本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 在 Amazon MSF 中使用客戶受管金鑰 在根據 CMK 政策建立、管理和操作 Amazon MSF 應用程式時,您需要考慮下列因素。 **客戶自管金鑰** 這是[金鑰政策和](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)[金鑰材料](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-material)。您需要建立一個金鑰,用於在執行應用程式儲存體和耐用的應用程式儲存體中加密您的應用程式狀態。 **應用程式生命週期運算子 (API 呼叫者)** 這是 **Operator** IAM 使用者或角色。運算子可以是人工或自動化,例如將建立、部署和執行 Amazon MSF 應用程式的 CI/CD 管道。應用程式生命週期運算子可以是 IAM 角色或使用者。 **注意** 金鑰管理員和運算子可能是同一個人。在這種情況下,我們建議您一律使用不同的角色或使用者。 **應用程式** 這是您建立的 Amazon MSF 應用程式。應用程式執行 (IAM) 角色不需要變更即可使用 CMK。如需 Amazon MSF 中 IAM 的詳細資訊,請參閱 [Amazon Managed Service for Apache Flink 的身分和存取管理](security-iam.md)。 **政策之間的相依性** 指派給 CMK 的金鑰政策與定義應用程式生命週期運算子許可的 IAM 政策之間存在相互依存性。您可能想要依下列順序建立它們: 建立運算子 IAM 使用者或角色,而不定義 CMK 許可的 IAM 政策。運算子使用 AOK 建立應用程式。 建立具有管理 KMS 金鑰許可的金鑰管理員。金鑰管理員會建立 CMK。金鑰政策會參考運算子和管理員角色 ARNs,以及應用程式 ARN。如需詳細資訊,請參閱[建立 KMS 金鑰政策](manage-cmk-api.md#create-cmk-kms-key-policy)。 為 Operator 建立 IAM 政策,允許 管理應用程式的 CMK。如需詳細資訊,請參閱[應用程式生命週期運算子 (API 呼叫者) 許可](manage-cmk-api.md#create-cmk-kms-api-caller-permissions)。將新的 IAM 政策連接至運算子。運算子會更新啟用 CMK 的應用程式。如需詳細資訊,請參閱[更新現有應用程式以使用 CMK](manage-cmk-api.md#update-existing-app-use-cmk-api)。 如果應用程式不存在,請在沒有 CMK 的情況下建立應用程式。 下圖顯示如何在 Amazon MSF 中實作 CMK。 ![\[在 Amazon MSF 中實作客戶受管金鑰。\]](http://docs.aws.amazon.com/zh_tw/managed-flink/latest/java/images/MSF_CMK_architecture.png) 1. **客戶受管金鑰 (CMK)**:包含金鑰政策和金鑰材料。 1. **金鑰管理員**:IAM `KeyAdmin` 使用者或角色。 1. **應用程式生命週期運算子 (API 呼叫者)**:運算子 IAM 使用者或角色。 1. **應用程式**:已連接執行 (IAM) 角色。