在自定义密钥存储中管理 KMS 密钥

您可以在自定义密钥存储中创建、查看、管理、使用和计划删除 Amazon KMS keys。您使用的过程与您在 Amazon KMS 中用于 KMS 密钥的过程非常相似。唯一的区别是您在创建 KMS 密钥时指定了自定义密钥存储。然后，Amazon KMS 在与自定义密钥存储关联的 Amazon CloudHSM 集群中为 KMS 密钥创建不可提取的密钥材料。在自定义密钥存储中使用 KMS 密钥时，会在集群中的 HSM 中执行加密操作。

注意

Amazon KMS 自定义密钥存储仅支持对称加密 KMS 密钥。您无法在自定义密钥存储中创建 HMAC KMS 密钥、非对称 KMS 密钥或非对称数据密钥对。

您无法向自定义密钥存储中的 KMS 密钥导入密钥材料。Amazon KMS 为 Amazon CloudHSM 集群中的 KMS 密钥生成密钥材料。

除了此部分中讨论的过程之外，您还可以使用自定义存储中的 KMS 密钥执行下列操作：

使用密钥策略、IAM 策略和授权来授予对 KMS 密钥的访问权限。
分配标签到 KMS 密钥中并创建引用 KMS 密钥的别名。
使用 KMS 密钥进行加密操作，包括加密、解密、重新加密和生成数据密钥。
将 KMS 密钥和与 Amazon KMS 集成的 Amazon 服务结合使用并支持客户托管密钥。
在 Amazon CloudTrail 日志和 Amazon CloudWatch 监控工具中跟踪您的 KMS 密钥使用。

但是，您无法将密钥材料导入自定义密钥存储中的 KMS 密钥。

主题

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

删除自定义密钥存储

在自定义密钥存储中创建 KMS 密钥