本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 的安全性 AWS Key Management Service
的雲端安全 AWS 是最高優先順序。身為 AWS 客戶,您可以受益於資料中心和網路架構,這些架構專為滿足最安全敏感組織的需求而建置。
安全性是 AWS 與您之間的共同責任。[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)將其描述為雲端的安全性和雲端中的安全性:
+ **** 雲端的安全性** – AWS 負責保護在 AWS Cloud 中執行 AWS 服務的基礎設施。 AWS 也為您提供可安全使用的服務。在[AWS 合規計劃](https://aws.amazon.com/compliance/programs/)合規中,第三方稽核人員會定期測試和驗證我們安全的有效性。若要了解適用於 AWS Key Management Service (AWS KMS) 的合規計劃,請參閱[AWS 合規計劃的 服務範圍](https://aws.amazon.com/compliance/services-in-scope/)。
+ **雲端*的安全性* ** – 您的責任取決於您使用 AWS 的服務。此外 AWS KMS,除了您的組態和使用 之外 AWS KMS keys,您還需負責其他因素,包括資料的敏感度、您公司的需求,以及適用的法律和法規
本文件可協助您了解如何在使用 時套用共同責任模型 AWS Key Management Service。它說明如何設定 AWS KMS 以符合您的安全與合規目標。
**Topics**
+ [資料保護](data-protection.md)
+ [身分與存取管理](security-iam.md)
+ [日誌記錄和監控](security-logging-monitoring.md)
+ [法規遵循驗證](kms-compliance.md)
+ [恢復能力](disaster-recovery-resiliency.md)
+ [基礎設施安全性](infrastructure-security.md)
# 中的資料保護 AWS Key Management Service
AWS Key Management Service 會存放和保護您的加密金鑰,使其高度可用,同時為您提供強大且靈活的存取控制。
**Topics**
+ [保護金鑰資料](#encryption-key-mgmt)
+ [資料加密](#data-encryption)
+ [網際網路流量隱私權](#inter-network-privacy)
## 保護金鑰資料
根據預設, AWS KMS 會產生並保護 KMS 金鑰的密碼編譯金鑰材料。此外, 為在 外部建立和保護的金鑰材料 AWS KMS 提供選項 AWS KMS。
### 保護 中產生的金鑰材料 AWS KMS
根據預設,當您建立 KMS 金鑰時, AWS KMS 會產生並保護 KMS 金鑰的密碼編譯資料。
為了保護 KMS 金鑰的金鑰材料, AWS KMS 仰賴 [FIPS 140-3 安全層級 3 驗證硬體](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884)安全模組 (HSMs的分散式機群。每個 AWS KMS HSM 都是專用、獨立的硬體設備,旨在提供專用密碼編譯函數,以滿足 的安全性和可擴展性要求 AWS KMS。(在中國區域中 AWS KMS 使用 的 HSMs 經過 [OSCCA](https://www.oscca.gov.cn/) 認證,並符合所有相關中國法規,但未經 FIPS 140-3 密碼編譯模組驗證計畫驗證。)
根據預設,KMS 金鑰的金鑰資料會在 HSM 產生時加密。金鑰資料僅在 HSM 揮發性記憶體內進行解密,且解密時間僅限密碼編譯操作運用金鑰資料所需的數毫秒。每當金鑰資料未處於作用中使用狀態時,就會在 HSM 加密,並傳輸至[高持性](https://docs.aws.amazon.com/kms/latest/cryptographic-details/durability-protection.html) (99.999999999%) 且低延遲持續性儲存體,其會在此儲存體保持獨立並與 HSM 隔離。純文字金鑰資料永遠不會離開 HSM [安全界限](https://docs.aws.amazon.com/kms/latest/cryptographic-details/internal-communication-security.html#hsm-security-boundary);永遠不會寫入磁碟或保存於任何儲存媒體。(唯一例外是非對稱金鑰對的公有金鑰,其非秘密。)
AWS 宣告 作為基本安全原則,在任何類型中都不會與純文字密碼編譯金鑰材料進行人工互動 AWS 服務。沒有任何機制可讓包括 AWS 服務 運算子在內的任何人檢視、存取或匯出純文字金鑰材料。即使在災難性故障及災難復原事件,此政策也適用。中的純文字客戶金鑰材料 AWS KMS 僅用於 AWS KMS FIPS 140-3 驗證 HSMs 內的密碼編譯操作,僅用於回應客戶或其委派人對服務提出的授權請求。
對於[客戶受管金鑰](concepts.md#customer-mgn-key),建立金鑰 AWS 帳戶 的 是金鑰的唯一且不可轉移的擁有者。擁有帳戶對控制金鑰存取權的授權政策具完整且獨佔控制權。對於 AWS 受管金鑰, AWS 帳戶 可完全控制授權 請求的 IAM 政策 AWS 服務。
### 保護在 外部產生的金鑰材料 AWS KMS
AWS KMS 提供在 中產生之金鑰材料的替代方案 AWS KMS。
[自訂金鑰存放](key-store-overview.md#custom-key-store-overview)區是選用 AWS KMS 功能,可讓您建立 KMS 金鑰,其由外部產生和使用的金鑰材料提供支援 AWS KMS。[AWS CloudHSM 金鑰存放](keystore-cloudhsm.md)區中的 KMS 金鑰由您控制的 AWS CloudHSM 硬體安全模組中的金鑰支援。這些 HSMs已經過 [FIPS 140-2 安全層級 3 或 140-3 安全層級 3](https://docs.aws.amazon.com/cloudhsm/latest/userguide/compliance.html) 認證。[外部金鑰存放區中的 KMS 金鑰](keystore-external.md)由您在外部控制和管理的外部金鑰管理器中的金鑰提供支援 AWS,例如私有資料中心中的實體 HSM。
