在以下文档中,AWS 引用了一个名为key material.
AWS KMS文档:使用自定义密钥存储
AWS KMS 支持由 AWS CloudHSM 集群支持的自定义密钥存储。当您在自定义密钥存储中创建 AWS KMS 客户主密钥 (CMK) 时,AWS KMS 会为 CMK 生成不可提取的密钥材料并将其存储在您拥有和管理的 AWS CloudHSM 集群中。
以 KMS 中的非对称加密密钥对为例,什么是密钥材料?什么是 CMK?CMK 和密钥材料有什么区别?
问问题
856 次
2 回答
3
对于非对称密钥,“密钥材料”将是您的private key。如果您在 AWS 上使用自己的CloudHSM 集群,而不是用于 KMS 的 AWS 拥有的集群,您可以使用AWS CloudHSM 动态引擎自己生成它。
由于您使用的是 KMS,因此您无法直接访问私钥,因为它是“不可提取的”。
客户主密钥 (CMK) 是一种 AWS 资源,允许您管理和间接使用密钥材料(即非对称私钥)。因此,由于您无法直接查看或操作您的私钥,因此您使用 CMK 资源来使用它。由于 CMK 是一种资源,它提供了许多围绕密钥材料构建的附加功能,例如:
- 自动密钥轮换
- KMS 密钥策略和 IAM 策略
- 与众多 AWS 服务(例如 S3、EBS、RDS、
- 和别的。
于 2021-04-12T08:45:10.953 回答
0
CMK 是逻辑容器,它包含:
- 密钥材料,用于加密数据和解密数据。
- 密钥ID
- ARN
- 其他的东西。
参考
https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys
于 2021-04-12T12:32:33.710 回答