发布于: Apr 20, 2022
AWS Key Management Service (AWS KMS) 使您能够创建 KMS 密钥,该密钥可用于生成和验证 HMAC 散列消息认证码。HMAC 是一个功能强大的加密构建块,它将密钥材料包含在哈希函数中,以创建唯一的加密消息身份验证码。只能在 AWS KMS 中经过 FIPS 140-2 验证的 HSM 安全边界内生成和使用 HMAC KMS 密钥。与本地应用程序软件中使用纯文本的 HMAC 密钥相比,此架构可以最小化这些密钥泄露的风险。
借助 HMAC,您可以快速令牌化或签署诸如 Web API 请求、信用卡号、银行路由信息或个人身份信息 (PII) 之类的数据。HMAC 使用对称加密技术,因此,与使用非对称加密(如 RSA 或 ECC)的签署算法相比,它们通常具有更高性能。HMAC 常用于几个互联网标准和通信协议,如 JSON Web 令牌(JWT)。AWS KMS 中的 KMS 密钥和 HMAC 算法符合 RFC 2104 中定义的行业标准。就像其他任何类型的 KMS 密钥一样,您可以通过定义 KMS 密钥和/或 IAM 策略控制允许谁在哪些条件下执行 HMAC 功能。
KMS HMAC API 目前已在选定区域中推出。有关区域支持和新 HMAC 功能概览的信息,请参阅 KMS 开发人员指南。
2022 年 4 月 27 日:这篇文章的之前版本错误引用了“Java”Web 令牌标准。我们已将此引用更改为 JSON Web 令牌(JWT)标准。