另一個選用功能可讓您為 KMS 金鑰[匯入金鑰材料](importing-keys.md)。為了保護傳輸中的匯入金鑰材料 AWS KMS,您可以使用 AWS KMS HSM 中產生的 RSA 金鑰對中的公有金鑰來加密金鑰材料。匯入的金鑰材料會在 AWS KMS HSM 中解密,並在 HSM 中的對稱金鑰下重新加密。如同所有 AWS KMS 金鑰材料,純文字匯入的金鑰材料永遠不會讓 HSMs 未加密。然而,提供金鑰資料的客戶需負責安全使用、持久性及 AWS KMS外部的金鑰資料維護。
## 資料加密
中的資料 AWS KMS 包含 AWS KMS keys 及其代表的加密金鑰材料。此金鑰材料僅以純文字形式存在於 AWS KMS 硬體安全模組 (HSM),且僅在使用時存在。否則,金鑰材料會加密並存放在耐久的持久性儲存裝置中。
為 KMS 金鑰 AWS KMS 產生的金鑰材料絕不會讓 HSMs的 AWS KMS 界限處於未加密狀態。它不會在任何 AWS KMS API 操作中匯出或傳輸。[多區域金鑰](multi-region-keys-overview.md)例外,其中 AWS KMS 使用跨區域複寫機制,將多區域金鑰的金鑰材料從 中的 HSM 複製到 中的 AWS 區域 HSM AWS 區域。如需詳細資訊,請參閱 AWS Key Management Service 密碼編譯詳細資訊中[多區域金鑰的複寫程序](https://docs.aws.amazon.com/kms/latest/cryptographic-details/replicate-key-details.html)。
**Topics**
+ [靜態加密](#encryption-at-rest)
+ [傳輸中加密](#encryption-in-transit)
### 靜態加密
AWS KMS [在 FIPS 140-3 安全層級 3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) 相容硬體安全模組 (HSMs) AWS KMS keys 中產生 的金鑰材料。唯一的例外是中國區域,其中 AWS KMS 用來產生 KMS 金鑰HSMs 符合所有相關中國法規,但未經 FIPS 140-3 密碼編譯模組驗證計畫驗證。不使用時,金鑰資料會由 HSM 金鑰加密,並寫入耐久的持久性儲存裝置。KMS 金鑰的金鑰材料和保護金鑰材料的加密金鑰永遠不會讓 HSM 以純文字形式出現。
KMS 金鑰的金鑰材料加密和管理完全由 AWS KMS處理。
如需詳細資訊,請參閱[在 AWS KMS keys](https://docs.aws.amazon.com/kms/latest/cryptographic-details/kms-keys.html)密碼編譯詳細資訊中使用 AWS Key Management Service 。
### 傳輸中加密
為 KMS 金鑰 AWS KMS 產生的金鑰材料絕不會在 AWS KMS API 操作中匯出或傳輸。 AWS KMS 會使用[金鑰識別符](concepts.md#key-id)來代表 API 操作中的 KMS 金鑰。同樣地,KMS 金鑰 AWS KMS [自訂金鑰存放區的金鑰](key-store-overview.md#custom-key-store-overview)材料不可匯出,且絕不會在 AWS KMS 或 AWS CloudHSM API 操作中傳輸。
不過,某些 AWS KMS API 操作會傳回[資料金鑰](data-keys.md)。此外,客戶可以使用 API 操作為所選的 KMS 金鑰[匯入金鑰材料](importing-keys.md)。
所有 AWS KMS API 呼叫都必須使用 Transport Layer Security (TLS) 進行簽署和傳輸。 在所有區域中 AWS KMS 需要 TLS 1.2 並建議 TLS 1.3。 AWS KMS 也支援所有區域中 AWS KMS 服務端點的混合式後量子 TLS,中國區域除外。 AWS KMS 不支援 FIPS 端點的混合後量子 TLS AWS GovCloud (US)。呼叫 AWS KMS 還需要支援*完整轉寄密碼*的現代加密套件,這表示任何機密 (例如私有金鑰) 的洩露也不會影響工作階段金鑰。
如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-3 驗證的密碼編譯模組,請使用 FIPS 端點。若要使用標準 AWS KMS 端點或 AWS KMS FIPS 端點,用戶端必須支援 TLS 1.2 或更新版本。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)。如需 AWS KMS FIPS 端點的清單,請參閱 [AWS Key Management Service 中的端點和配額](https://docs.aws.amazon.com/general/latest/gr/kms.html) AWS 一般參考。
在已驗證的加密機制中, AWS KMS 服務主機和 HSMs 之間的通訊會使用橢圓曲線密碼編譯 (ECC) 和進階加密標準 (AES) 進行保護。如需詳細資訊,請參閱 AWS Key Management Service 密碼編譯詳細資訊中的[內部通訊安全](https://docs.aws.amazon.com/kms/latest/cryptographic-details/internal-communication-security.html)。
## 網際網路流量隱私權
AWS KMS 支援 AWS 管理主控台 和一組 API 操作,可讓您在密碼編譯操作中建立和管理 AWS KMS keys 和使用它們。
AWS KMS 支援從私有網路到 的兩個網路連線選項 AWS。
+ 網際網路上的 IPSec VPN 連接
+ [AWS Direct Connect](https://aws.amazon.com/directconnect/),透過標準乙太網路光纖纜線將內部網路連結至 Direct Connect 位置。
所有 AWS KMS API 呼叫都必須使用 Transport Layer Security (TLS) 簽署和傳輸。這些呼叫還需要支援[完整轉寄密碼](https://en.wikipedia.org/wiki/Forward_secrecy)的現代加密套件。只能透過 AWS 內部網路從已知 AWS KMS API 主機傳輸到存放 KMS 金鑰之金鑰資料的硬體安全模組 (HSMs)。
若要 AWS KMS 從虛擬私有雲端 (VPC) 直接連線至 ,而不透過公有網際網路傳送流量,請使用採用 技術的 VPC 端點[AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/)。如需詳細資訊,請參閱[AWS KMS 透過 VPC 端點連線至](kms-vpc-endpoint.md)。
AWS KMS 也支援 Transport Layer Security (TLS) 網路加密通訊協定的[混合式後量子金鑰交換](pqtls.md)選項。連線至 AWS KMS API 端點時,您可以將此選項與 TLS 搭配使用。
