在AWS（Amazon Web Services）中存储机密数据时，安全性和合规性是最重要的考虑因素。AWS 提供了多个服务和工具，帮助用户确保数据的安全性、机密性以及合规性。AWS Secrets Manager、KMS（Key Management Service）是推荐的存储机密数据的AWS服务和最佳实践。这里先看KMS。

一、介绍

1、简介

AWS Key Management Service（KMS）是亚马逊云服务（AWS）提供的一个全托管服务，它使得客户能够轻松创建和管理加密密钥。KMS使得数据的加密、解密和管理过程变得更加简单和安全。

2、核心功能

（1）数据加密

使用对称或非对称密钥对数据进行加密和解密。通过 AWS KMS 可以加密存储在 S3、EBS、RDS、Redshift、EFS 等服务中的数据。

（2）密钥管理

创建、销毁、轮换和启用或禁用密钥。AWS KMS 支持自动密钥轮换，确保密钥的定期更新。

（3）密钥策略

定义哪些用户和角色能够使用密钥
（4）权限控制

通过AWS IAM（Identity and Access Management）来控制对KMS的访问。

（5）审计与日志记录

记录所有密钥操作，便于进行合规性审计。

二、创建KMS密钥的步骤

在AWS KMS中创建密钥是保