Amazon web services AWS KMS:What';CMK和关键材料的区别是什么?
在以下文档中,AWS引用了一个称为Amazon web services AWS KMS:What';CMK和关键材料的区别是什么?,amazon-web-services,public-key-encryption,amazon-kms,Amazon Web Services,Public Key Encryption,Amazon Kms,在以下文档中,AWS引用了一个称为关键材料的概念 AWS KMS:使用自定义密钥存储 AWS KMS支持由AWS CloudHSM群集支持的自定义密钥存储。在自定义密钥存储中创建AWS KMS客户主密钥(CMK)时,AWS KMS会在您拥有和管理的AWS CloudHSM群集中为CMK生成并存储不可提取的密钥资料 以KMS中的非对称加密密钥对为例,密钥材料是什么?什么是CMK?CMK和密钥材料有什么区别?对于非对称密钥,“密钥材料”将是您的私钥。如果您在AWS使用自己的,而不是用于KMS的AWS
关键材料的概念
AWS KMS:使用自定义密钥存储
AWS KMS支持由AWS CloudHSM群集支持的自定义密钥存储。在自定义密钥存储中创建AWS KMS客户主密钥(CMK)时,AWS KMS会在您拥有和管理的AWS CloudHSM群集中为CMK生成并存储不可提取的密钥资料
以KMS中的非对称加密密钥对为例,密钥材料是什么?什么是CMK?CMK和密钥材料有什么区别?对于非对称密钥,“密钥材料”将是您的私钥。如果您在AWS使用自己的,而不是用于KMS的AWS拥有的集群,那么您可以自己生成它
由于您使用的是KMS,您无法直接访问私钥,因为它是“不可提取的”
客户主密钥(CMK)是一种AWS资源,允许您管理和间接使用密钥材料(即非对称密钥的私钥)。所以,因为您不能直接查看或操作私钥,所以可以使用CMK资源来使用它。由于CMK是一种资源,它提供了许多围绕关键材料构建的附加功能,例如:
- 自动关键点旋转
- KMS关键政策和IAM政策
- 与众多AWS服务(如S3、EBS、RDS、
- 等等
CMK是逻辑容器,包含:
- 密钥材料,用于加密数据和解密数据
- 密钥id
- 阿恩
- 其他的东西
参考文献
我建议您多读一些关于这方面的内容,以理解术语/行话,例如,阅读@luk2302本白皮书解释了所有细节。这真的很有帮助。