# 的身分和存取管理 AWS Key Management Service
AWS Identity and Access Management (IAM) 可協助您安全地控制對 AWS 資源的存取。管理員可控制誰可以*驗證 *(登入) 和*授權* (具有許可) 使用 AWS KMS 資源。如需詳細資訊,請參閱[搭配 使用 IAM 政策 AWS KMS](iam-policies.md)。
[金鑰政策](key-policies.md)是控制 KMS 金鑰存取的主要機制 AWS KMS。每個 KMS 金鑰都必須有一個金鑰政策。您也可以使用 [IAM 政策](iam-policies.md)和[授予](grants.md),以及金鑰政策,以控制對 KMS 金鑰的存取。如需詳細資訊,請參閱[KMS 金鑰存取和許可](control-access.md)。
如果您使用的是 Amazon Virtual Private Cloud (Amazon VPC),則可以[建立介面 VPC 端點](kms-vpc-endpoint.md)以採用 AWS KMS 技術[AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/)。您也可以使用 VPC 端點政策來判斷哪些主體可以存取您的 AWS KMS 端點、他們可以進行哪些 API 呼叫,以及他們可以存取哪些 KMS 金鑰。
**Topics**
+ [AWS 的 受管政策 AWS Key Management Service](security-iam-awsmanpol.md)
+ [使用 的服務連結角色 AWS KMS](using-service-linked-roles.md)
# AWS 的 受管政策 AWS Key Management Service
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。 AWS 服務 當新的 啟動或新的 API 操作可用於現有服務時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策:AWSKeyManagementServicePowerUser
您可將 `AWSKeyManagementServicePowerUser` 政策連接到 IAM 身分。
您可以使用 `AWSKeyManagementServicePowerUser` 受管政策,為您帳戶中的 IAM 主體提供進階使用者的許可。進階使用者可以建立 KMS 金鑰、使用和管理其建立的 KMS 金鑰,以及檢視所有 KMS 金鑰和 IAM 身分識別。擁有 `AWSKeyManagementServicePowerUser` 受管政策的主體也可以從其他來源取得許可,包括金鑰政策、其他 IAM 政策和授予。
`AWSKeyManagementServicePowerUser` 是 AWS 受管 IAM 政策。如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**注意**
此政策中特定於 KMS 金鑰的許可,例如 `kms:TagResource` 和 `kms:GetKeyRotationStatus`,僅當該 KMS 金鑰的金鑰政策[明確允許 AWS 帳戶 使用 IAM 政策](key-policy-default.md#key-policy-default-allow-root-enable-iam)來控制對金鑰的存取時才有效。若要確定許可是否特定於 KMS 金鑰,請參閱 [AWS KMS 許可](kms-api-permissions-reference.md) 並查找**資源**資料欄中的 **KMS 金鑰**。
這項政策為進階使用者提供針對任何 KMS 金鑰的許可,搭配允許操作的金鑰政策。對於跨帳戶許可,例如 `kms:DescribeKey` 和 `kms:ListGrants`,這可能包括不受信任的 AWS 帳戶中的 KMS 金鑰。如需詳細資訊,請參閱 [IAM 政策的最佳實務](iam-policies-best-practices.md) 和 [允許其他帳戶中的使用者使用 KMS 金鑰](key-policy-modifying-external-accounts.md)。若要確定許可是否對其他帳戶中的 KMS 金鑰有效,請參閱 [AWS KMS 許可](kms-api-permissions-reference.md) 並查找**跨帳戶使用**資料欄中的**是**。
若要允許主體在不發生錯誤的情況下檢視 AWS KMS 主控台,主體需要 [tag:GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html) 許可,此許可不包含在`AWSKeyManagementServicePowerUser`政策中。您可以在單獨的 IAM 政策中允許此許可。
[AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser) 受管 IAM 政策包含以下許可。
+ 允許主體建立 KMS 金鑰。由於此程序包含設定金鑰政策,進階使用者可以授予自己和其他人使用和管理其所建立之 KMS 金鑰的許可。
+ 允許主體對所有 KMS 金鑰建立和刪除[別名](kms-alias.md)和[標籤](tagging-keys.md)。變更標籤或別名可允許或拒絕使用和管理 KMS 金鑰的許可。如需詳細資訊,請參閱[適用於 的 ABAC AWS KMS](abac.md)。
+ 允許主體取得有關所有 KMS 金鑰的詳細資訊,包括金鑰 ARN、密碼編譯組態、金鑰政策、別名、標籤和[輪換狀態](rotate-keys.md)。
+ 允許主體列出 IAM 使用者、群組和角色。
+ 此政策不允許主體使用或管理其未建立的 KMS 金鑰。然而,它們可以變更所有 KMS 金鑰上的別名和標籤,這可能允許或拒絕使用或管理 KMS 金鑰的許可。
若要檢視此政策的許可,請參閱《 AWS 受管政策參考》中的 [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)。
## AWS 受管政策:AWSServiceRoleForKeyManagementServiceCustomKeyStores
您不得將 `AWSServiceRoleForKeyManagementServiceCustomKeyStores` 連接到 IAM 實體。此政策會連接到服務連結角色,該角色授予 AWS KMS 許可來檢視與 AWS CloudHSM 金鑰存放區相關聯的 AWS CloudHSM 叢集,並建立網路以支援自訂金鑰存放區與其 AWS CloudHSM 叢集之間的連線。如需詳細資訊,請參閱[授權 AWS KMS 管理 AWS CloudHSM 和 Amazon EC2 資源](authorize-kms.md)。
## AWS 受管政策:AWSServiceRoleForKeyManagementServiceMultiRegionKeys
您不得將 `AWSServiceRoleForKeyManagementServiceMultiRegionKeys` 連接到 IAM 實體。此政策連接到服務連結角色,該角色授予 AWS KMS 許可,以將多區域主要金鑰的金鑰材料的任何變更同步至其複本金鑰。如需詳細資訊,請參閱[授權 AWS KMS 同步多區域金鑰](multi-region-auth-slr.md)。
## AWS KMS AWS 受管政策的更新
檢視自此服務開始追蹤這些變更 AWS KMS 以來, AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 AWS KMS [文件歷史紀錄](dochistory.md) 頁面的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md) – 更新現有政策 | AWS KMS 已將陳述式 ID (`Sid`) 欄位新增至政策版本 v2 中的 受管政策。 | 2024 年 11 月 21 日 |
| [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md) – 更新現有政策 | AWS KMS 新增 `ec2:DescribeVpcs`、 `ec2:DescribeNetworkAcls`和 `ec2:DescribeNetworkInterfaces`許可,以監控包含 AWS CloudHSM 叢集的 VPC 中的變更,以便 AWS KMS 可以在失敗時提供明確的錯誤訊息。 | 2023 年 11 月 10 日 |
| AWS KMS 開始追蹤變更 | AWS KMS 已開始追蹤其 AWS 受管政策的變更。 | 2023 年 11 月 10 日 |
# 使用 的服務連結角色 AWS KMS
AWS Key Management Service use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至其中的唯一 IAM 角色類型 AWS KMS。服務連結角色是由 定義, AWS KMS 並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更 AWS KMS 輕鬆地設定,因為您不必手動新增必要的許可。 AWS KMS 會定義其服務連結角色的許可,除非另有定義,否則只能 AWS KMS 擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除相關的資源,才能刪除服務連結角色。這可保護您的 AWS KMS 資源,因為您不會不小心移除存取資源的許可。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找 **Service-Linked Role** (服務連結角色) 欄顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
若要檢視本主題中所討論之服務連結角色更新的詳細資訊,請參閱 [AWS KMS AWS 受管政策的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)。
**Topics**
+ [授權 AWS KMS 管理 AWS CloudHSM 和 Amazon EC2 資源](authorize-kms.md)
+ [授權 AWS KMS 同步多區域金鑰](multi-region-auth-slr.md)
# 授權 AWS KMS 管理 AWS CloudHSM 和 Amazon EC2 資源
為了支援您的 AWS CloudHSM 金鑰存放區, AWS KMS 需要取得 AWS CloudHSM 叢集相關資訊的許可。它還需要許可,才能建立將 AWS CloudHSM 金鑰存放區連接到其 AWS CloudHSM 叢集的網路基礎設施。若要取得這些許可, 會在您的 中 AWS KMS 建立 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 服務連結角色 AWS 帳戶。建立 AWS CloudHSM 金鑰存放區的使用者必須具有允許他們建立服務連結角色的`iam:CreateServiceLinkedRole`許可。
若要檢視 **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy** 受管政策更新的詳細資訊,請參閱 [AWS KMS AWS 受管政策的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)。
**Topics**
+ [關於 AWS KMS 服務連結角色](#about-key-store-slr)
+ [建立服務連結角色](#create-key-store-slr)
+ [編輯服務連結角色描述](#edit-key-store-slr)
+ [刪除服務連結角色](#delete-key-store-slr)
## 關於 AWS KMS 服務連結角色
[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)是 IAM 角色,提供一項 AWS 服務代表您呼叫其他 AWS 服務的許可。它旨在讓您更輕鬆地使用多個整合 AWS 服務的功能,而無需建立和維護複雜的 IAM 政策。如需詳細資訊,請參閱[使用 的服務連結角色 AWS KMS](using-service-linked-roles.md)。
對於 AWS CloudHSM 金鑰存放區, 會使用 AWSKeyManagementServiceCustomKeyStores 受管政策 AWS KMS 建立 **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy** 服務連結角色。 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 此政策將下列許可授予此角色:
+ [cloudhsm:Describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) – 偵測連接到自訂金鑰存放區的 AWS CloudHSM 叢集中的變更。
+ [ec2:CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) – 當您[連接 AWS CloudHSM 金鑰存放](connect-keystore.md)區來建立安全群組,以啟用 AWS KMS 和 AWS CloudHSM 叢集之間的網路流量流。
