使用公有金鑰執行離線操作 - AWS Key Management Service
下載公開金鑰的特殊考量

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用公有金鑰執行離線操作

在非對稱KMS金鑰中,私有金鑰是在 中建立 AWS KMS ,絕不會保留 AWS KMS 未加密的金鑰。若要使用私有金鑰,您必須呼叫 AWS KMS。您可以透過呼叫 AWS KMS API操作 AWS KMS 來使用 中的公有金鑰。或者,您可以下載公有金鑰並共用,以便在 之外使用 AWS KMS。

您可以共用公有金鑰,讓其他人加密 以外的資料 AWS KMS ,您只能使用私有金鑰解密。或者,您可以允許其他人員在 AWS KMS 的外部驗證您使用私有金鑰產生的數位簽章。或者,與對等共享您的公有金鑰,以衍生共享秘密。

當您在 內的非對稱KMS金鑰中使用公有金鑰時 AWS KMS,您會受益於屬於每個 AWS KMS 操作一部分的身分驗證、授權和記錄。您也可以降低加密無法解密資料的風險。這些功能在 之外無效 AWS KMS。如需詳細資訊,請參閱 下載公開金鑰的特殊考量

提示

尋找資料金鑰或SSH金鑰? 本主題介紹如何在不可匯出私有金鑰的 AWS Key Management Service中管理非對稱金鑰。如需可匯出的資料金鑰對,其中私有金鑰受到對稱加密KMS金鑰保護,請參閱 GenerateDataKeyPair。如需下載與 Amazon EC2執行個體相關聯的公有金鑰的協助,請參閱 Amazon EC2使用者指南Amazon EC2使用者指南 中的擷取公有金鑰

主題

下載公開金鑰的特殊考量

為了保護您的KMS金鑰, AWS KMS 提供存取控制、已驗證的加密,以及每個操作的詳細日誌。 AWS KMS 也可讓您暫時或永久避免使用KMS金鑰。最後, AWS KMS 操作旨在最大限度地降低加密無法解密的資料的風險。當您在 之外使用下載的公有金鑰時,這些功能無法使用 AWS KMS。

授權

控制 中KMS金鑰存取的重要政策和IAM政策 AWS KMS 不會影響在 之外執行的操作 AWS。任何可以取得公有金鑰的使用者都可以在 外部使用它, AWS KMS 即使他們沒有使用KMS金鑰加密資料或驗證簽章的許可。

金鑰使用方式限制

金鑰使用限制在 之外無效 AWS KMS。如果您使用具有 KeyUsage的KMS金鑰呼叫加密操作SIGN_VERIFY, AWS KMS 操作會失敗。但是,如果您 AWS KMS 使用 KMSKeyUsageSIGN_VERIFY或 的金鑰中的公有金鑰來加密 外部的資料KEY_AGREEMENT,則無法解密資料。

演算法限制

AWS KMS 支援的加密和簽署演算法的限制在 之外無效 AWS KMS。如果您使用 外部KMS金鑰的公有金鑰加密資料 AWS KMS,並使用 AWS KMS 不支援的加密演算法,則無法解密資料。

停用和刪除KMS金鑰

您可以採取哪些動作來防止 密碼編譯操作中使用KMS金鑰 AWS KMS ,不會阻止任何人在 之外使用公有金鑰 AWS KMS。例如,停用KMS金鑰、排程刪除KMS金鑰、刪除KMS金鑰或從KMS金鑰刪除金鑰材料,不會影響 外部的公有金鑰 AWS KMS。如果您刪除非對稱KMS金鑰,或者刪除或遺失其金鑰材料,則您在 外部使用公有金鑰加密的資料將無法 AWS KMS 復原。

日誌

AWS CloudTrail 記錄每個 AWS KMS 操作的日誌,包括請求、回應、日期、時間和授權使用者,不會記錄 外部公有金鑰的使用 AWS KMS。

使用SM2金鑰對進行離線驗證 (僅限中國區域)

若要 AWS KMS 使用SM2公有金鑰驗證 外部的簽章,您必須指定區分 ID。根據預設, AWS KMS 會使用 1234567812345678作為區分 ID。如需詳細資訊,請參閱使用SM2金鑰對進行離線驗證 (僅限中國區域)。