Erstellen Sie einen aktiven Filialschlüssel

Ein Verzweigungsschlüssel ist ein Datenschlüssel AWS KMS key , der von einem abgeleitet ist und den der AWS KMS hierarchische Schlüsselbund verwendet, um die Anzahl der Aufrufe zu reduzieren. AWS KMS Der aktive Zweigschlüssel ist die neueste Version des Zweigschlüssels. Der hierarchische Schlüsselbund generiert für jede Verschlüsselungsanforderung einen eindeutigen Datenschlüssel und verschlüsselt jeden Datenschlüssel mit einem eindeutigen Umschließungsschlüssel, der vom aktiven Zweigschlüssel abgeleitet wird.

Um einen neuen aktiven Zweigschlüssel zu erstellen, müssen Sie Ihre Schlüsselspeicher-Aktionen statisch konfigurieren. CreateKeyist eine privilegierte Operation, die den in Ihrer Konfiguration für KMS Schlüsselspeicher-Aktionen ARN angegebenen Schlüssel zu Ihrer Schlüsselspeicher-Zulassungsliste hinzufügt. Anschließend wird der KMS Schlüssel verwendet, um den neuen aktiven Branch-Schlüssel zu generieren. Wir empfehlen, den Zugriff auf diesen Vorgang einzuschränken, da ein KMS einmal zum Schlüsselspeicher hinzugefügter Schlüssel nicht gelöscht werden kann.

Sie können einen KMS Schlüssel in Ihrem Schlüsselspeicher zulassen, oder Sie können mehrere Schlüssel zulassen, indem Sie den KMS Schlüssel, den Sie in Ihrer Konfiguration für KMS Schlüsselspeicher-Aktionen angegeben habenARN, aktualisieren und erneut aufrufenCreateKey. Wenn Sie mehrere KMS Schlüssel auf die Zulassungsliste setzen, sollten Ihre Schlüsselspeicher-Benutzer ihre Schlüsselspeicher-Aktionen für die Erkennung so konfigurieren, dass sie alle Schlüssel auf der Zulassungsliste im Schlüsselspeicher verwenden können, auf die sie Zugriff haben. Weitere Informationen finden Sie unter Schlüsselspeicheraktionen konfigurieren.

Erforderliche -Berechtigungen

Um Branch-Schlüssel zu erstellen, benötigen Sie die ReEncrypt Berechtigungen kms: GenerateDataKeyWithoutPlaintext und kms: für den Schlüssel, der in Ihren KMS Schlüsselspeicher-Aktionen angegeben ist.

Erstellen Sie einen Branch-Schlüssel

Der folgende Vorgang erstellt einen neuen aktiven Branch-Schlüssel unter Verwendung des KMS Schlüssels, den Sie in Ihrer Konfiguration für Schlüsselspeicher-Aktionen angegeben haben, und fügt den aktiven Branch-Schlüssel zur DynamoDB-Tabelle hinzu, die als Ihr Schlüsselspeicher dient.

Wenn Sie aufrufenCreateKey, können Sie wählen, ob Sie die folgenden optionalen Werte angeben möchten.

branchKeyIdentifier: definiert eine benutzerdefiniertebranch-key-id.

Um einen benutzerdefinierten zu erstellenbranch-key-id, müssen Sie dem encryptionContext Parameter auch einen zusätzlichen Verschlüsselungskontext hinzufügen.
encryptionContext: definiert einen optionalen Satz nicht geheimer Schlüssel-Wert-Paare, der zusätzliche authentifizierte Daten (AAD) in dem Verschlüsselungskontext bereitstellt, der im kms: -Aufruf enthalten ist. GenerateDataKeyWithoutPlaintext

Dieser zusätzliche Verschlüsselungskontext wird mit dem Präfix angezeigt. aws-crypto-ec:

Zunächst generiert die CreateKey Operation die folgenden Werte.

Ein Universally Unique Identifier (UUID) der Version 4 für branch-key-id (sofern Sie keinen benutzerdefinierten Bezeichner angegeben habenbranch-key-id).
Eine Version 4 UUID für die Branch Key-Version
A timestamp im Datums- und Uhrzeitformat ISO 8601 in koordinierter Weltzeit (UTC).

Anschließend ruft der CreateKey Vorgang kms: GenerateDataKeyWithoutPlaintext mit der folgenden Anforderung auf.


{
	    "EncryptionContext": { 
	       "branch-key-id" : "branch-key-id",
	       "type" : "type",
	       "create-time" : "timestamp",
	       "logical-key-store-name" : "the logical table name for your key store",
	       "kms-arn" : the KMS key ARN,
	       "hierarchy-version" : "1",
	       "aws-crypto-ec:contextKey": "contextValue"
	    },
	    "KeyId": "the KMS key ARN you specified in your key store actions",
	    "NumberOfBytes": "32"
	 }

Anmerkung

Der CreateKey Vorgang erstellt einen aktiven Branch-Schlüssel und einen Beacon-Schlüssel, auch wenn Sie Ihre Datenbank nicht für durchsuchbare Verschlüsselung konfiguriert haben. Beide Schlüssel werden in Ihrem Schlüsselspeicher gespeichert. Weitere Informationen finden Sie unter Verwenden des hierarchischen Schlüsselbundes für durchsuchbare Verschlüsselung.

Als Nächstes ruft der CreateKey Vorgang kms: ReEncrypt auf, um einen aktiven Datensatz für den Branch-Schlüssel zu erstellen, indem der Verschlüsselungskontext aktualisiert wird.

Zuletzt ruft der CreateKey Vorgang ddb: TransactWriteItems auf, um ein neues Element zu schreiben, das den Verzweigungsschlüssel in der Tabelle, die Sie in Schritt 2 erstellt haben, beibehält. Das Element hat die folgenden Attribute.


{
	     "branch-key-id" : branch-key-id,
	     "type" : "branch:ACTIVE",
	     "enc" : the branch key returned by the GenerateDataKeyWithoutPlaintext call,
	     "version": "branch:version:the branch key version UUID",
	     "create-time" : "timestamp",
	     "kms-arn" : "the KMS key ARN you specified in Step 1",
	     "hierarchy-version" : "1",
	     "aws-crypto-ec:contextKey": "contextValue"
 }

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Schlüsselspeicheraktionen konfigurieren

Drehe deinen aktiven Filialschlüssel