+ [ec2:AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) – 當您[連接 AWS CloudHSM 金鑰存放](connect-keystore.md)區以允許網路 AWS KMS 從 存取包含 AWS CloudHSM 叢集的 VPC 時使用。
+ [ec2:CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) – 當您[連接 AWS CloudHSM 金鑰存放區](connect-keystore.md)以建立用於在 AWS KMS 和 AWS CloudHSM 叢集之間通訊的網路介面時使用。
+ [ec2:RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) – 當您[連接 AWS CloudHSM 金鑰存放](connect-keystore.md)區以從 AWS KMS 建立的安全群組中移除所有傳出規則時使用。
+ [ec2:DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) – 用於[中斷連接 AWS CloudHSM 金鑰存放](disconnect-keystore.md)區,以刪除連接 AWS CloudHSM 金鑰存放區時建立的安全群組。
+ [ec2:DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) – 用於監控在包含 AWS CloudHSM 叢集的 VPC 中 AWS KMS 建立的安全群組中的變更,以便在失敗時 AWS KMS 提供明確的錯誤訊息。
+ [ec2:DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) – 用於監控包含 AWS CloudHSM 叢集的 VPC 中的變更,以便 AWS KMS 可以在失敗時提供明確的錯誤訊息。
+ [ec2:DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) – 用於監控包含 AWS CloudHSM 叢集之 VPC 的網路 ACLs 中的變更,以便在發生故障時 AWS KMS 提供明確的錯誤訊息。
+ [ec2:DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) – 用於監控在包含 AWS CloudHSM 叢集的 VPC 中 AWS KMS 建立之網路介面的變更, AWS KMS 以便 可以在失敗時提供明確的錯誤訊息。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudhsm:Describe*",
"ec2:CreateNetworkInterface",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:DescribeVpcs",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
}
]
}
```
------
由於 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 服務連結角色僅信任 `cks.kms.amazonaws.com`,因此 AWS KMS 只能擔任此服務連結角色。此角色僅限於檢視 AWS CloudHSM 叢集和將 AWS CloudHSM 金鑰存放區連接至其相關聯 AWS CloudHSM 叢集 AWS KMS 所需的操作。它不會給予 AWS KMS 任何其他許可。例如, AWS KMS 沒有建立、管理或刪除 AWS CloudHSM 叢集、HSMs 或備份的許可。
**區域**
如同 AWS CloudHSM 金鑰存放區功能,**AWSServiceRoleForKeyManagementServiceCustomKeyStores** 角色支援 AWS KMS 和 AWS CloudHSM 可用的所有 AWS 區域 。如需 AWS 區域 每個服務支援的清單,請參閱《》中的[AWS Key Management Service 端點和配額](https://docs.aws.amazon.com/general/latest/gr/kms.html)以及[AWS CloudHSM 端點和配額](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html)*Amazon Web Services 一般參考*。
如需 AWS 服務如何使用服務連結角色的詳細資訊,請參閱《IAM 使用者指南》中的[使用服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。
## 建立服務連結角色
AWS KMS 當您建立 AWS CloudHSM 金鑰存放區時,如果角色尚不存在, 會自動在 AWS 帳戶 中建立 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 服務連結角色。您無法直接建立或重新建立此服務連結角色。
## 編輯服務連結角色描述
您無法編輯 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 服務連結角色中的角色名稱或政策陳述式,但可以編輯角色描述。如需相關說明,請參閱《IAM 使用者指南》**中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除服務連結角色
AWS KMS 不會從 AWS 帳戶 刪除 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 服務連結角色,即使您[已刪除所有 AWS CloudHSM 金鑰存放區](delete-keystore.md)。雖然目前沒有刪除 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 服務連結角色的程序,但除非您有作用中的 AWS CloudHSM 金鑰存放區,否則 AWS KMS 不會擔任此角色或使用其許可。
# 授權 AWS KMS 同步多區域金鑰
若要支援[多區域金鑰](multi-region-keys-auth.md), AWS KMS 需要將多區域主要金鑰的[共用屬性](multi-region-keys-overview.md#mrk-sync-properties)與其複本金鑰同步的許可。若要取得這些許可, 會在您的 中 AWS KMS 建立 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 服務連結角色 AWS 帳戶。建立多區域金鑰的使用者必須具有允許他們建立服務連結角色的`iam:CreateServiceLinkedRole`許可。
