问是否可以将非对称密钥作为您自己的密钥(BYOK)提供给任何云提供商的云KMS (密钥管理服务)？

EN

您可以通过导入对称或私有非对称密钥将自己的密钥“带到Google Cloud KMS”：文档在这里- https://cloud.google.com/kms/docs/key-import。亚马逊网络服务只对对称密钥有类似的功能，文档在这里- https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html。

但是，在这两种情况下，KMS都持有一个私钥，无论是对称的还是非对称的，这样您就可以在KMS中进行安全的操作。当您希望保留私钥而只向KMS发送公钥时，我不确定您想要什么架构。

如果您希望保留对密钥材料的私有控制，GCP通过“外部密钥管理器”提供支持，该管理器允许您“持有自己的密钥”。文档在这里：https://cloud.google.com/kms/docs/ekm。据我所知，亚马逊没有类似的服务。

披露:我在Google Cloud从事密钥管理解决方案的工作，包括KMS和EKM。