1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 大多数AWS服务都提供AWS托管的CMK或AWS所有拥有的CMK。
如文档中所述,AWS托管的CMK在客户的账户中可见。客户可以查看CMK及其密钥状态,并使用GetKeyPolicy查看(但不能更改)密钥策略。他们还可以通过CloudTrail日志跟踪AWS服务使用托管CMK的使用情况。密钥策略使用kms: ViaService条件键,允许该密钥仅由代表的客户服务使用,而不是由客户直接使用。此外,客户每使用一次AWS托管的CMK就会被收费,尽管一些服务会吃掉这个成本。
这些功能在AWS所有的CMK(在您的账户中显示为aws/servicename,例如aws/ebs)上不可用,该密钥不在客户的账户中。但是,尽管可见性降低,该密钥易于使用。这个服务代表客户创建,维护和使用CMK。