您可以檢視 [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail 事件,該事件會記錄 AWS CloudTrail 日誌中的 AWS KMS 同步共用屬性。
若要檢視 **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** 受管政策更新的詳細資訊,請參閱 [AWS KMS AWS 受管政策的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)。
**Topics**
+ [關於多區域金鑰的服務連結角色](#about-multi-region-slr)
+ [建立服務連結角色](#create-mrk-slr)
+ [編輯服務連結角色描述](#edit-mrk-slr)
+ [刪除服務連結角色](#delete-mrk-slr)
## 關於多區域金鑰的服務連結角色
[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)是 IAM 角色,提供一項 AWS 服務代表您呼叫其他 AWS 服務的許可。它旨在讓您更輕鬆地使用多個整合 AWS 服務的功能,而無需建立和維護複雜的 IAM 政策。
對於多區域金鑰, 會使用 AWSKeyManagementServiceMultiRegionKeys 受管政策 AWS KMS 建立 **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** 服務連結角色。 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 此政策為角色提供 `kms:SynchronizeMultiRegionKey` 許可,允許其同步多區域金鑰的共用屬性。
由於 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 服務連結角色僅信任 `mrk.kms.amazonaws.com`,因此 AWS KMS 只能擔任此服務連結角色。此角色僅限於同步多區域共用屬性 AWS KMS 所需的操作。它不會給予 AWS KMS 任何其他許可。例如, AWS KMS 沒有建立、複寫或刪除任何 KMS 金鑰的許可。
如需 AWS 服務如何使用服務連結角色的詳細資訊,請參閱《IAM 使用者指南》中的[使用服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "KMSSynchronizeMultiRegionKey",
"Effect" : "Allow",
"Action" : [
"kms:SynchronizeMultiRegionKey"
],
"Resource" : "*"
}
]
}
```
------
## 建立服務連結角色
AWS KMS 如果角色尚未存在,當您建立多區域金鑰 AWS 帳戶 時, 會自動在 中建立 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 服務連結角色。您無法直接建立或重新建立此服務連結角色。
## 編輯服務連結角色描述
您無法編輯 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 服務連結角色中的角色名稱或政策陳述式,但可以編輯角色描述。如需相關說明,請參閱《*IAM 使用者指南*》中的[編輯服務連線角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除服務連結角色
AWS KMS 不會從 刪除 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 服務連結角色, AWS 帳戶 而且您無法刪除它。不過,除非您的 AWS 帳戶 和 區域中有多區域金鑰,否則 AWS KMS 不會擔任 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 角色或使用其任何許可。
# 在 中記錄和監控 AWS Key Management Service
監控主要用於了解 AWS KMS中 AWS KMS keys 的可用性、狀態和使用情形。監控有助於維護 AWS 解決方案的安全性、可靠性、可用性和效能。 AWS 提供數種工具來監控 KMS 金鑰。
**AWS CloudTrail 日誌**
對 AWS KMS API 操作的每次呼叫都會擷取為 AWS CloudTrail 日誌中的事件。這些日誌會記錄來自 AWS KMS 主控台的所有 API 呼叫,以及 AWS KMS 和其他 AWS 服務的呼叫。跨帳戶 API 呼叫,例如在不同 AWS 帳戶中使用 KMS 金鑰的呼叫,會記錄在兩者帳戶的 CloudTrail 日誌中。
故障診斷或稽核時,您可以使用日誌來重建 KMS 金鑰的生命週期。您也可以在密碼編譯操作中檢視其 KMS 金鑰的管理和使用。如需詳細資訊,請參閱[使用 記錄 AWS KMS API 呼叫 AWS CloudTrail](logging-using-cloudtrail.md)。
**Amazon CloudWatch Logs**
監控、存放和存取來自 和其他來源 AWS CloudTrail 的日誌檔案。如需更多資訊,請參閱 [Amazon CloudWatch 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)。
對於 AWS KMS,CloudWatch 會存放有用的資訊,協助您防止 KMS 金鑰及其保護的資源發生問題。如需詳細資訊,請參閱[使用 Amazon CloudWatch 監控 KMS 金鑰](monitoring-cloudwatch.md)。
**Amazon EventBridge**
AWS KMS 當您的 KMS 金鑰[輪換](rotate-keys.md)[或刪除](deleting-keys.md),或 KMS 金鑰中的[匯入金鑰材料](importing-keys.md)過期時, 會產生 EventBridge 事件。搜尋 AWS KMS 事件 (API 操作) 並將其路由至一或多個目標函數或串流,以擷取狀態資訊。如需詳細資訊,請參閱 [使用 Amazon EventBridge 監控 KMS 金鑰](kms-events.md) 和《[Amazon EventBridge 使用者指南](https://docs.aws.amazon.com/eventbridge/latest/userguide/)》。
