中討論的程序之外,您還可以使用外部KMS金鑰存放區中的金鑰執行下列動作:

不支援的功能
在外部KMS金鑰存放區中使用金鑰

當您在請求中使用KMS金鑰時,請KMS根據金鑰 ID、金鑰 ARN、別名 或別名 ARN來識別金鑰。您不需要指定外部金鑰存放區。回應包含針對任何對稱加密KMS金鑰傳回的相同欄位。不過,當您在外部KMS金鑰存放區中使用金鑰時,外部金鑰管理員會使用與KMS金鑰相關聯的外部金鑰來執行加密和解密操作。

為了確保外部KMS金鑰存放區中金鑰加密的密碼文字至少與標準KMS金鑰加密的任何密碼文字一樣安全, AWS KMS 會使用雙重加密 。資料會先 AWS KMS 使用 AWS KMS 金鑰材料在 中加密。然後,外部金鑰管理員會使用KMS金鑰的外部金鑰對其進行加密。若要解密雙加密密碼文字,外部金鑰管理員會先使用KMS金鑰的外部金鑰來解密密碼文字。然後,它會 AWS KMS 使用 AWS KMS 金鑰的KMS金鑰材料在 中解密。

但必須符合以下條件,才有可能這樣做。

  • 金鑰的KMS金鑰狀態必須為 Enabled。若要尋找金鑰狀態,請參閱 AWS KMS 主控台DescribeKey 回應中欄位的客戶受管金鑰狀態KeyState欄位。

  • 託管KMS金鑰的外部金鑰存放區必須連接至其外部金鑰存放區代理 ,也就是說,外部金鑰存放區的連線狀態必須為 CONNECTED

    您可以在 AWS KMS 主控台的外部金鑰存放區頁面或DescribeCustomKeyStores回應中檢視連線狀態。外部金鑰存放區的連線狀態也會顯示在主控台中KMS AWS KMS 金鑰的詳細資訊頁面上。在詳細資訊頁面上,選擇 Cryptographic configuration (密碼編譯組態) 索引標籤,並查看 Custom key store (自訂金鑰存放區) 區段中的 Connection state (連接狀態) 欄位。

    如果連接狀態為 DISCONNECTED,則必須先將其連接。如果連接狀態為 FAILED,則您必須解決問題,中斷連接外部金鑰存放區,然後進行連接。如需說明,請參閱 連接和中斷連接外部金鑰存放區

  • 外部金鑰存放區代理必須能夠找到外部金鑰。

  • 必須啟用外部金鑰,而且必須執行加密和解密。

    外部金鑰的狀態獨立於KMS金鑰的金鑰狀態變更,且不受其影響,包括啟用和停用KMS金鑰。同樣地,停用或刪除外部金鑰不會變更KMS金鑰的金鑰狀態,但使用相關聯KMS金鑰的加密操作將會失敗。

如果不符合這些條件,密碼編譯操作會失敗,並 AWS KMS 傳回KMSInvalidStateException例外狀況。您可能需要重新連接外部金鑰存放區,或使用外部金鑰管理器工具來重新設定或修復外部金鑰。如需其他說明,請參閱外部金鑰存放區故障診斷

在外部KMS金鑰存放區中使用金鑰時,請注意每個外部金鑰存放區中的KMS金鑰都會共用密碼編譯操作的自訂金鑰存放區請求配額。如果您超過配額, 會 AWS KMS 傳回 ThrottlingException。如需自訂金鑰存放區配額的詳細資訊,請參閱 自訂金鑰存放區請求配額

進一步了解