Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstellen Sie einen asymmetrischen Schlüssel KMS
Sie können asymmetrische KMS Schlüssel in der AWS KMS Konsole erstellen, indem Sie die CreateKeyAPIoder die AWS:KMS: AWS CloudFormation :Key-Vorlage verwenden. Ein asymmetrischer KMS Schlüssel stellt ein öffentliches und privates key pair dar, das zum Verschlüsseln, Signieren oder Ableiten gemeinsamer Geheimnisse verwendet werden kann. Der private Schlüssel verbleibt im Inneren. AWS KMS Informationen zum Herunterladen des öffentlichen Schlüssels zur Verwendung außerhalb von AWS KMS finden Sie unterLaden Sie den öffentlichen Schlüssel herunter.
Wenn Sie einen asymmetrischen KMS Schlüssel erstellen, müssen Sie eine Schlüsselspezifikation auswählen. Häufig wird die von Ihnen ausgewählte Schlüsselspezifikation durch gesetzliche, Sicherheits- oder geschäftliche Anforderungen bestimmt. Sie kann auch von der Größe der Nachrichten beeinflusst werden, die Sie verschlüsseln oder signieren müssen. Im Allgemeinen sind längere Verschlüsselungsschlüssel Brute-Force-Angriffen gegenüber weniger anfällig. Eine ausführliche Beschreibung aller unterstützten Schlüsselspezifikationen finden Sie unter. Referenz zu wichtigen Spezifikationen
AWS Dienste, die in integriert sind, unterstützen AWS KMS keine asymmetrischen KMS Schlüssel. Wenn Sie einen KMS Schlüssel erstellen möchten, der Daten verschlüsselt, die Sie in einem AWS Dienst speichern oder verwalten, erstellen Sie einen symmetrischen Verschlüsselungsschlüssel. KMS
Informationen zu den Berechtigungen, die zum Erstellen von KMS Schlüsseln erforderlich sind, finden Sie unter. Berechtigungen für die Erstellung von KMS Schlüsseln
Sie können das verwenden AWS Management Console , um asymmetrische AWS KMS keys (KMSSchlüssel) zu erstellen. Jeder asymmetrische KMS Schlüssel steht für ein öffentliches und ein privates key pair.
Wichtig
Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Alias, in der Beschreibung oder in den Tags auf. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.
-
Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms
. -
Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
-
Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.
-
Klicken Sie auf Create key.
-
Um einen asymmetrischen KMS Schlüssel zu erstellen, wählen Sie unter Schlüsseltyp die Option Asymmetrisch aus.
-
Um einen asymmetrischen KMS Schlüssel für die Verschlüsselung mit öffentlichen Schlüsseln zu erstellen, wählen Sie unter Schlüsselverwendung die Option Verschlüsseln und entschlüsseln aus.
Um einen asymmetrischen KMS Schlüssel zum Signieren von Nachrichten und zum Überprüfen von Signaturen zu erstellen, wählen Sie unter Schlüsselverwendung die Option Signieren und überprüfen aus.
Um einen asymmetrischen KMS Schlüssel für die Ableitung gemeinsamer geheimer Schlüssel zu erstellen, wählen Sie unter Schlüsselverwendung die Option Schlüsselvereinbarung aus.
Hilfe bei der Auswahl eines Schlüsselnutzungswerts finden Sie unter Auswahl des zu erstellenden KMS Schlüsseltyps.
-
Wählen Sie eine Spezifikation (Schlüsselspezifikation) für Ihren asymmetrischen Schlüssel aus. KMS
-
Wählen Sie Weiter.
-
Geben Sie einen Alias für den KMS Schlüssel ein. Der Aliasname darf nicht mit
aws/beginnen. Das Präfixaws/ist von Amazon Web Services reserviert und steht für Von AWS verwaltete Schlüssel in Ihrem Konto.Ein Alias ist ein benutzerfreundlicher Name, mit dem Sie den KMS Schlüssel in der Konsole und in einigen Konsolen identifizieren können AWS KMS APIs. Wir empfehlen Ihnen, einen Alias zu wählen, der den Datentyp angibt, den Sie schützen möchten, oder die Anwendung, die Sie mit dem KMS Schlüssel verwenden möchten.