**Amazon CloudWatch 指標**
您可以使用 CloudWatch 指標來監控 KMS 金鑰,該指標會收集原始資料並將其處理 AWS KMS 為效能指標。資料會以兩週的時間間隔記錄,以便您可以檢視目前和歷史記錄資訊的趨勢。這可協助您了解 KMS 金鑰的使用方式,及其使用方式隨著時間的變化。如需使用 CloudWatch 指標監控 KMS 金鑰的詳細資訊,請參閱 [AWS KMS 指標和維度](monitoring-cloudwatch.md#kms-metrics)。
**Amazon CloudWatch 警示**
監看您指定期間的單一指標變更。然後,根據在數個期間與閾值相關的指標值,執行動作。例如,您可以建立 CloudWatch 警示,當有人嘗試使用排程在密碼編譯操作中刪除的 KMS 金鑰時觸發該警示。這表示 KMS 金鑰仍在使用中,可能不應該刪除。如需詳細資訊,請參閱[建立偵測 KMS 金鑰待刪除使用情況的警示](deleting-keys-creating-cloudwatch-alarm.md)。
**AWS Security Hub CSPM**
您可以使用 監控您的 AWS KMS 用量,以確保安全產業標準和最佳實務合規性 AWS Security Hub CSPM。Security Hub CSPM 使用安全控制來評估資源組態和安全標準,以協助您遵守各種合規架構。如需詳細資訊,請參閱《*AWS Security Hub 使用者指南*》的[AWS Key Management Service 控制](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html)。
# 的合規驗證 AWS Key Management Service
在多個合規計畫 AWS Key Management Service 中,第三方稽核人員會評估 的安全與 AWS 合規。這些計劃包括 SOC、PCI、FedRAMP、HIPAA 等等。
**Topics**
+ [合規和安全文件](#compliance-documents)
+ [進一步了解](#compliance-more)
## 合規和安全文件
以下合規和安全文件涵蓋在內 AWS KMS。若要檢視,請使用 [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)。
+ Cloud Computing Compliance Controls Catalogue (C5)
+ ISO 27001:2013 適用性聲明 (SoA)
+ ISO 27001:2013 認證
+ ISO 27017:2015 適用性聲明 (SoA)
+ ISO 27017:2015 認證
+ ISO 27018:2015 適用性聲明 (SoA)
+ ISO 27018:2014 認證
+ ISO 9001:2015 認證
+ PCI DSS 合規聲明文件 (AOC) 與責任摘要
+ 服務組織控制 (SOC) 1 報告
+ 服務組織控制 (SOC) 2 報告
+ 服務組織控制 (SOC) 2 報告,針對機密性
+ FedRAMP-High
如需使用 的說明 AWS Artifact,請參閱在 [AWS Artifact 中下載報告](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。
## 進一步了解
您使用 時的合規責任 AWS KMS 取決於資料的機密性、您公司的合規目標,以及適用的法律和法規。如果您使用 AWS KMS 時必須遵守已發佈的標準, AWS 會提供資源來協助:
+ [AWS 合規計劃範圍內的服務](https://aws.amazon.com/compliance/services-in-scope/) – 此頁面列出特定合規計劃範圍內 AWS 的服務。如需一般資訊,請參閱 [AWS 合規計劃](https://aws.amazon.com/compliance/programs/)。
+ [安全與合規快速入門指南](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – 這些部署指南討論架構考量,並提供在其中部署以安全與合規為重心的基準環境的步驟 AWS。
+ [AWS 合規資源](https://aws.amazon.com/compliance/resources/) – 此工作手冊和指南集合可能適用於您的產業和位置。
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) – AWS 此服務會評估資源組態符合內部實務、產業準則和法規的程度。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) – AWS 此服務可讓您全面檢視其中的安全狀態 AWS。Security Hub CSPM 使用安全控制來評估您的 AWS 資源,並檢查您的是否符合安全產業標準和最佳實務。如需支援的服務和控制項清單,請參閱 [Security Hub CSPM 控制項參考](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-controls-reference.html)。
# 中的彈性 AWS Key Management Service
AWS 全球基礎設施是以 AWS 區域 和 可用區域為基礎建置。 AWS 區域 提供多個實體隔離和隔離的可用區域,這些可用區域與低延遲、高輸送量和高備援聯網連接。透過可用區域,您所設計與操作的應用程式和資料庫,就能夠在可用區域之間自動容錯移轉,而不會發生中斷。可用區域的可用性、容錯能力和擴充能力,均較單一或多個資料中心的傳統基礎設施還高。
除了 AWS 全球基礎設施之外, AWS KMS 還提供數種功能,以協助支援您的資料彈性和備份需求。如需 AWS 區域 和可用區域的詳細資訊,請參閱 [AWS 全球基礎設施](https://aws.amazon.com/about-aws/global-infrastructure/)。
## 區域隔離
AWS Key Management Service (AWS KMS) 是一種自我維持的區域服務,可在所有 中使用 AWS 區域。的區域隔離設計 AWS KMS 可確保一個 中的可用性問題 AWS 區域 不會影響任何其他區域中 AWS KMS 的操作。 AWS KMS 旨在確保*零計劃停機時間*,且所有軟體更新和擴展操作都能無縫且無法理解地執行。
AWS KMS [服務水準協議](https://aws.amazon.com/kms/sla/) (SLA) 包含所有 KMS APIs 99.999% 的服務承諾。為了履行此承諾, AWS KMS 確保執行 API 請求所需的所有資料和授權資訊在接收請求的所有區域主機上都可用。
AWS KMS 基礎設施會在每個區域中至少三個可用區域 (AZs) 中複寫。為了確保多個主機故障不會影響 AWS KMS 效能, AWS KMS 旨在為來自區域中任何 AZs 的客戶流量提供服務。
