Amazon ec2 可以在EC2密钥对中注册kms密钥对吗？

我可以将kms的密钥对注册为EC2节点上SSH登录的密钥对吗

---

我想使用Terraform来管理它。

从2020年6月20日起，AWS KMS不能直接用于管理SSH密钥

您可以使用KMS生成RSA和ECC数据密钥，用于客户端加密操作，但您必须自己管理这些密钥

AWS KMS目前支持：

使用对称密钥加密（仅限2020-06-20年）

使用非对称密钥的数字签名（自2020年6月20日起，RSA和ECC都有）

（对于SSH客户机的实际使用而言，成本高昂且延迟可能过高）：

AWS KMS支持对称和非对称CMK

• 对称CMK：表示一个256位秘密加密密钥，该密钥不会使AWS KMS未加密。要使用对称CMK，必须调用AWS KMS
• 非对称CMK：表示数学上相关的公钥和私钥对，可以用于加密和解密或签名和验证，但不能同时用于加密和解密或签名和验证。私钥从不让AWS KMS未加密。您可以通过调用AWS KMS API操作在AWS KMS内使用公钥，也可以下载公钥并在AWS KMS外使用

将非对称CMK与SSH结合使用将需要一个修改过的客户端或插件，我不知道这会非常昂贵和缓慢

)

AWS KMS还提供对称数据密钥和非对称数据密钥对，用于AWS KMS之外的客户端加密。非对称数据密钥对中的对称数据密钥和私钥由AWS KMS中的对称CMK保护

• 对称数据密钥-可用于加密AWS KMS以外数据的对称加密密钥。此密钥由AWS KMS中的对称CMK保护。 *非对称数据密钥对-由公钥和私钥组成的RSA或椭圆曲线（ECC）密钥对。您可以在AWS KMS之外使用数据密钥对加密和解密数据，或对消息签名和验证签名。私钥由AWS KMS中的对称CMK保护

使用KMS中的非对称数据密钥更为实用，但需要修改后的客户端使用CMK将其打开，或者需要您使用SSH客户端的功能在客户端管理密钥本身的加密

您还需要向正在登录的主机添加公钥。一个例子是使用Terraform生成CMK，并使用null_资源供应器从中创建非对称数据密钥

然后，您可以获取非对称数据密钥的公钥，并将其作为密钥对添加到EC2中，以便在配置实例中使用

---

这是非常复杂的，不值得这么复杂。您最好在本地使用ssh-keygen。

如何工作？KMS上的非对称密钥不允许您访问私钥，因此您无法使用该密钥进行SSH登录。您能否详细说明您试图实现的目标，并解释一下您目前阅读的内容，从而得出此决定？@ydaetskcoR您对CMK是正确的，但对数据键则不正确。KMS可以生成可用于客户端操作的非对称数据密钥。这会很尴尬，但肯定不是不可能。