本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # AWS 支付密码学安全最佳实践 AWS Payment Cryptography 支持许多内置安全功能,或者您可以选择实施这些功能,以增强对加密密钥的保护并确保其用于预期目的,包括 [IAM 策略](security_iam_service-with-iam.md)、用于完善密钥策略和 IAM 策略的大量策略条件密钥以及有关密钥块的 PCI PIN 规则的内置强制执行。 **重要** 提供的这些一般准则并不代表完整的安全解决方案。由于并非所有最佳实践都适用于所有情况,因此这些做法并不是规范性的。 + **密钥使用和使用模式**: AWS 支付密码学遵循并强制执行密钥使用和使用模式限制,如ANSI X9 TR 31-2018互操作安全密钥交换密钥区块规范中所述,并符合PCI PIN安全要求18-3。这限制了将单个密钥用于多种目的的能力,并以加密方式将密钥元数据(例如允许的操作)绑定到密钥材料本身。 AWS Payment Cryptography 会自动强制执行这些限制,例如密钥加密密钥(TR31\_K0\_KEY\_ENCRYPTION\_KEY)也不能用于数据解密。有关更多信息,请参阅[了解 AWS 支付密码学密钥的关键属性](keys-validattributes.md)。 + **限制对称密钥材料的共享**:最多只能与其他一个实体共享对称密钥材料(例如 Pin 加密密钥或密钥加密密钥)。如果需要将敏感材料传输给更多实体或合作伙伴,请创建其他密钥。 AWS 支付密码学从不公开对称密钥材料或非对称私钥材料。 + **使用别名或标签将密钥与某些用例或合作伙伴相关联**:别名可用于轻松表示与密钥关联的用例,例如 alias/BIN\_12345\_CVK 表示与 BIN 12345 关联的卡片验证密钥。为了提供更大的灵活性,可以考虑创建诸如 bin=12345、use\_case=acquiring、country=us,partner=foo 之类的标签。别名和标签还可用于限制访问权限,例如在发布和获取用例之间实施访问控制。 + **实行最低权限访问**:IAM 可用于限制对系统而非个人的生产访问,例如禁止个人用户创建密钥或运行加密操作。IAM 还可用于限制对可能不适用于您的用例的命令和密钥的访问权限,例如限制为收单机构生成或验证密码的能力。使用最低权限访问的另一种方法是将敏感操作(例如密钥导入)限制为特定的服务账户。有关示例,请参阅 [AWS 支付密码学基于身份的策略示例](security_iam_id-based-policy-examples.md)。 **另请参阅** + [AWS 支付密码学的身份和访问管理](security-iam.md) + *IAM 用户指南*中的 [IAM 安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)