您對 KMS 金鑰的屬性或許可所做的變更將複製到區域中的所有主機,以確保區域中的任何主機都可以正確處理後續請求。使用 KMS 金鑰[進行密碼編譯操作](kms-cryptography.md#cryptographic-operations)的請求會轉送至 AWS KMS 硬體安全模組 (HSMs) 的機群,其中任何一個都可以使用 KMS 金鑰執行操作。
## 多租用戶設計
的多租戶設計 AWS KMS 使其能夠實現 99.999% 的可用性 SLA,並維持高請求率,同時保護金鑰和資料的機密性。
部署多個完整性強制執行機制,以確保您為密碼編譯操作指定的 KMS 金鑰始終是使用的金鑰。
您的 KMS 金鑰的純文字金鑰資料受到廣泛保護。金鑰資料一經建立就會在 HSM 中加密,並且加密的金鑰資料會立即移至安全、低延遲的儲存中。系統會在 HSM 內擷取並解密已加密的金鑰,以便及時使用。純文字金鑰僅在完成密碼編譯操作所需的時間內保留在 HSM 記憶體中。然後在 HSM 中對其進行重新加密,並將加密的金鑰傳回至儲存體。純文字金鑰資料永遠不會離開 HSM;它永遠不會寫入持久性儲存。
## 中的彈性最佳實務 AWS KMS
若要最佳化 AWS KMS 資源的彈性,請考慮下列策略。
+ 若要支援備份和災難復原策略,請考慮*多區域金鑰*,它們是在一個 AWS 區域 中建立的 KMS 金鑰,並僅複寫至您指定的區域。使用多區域金鑰,您可以在 AWS 區域 (同一分割區內) 之間移動加密的資源,而無須暴露純文字,並在需要時在其任何目的地區域中解密資源。相關的多區域金鑰是可相互操作的,因為它們共用相同的金鑰資料和金鑰 ID,但它們具有獨立的金鑰策略來實現高解析度存取控制。如需詳細資訊,請參閱 [AWS KMS中的多區域金鑰](multi-region-keys-overview.md)。
+ 若要保護多租戶服務中的金鑰 AWS KMS,請務必使用存取控制,包括[金鑰政策和](key-policies.md) [IAM 政策](iam-policies.md)。此外,您可以使用採用 技術的 AWS KMS *VPC 介面端點*,將請求傳送至 AWS PrivateLink。當您這麼做時,Amazon VPC 和 之間的所有通訊 AWS KMS 都會完全在 AWS 網路中,使用僅限您 VPC 的專用 AWS KMS 端點進行。您可以透過使用 [VPC 端點政策](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy)建立額外授權層來進一步保護這些請求。如需詳細資訊,請參閱[透過 VPC 端點連接至 AWS KMS](kms-vpc-endpoint.md)。
# 中的基礎設施安全 AWS Key Management Service
作為受管服務, AWS Key Management Service (AWS KMS) 受到 [Amazon Web Services:安全程序概觀](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)中所述的 AWS 全球網路安全程序的保護。
若要 AWS KMS 透過網路存取,您可以呼叫 AWS KMS API [AWS Key Management Service 參考中所述的 API](https://docs.aws.amazon.com/kms/latest/APIReference/) 操作。 AWS KMS 需要 TLS 1.2,並建議在所有區域中使用 TLS 1.3。 AWS KMS 也支援所有區域中 AWS KMS 服務端點的混合式後量子 TLS,中國區域除外。 AWS KMS 不支援 FIPS 端點的混合後量子 TLS AWS GovCloud (US)。若要採用[標準 AWS KMS 端點](https://docs.aws.amazon.com/general/latest/gr/kms.html)或 [AWS KMS FIPS 端點](https://docs.aws.amazon.com/general/latest/gr/kms.html),用戶端必須支援 TLS 1.2 或更新版本。用戶端也必須支援具備完美轉送私密 (PFS) 的密碼套件,例如臨時 Diffie-Hellman (DHE) 或橢圓曲線臨時 Diffie-Hellman (ECDHE)。現代系統 (如 Java 7 和更新版本) 大多會支援這些模式。
此外,請求必須使用存取金鑰 ID 和與 IAM 主體相關聯的私密存取金鑰來簽署。或者,您可以透過 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) 來產生暫時安全憑證來簽署請求。
您可以從任何網路位置呼叫這些 API 操作,但 AWS KMS 支援全域政策條件,可讓您根據來源 IP 地址、VPC 和 VPC 端點控制對 KMS 金鑰的存取。您可以在金鑰政策和 IAM 政策中使用這些條件索引鍵。不過,這些條件可能會 AWS 阻止 代表您使用 KMS 金鑰。如需詳細資訊,請參閱[AWS 全域條件索引鍵](conditions-aws.md)。
例如,下列金鑰政策陳述式允許可擔任該`KMSTestRole`角色的使用者 AWS KMS key 將其用於指定的[密碼編譯操作](kms-cryptography.md#cryptographic-operations),除非來源 IP 地址是政策中指定的其中一個 IP 地址。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"AWS":
"arn:aws:iam::111122223333:role/KMSTestRole"},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
}
```
------
## 實體主機的隔離
AWS KMS 使用 之實體基礎設施的安全受到 [Amazon Web Services:安全程序概觀](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)之**實體和環境安全**一節中所述的控制。您可以在上一節所列的合規報告和第三方稽核問題清單中找到更多詳細資訊。
AWS KMS 由專用強化硬體安全模組 (HSMs) 支援,其設計具有特定控制,可抵禦實體攻擊。HSM 是*不*具有虛擬化層 (例如 Hypervisor) 的實體裝置,可在數個邏輯租用戶之間共用實體裝置。 AWS KMS keys 金鑰材料只會存放在 HSM 的揮發性記憶體中,而且只有在使用 KMS 金鑰時才會存放。當 HSM 移出操作狀態時,此記憶體會被清除,包括預期和非預期的關機和重設。如需 AWS KMS HSMs 操作的詳細資訊,請參閱[AWS Key Management Service 密碼編譯詳細資訊](https://docs.aws.amazon.com/kms/latest/cryptographic-details/)。