在以下文档中,AWS引用了一个名为key material的概念。
AWS KMS文档:使用自定义密钥存储
AWS KMS支持由AWS CloudHSM集群支持的自定义密钥存储。当您在自定义密钥存储中创建AWS KMS客户主密钥(CMK(时,AWS KMS会在您拥有和管理的AWS CloudHSM集群中为CMK生成和存储不可提取的密钥材料。
以KMS中的非对称加密密钥对为例,什么是密钥材料?什么是CMK?CMK和关键材料有什么区别?
对于非对称密钥;关键材料";将是您的私钥。如果您在AWS使用自己的CloudHSM集群,而不是用于KMS的AWS拥有的集群,则可以使用AWS CloudHSM动态引擎自行生成。
由于您正在使用KMS,因此您无法直接访问私钥,因为它是";不可提取";。
客户主密钥(CMK(是一种AWS资源,允许您管理和间接使用密钥材料(即非对称私钥(。因此,因为你不能直接查看或操作你的私钥,所以你使用CMK资源来使用它。由于CMK是一种资源,它提供了许多围绕密钥材料构建的附加功能,例如:
- 自动钥匙旋转
- KMS关键政策和IAM政策
- 与众多AWS服务的透明集成,如S3、EBS、RDS
- 以及其他
AWS KMS正在用AWS KMS密钥和KMS密钥替换术语客户主密钥(CMK(。这个概念没有改变。为了防止突破性的变化,AWS KMS保留了这个术语的一些变体。
CMK是逻辑容器,它包含:
- 密钥材料,用于加密数据和解密数据
- 密钥id
- ARN
- 其他东西
参考
https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys