本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用公有金鑰執行離線操作
<a name="offline-public-key"></a>

在非對稱 KMS 金鑰中，私有金鑰是在 中建立 AWS KMS ，絕不會保持 AWS KMS 未加密狀態。若要使用私有金鑰，您必須呼叫 AWS KMS。您可以透過呼叫 AWS KMS API 操作 AWS KMS ，在 中使用公有金鑰。或者，您可以[下載公有金鑰](download-public-key.md)並共用以供 外部使用 AWS KMS。

您可以共用公有金鑰，讓其他人加密 以外的資料 AWS KMS ，您只能使用私有金鑰解密。或者，您可以允許其他人員在 AWS KMS 的外部驗證您使用私有金鑰產生的數位簽章。或者，與對等共用公有金鑰以衍生共用秘密。

當您在其中的非對稱 KMS 金鑰中使用公有金鑰時 AWS KMS，您會受益於每個 AWS KMS 操作一部分的身分驗證、授權和記錄。您也可以降低加密無法解密資料的風險。這些功能在 之外無效 AWS KMS。如需詳細資訊，請參閱[下載公開金鑰的特殊考量](#download-public-key-considerations)。

**提示**  
正在尋找資料金鑰或 SSH 金鑰？ 本主題介紹如何在不可匯出私有金鑰的 AWS Key Management Service中管理非對稱金鑰。如需有關可匯出資料金鑰對 (其中私有金鑰受對稱加密 KMS 金鑰的保護) 的資訊，請參閱 [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)。如需下載與 Amazon EC2 執行個體相關聯的公有金鑰的說明，請參閱《[Amazon EC2 使用者指南](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/describe-keys.html#retrieving-the-public-key)》和 [Amazon EC2 使用者指南](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/describe-keys.html#retrieving-the-public-key)》中的*擷取公有金鑰*。

**Topics**
+ [下載公開金鑰的特殊考量](#download-public-key-considerations)
+ [下載公有金鑰](download-public-key.md)
+ [離線操作範例](offline-operations.md)

## 下載公開金鑰的特殊考量
<a name="download-public-key-considerations"></a>

為了保護您的 KMS 金鑰， AWS KMS 提供存取控制、已驗證加密和每個操作的詳細日誌。 AWS KMS 也可讓您暫時或永久避免使用 KMS 金鑰。最後， AWS KMS 操作旨在將加密無法解密資料的風險降至最低。當您在 外部使用下載的公有金鑰時，無法使用這些功能 AWS KMS。

**Authorization**  
控制在 內存取 KMS 金鑰的[金鑰政策和](key-policies.md) [IAM 政策](iam-policies.md) AWS KMS 不會影響在 外部執行的操作 AWS。任何可以取得公有金鑰的使用者都可以在 外部使用它， AWS KMS 即使他們沒有使用 KMS 金鑰加密資料或驗證簽章的許可。

**金鑰使用方式限制**  
金鑰使用限制在 之外無效 AWS KMS。如果您使用 的 KMS 金鑰呼叫 [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) `KeyUsage` 操作`SIGN_VERIFY`， AWS KMS 操作會失敗。但是，如果您 AWS KMS 使用 `KeyUsage``SIGN_VERIFY`或 的 KMS 金鑰中的公有金鑰來加密 外部的資料`KEY_AGREEMENT`，則無法解密資料。

**演算法限制**  
對 AWS KMS 支援的加密和簽署演算法的限制在 之外無效 AWS KMS。如果您使用外部 KMS 金鑰的公有金鑰來加密資料 AWS KMS，並使用 AWS KMS 不支援的加密演算法，則無法解密資料。

**停用和刪除 KMS 金鑰**  
您可以採取防止在 密碼編譯操作中使用 KMS 金鑰的動作 AWS KMS ，不會阻止任何人在 外部使用公有金鑰 AWS KMS。例如，停用 KMS 金鑰、排程刪除 KMS 金鑰、刪除 KMS 金鑰，或是從 KMS 金鑰刪除金鑰材料等，對 AWS KMS外部的公有金鑰沒有任何影響。如果您刪除非對稱 KMS 金鑰，或刪除或遺失其金鑰材料，則您在 外部使用公有金鑰加密的資料將無法 AWS KMS 復原。

**日誌**  
AWS CloudTrail 記錄每個 AWS KMS 操作的日誌，包括請求、回應、日期、時間和授權使用者，不會記錄 外部公有金鑰的使用 AWS KMS。

**使用 SM2 金鑰對進行離線驗證 (僅限中國區域)**  
若要 AWS KMS 使用 SM2 公有金鑰驗證 外部的簽章，您必須指定辨別 ID。根據預設， AWS KMS 會使用 `1234567812345678`做為辨別 ID。如需更多資訊，請參閱[使用 SM2 金鑰對進行離線驗證 (僅限中國區域)。](offline-operations.md#key-spec-sm-offline-verification)