KMS CloudHSM 金鑰存放區中的金鑰 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

KMS CloudHSM 金鑰存放區中的金鑰

您可以在 AWS CloudHSM 金鑰存放 AWS KMS keys 區中建立、檢視、管理、使用和排程刪除 。您使用的程序非常類似於您用於其他KMS金鑰的程序。唯一的不同在於,您在建立 AWS CloudHSM 金鑰時指定KMS金鑰存放區。然後,為與金鑰存放區相關聯的叢集中的KMS AWS CloudHSM 金鑰 AWS KMS 建立無法擷取的 AWS CloudHSM 金鑰材料。當您在KMS金鑰存放區中使用 AWS CloudHSM 金鑰時,密碼編譯操作會在叢集HSMs中的 中執行。

支援的功能

除了本節中討論的程序之外,您也可以使用KMS金鑰存放區中的 AWS CloudHSM 金鑰執行下列動作:

不支援的功能

  • AWS CloudHSM 金鑰存放區僅支援對稱加密KMS金鑰。您無法在HMACKMS金鑰存放區中建立 AWS CloudHSM 金鑰、非對稱KMS金鑰或非對稱資料金鑰對。

  • 您無法將金鑰材料匯入 AWS CloudHSM 金鑰存放區中的KMS金鑰。 會為叢集中的KMS AWS CloudHSM 金鑰 AWS KMS 產生金鑰材料。

  • 您無法啟用或停用金鑰存放區中KMS金鑰的 AWS CloudHSM 金鑰材料自動輪換

在KMS金鑰存放區中使用 AWS CloudHSM 金鑰

當您在請求中使用KMS金鑰時,請根據KMS金鑰的 ID 或別名來識別金鑰;您不需要指定 AWS CloudHSM 金鑰存放區或 AWS CloudHSM 叢集。回應包含針對任何對稱加密KMS金鑰傳回的相同欄位。

不過,當您在KMS金鑰存放區中使用 AWS CloudHSM 金鑰時,密碼編譯操作會完全在與 AWS CloudHSM 金鑰存放區相關聯的 AWS CloudHSM 叢集內執行。操作會使用叢集中與您所選金鑰相關聯的KMS金鑰材料。

但必須符合以下條件,才有可能這樣做。

  • 金鑰的KMS金鑰狀態必須為 Enabled。若要尋找金鑰狀態,請使用AWS KMS 主控台中的狀態欄位或DescribeKey回應中的KeyState欄位。

  • AWS CloudHSM 金鑰存放區必須連接至其 AWS CloudHSM 叢集。其在AWS KMS 主控台ConnectionStateDescribeCustomKeyStores回應中的狀態必須為 CONNECTED

  • 與自訂金鑰存放區相關聯的 AWS CloudHSM 叢集必須至少包含一個作用中的 HSM。若要尋找叢集HSMs中的作用中數量,請使用AWS KMS 主控台 、 AWS CloudHSM 主控台或 DescribeClusters操作。

  • AWS CloudHSM 叢集必須包含金鑰的KMS金鑰材料。如果已從叢集刪除金鑰材料,或從不包含金鑰材料的備份HSM建立 ,密碼編譯操作將會失敗。

如果不符合這些條件,密碼編譯操作會失敗,並 AWS KMS 傳回KMSInvalidStateException例外狀況。一般而言,您只需重新連接 AWS CloudHSM 金鑰存放區 。如需其他說明,請參閱如何修正失敗的KMS金鑰

在 AWS CloudHSM 金鑰存放區中使用KMS金鑰時,請注意每個 AWS CloudHSM 金鑰存放區中的KMS金鑰都會共用密碼編譯操作的自訂金鑰存放區請求配額。如果您超過配額, 會 AWS KMS 傳回 ThrottlingException。如果與 AWS CloudHSM 金鑰存放區相關聯的 AWS CloudHSM 叢集正在處理許多命令,包括與 AWS CloudHSM 金鑰存放區無關的命令,則可能會ThrottlingException以更低的速率取得 。如果您收到任何請求的 ThrottlingException,請降低請求速率,然後再試一次命令。如需自訂金鑰存放區配額的詳細資訊,請參閱 自訂金鑰存放區請求配額

進一步了解