Aliase sind erforderlich, wenn Sie einen KMS Schlüssel in der AWS Management Console erstellen. Sie können keinen Alias angeben, wenn Sie den CreateKeyVorgang verwenden, aber Sie können die Konsole oder den CreateAliasVorgang verwenden, um einen Alias für einen vorhandenen KMS Schlüssel zu erstellen. Details hierzu finden Sie unter Aliase in AWS KMS.
-
(Optional) Geben Sie eine Beschreibung für den KMS Schlüssel ein.
Geben Sie eine Beschreibung ein, die den Datentyp erklärt, den Sie schützen möchten, oder die Anwendung, die Sie mit dem KMS Schlüssel verwenden möchten.
Sie können jetzt eine Beschreibung hinzufügen oder sie jederzeit aktualisieren, es sei denn, der Schlüsselstatus lautet
Pending DeletionoderPending Replica Deletion. Um die Beschreibung eines vorhandenen, vom Kunden verwalteten Schlüssels hinzuzufügen, zu ändern oder zu löschen, bearbeiten Sie die Beschreibung auf der Detailseite des KMS Schlüssels AWS Management Console oder verwenden Sie den UpdateKeyDescriptionVorgang. -
(Optional) Geben Sie einen Tag-Schlüssel und einen optionalen Tag-Wert ein. Um dem KMS Schlüssel mehr als ein Tag hinzuzufügen, wählen Sie Tag hinzufügen.
Wenn Sie Ihren AWS Ressourcen Tags hinzufügen, AWS wird ein Kostenverteilungsbericht generiert, in dem die Nutzung und die Kosten nach Stichwörtern zusammengefasst sind. Tags können auch verwendet werden, um den Zugriff auf einen KMS Schlüssel zu kontrollieren. Hinweise zum Markieren von KMS Schlüsseln finden Sie unter Schlagworte in AWS KMS undABACfür AWS KMS.
-
Wählen Sie Weiter.
-
Wählen Sie die IAM Benutzer und Rollen aus, die den KMS Schlüssel verwalten können.
Anmerkung
Diese Schlüsselrichtlinie gibt die AWS-Konto volle Kontrolle über diesen KMS Schlüssel. Sie ermöglicht es Kontoadministratoren, mithilfe von IAM Richtlinien anderen Hauptbenutzern die Erlaubnis zu erteilen, den KMS Schlüssel zu verwalten. Details hierzu finden Sie unter Standardschlüsselrichtlinie.
IAMbewährte Verfahren raten von der Verwendung von IAM Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM Rollen, die temporäre Anmeldeinformationen bereitstellen. Einzelheiten finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.
-
(Optional) Um zu verhindern, dass die ausgewählten IAM Benutzer und Rollen diesen KMS Schlüssel löschen, deaktivieren Sie unten auf der Seite im Abschnitt Löschen von Schlüsseln das Kontrollkästchen Schlüsseladministratoren erlauben, diesen Schlüssel zu löschen.
-
Wählen Sie Weiter.
-
Wählen Sie die IAM Benutzer und Rollen aus, die den KMS Schlüssel für kryptografische Operationen verwenden können.
Anmerkung
Diese Schlüsselrichtlinie gibt die AWS-Konto volle Kontrolle über diesen KMS Schlüssel. Sie ermöglicht es Kontoadministratoren, mithilfe von IAM Richtlinien anderen Prinzipalen die Erlaubnis zu erteilen, den KMS Schlüssel für kryptografische Operationen zu verwenden. Details hierzu finden Sie unter Standardschlüsselrichtlinie.
IAMbewährte Verfahren raten von der Verwendung von IAM Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM Rollen, die temporäre Anmeldeinformationen bereitstellen. Einzelheiten finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.
-
(Optional) Sie können anderen erlauben, diesen KMS Schlüssel für kryptografische Operationen AWS-Konten zu verwenden. Wählen Sie dazu im Abschnitt Other AWS-Konten(Andere Konten) unten auf der Seite die Option Add another AWS-Konto(Weiteres Konto hinzufügen) und geben Sie die AWS-Konto -ID eines externen Kontos ein. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.
Anmerkung
Damit die Hauptbenutzer der externen Konten den KMS Schlüssel verwenden können, müssen Administratoren des externen Kontos IAM Richtlinien erstellen, die diese Berechtigungen bereitstellen. Weitere Informationen finden Sie unter Benutzern mit anderen Konten die Verwendung eines KMS Schlüssels ermöglichen.
-
Wählen Sie Weiter.
-
Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.
-
Wählen Sie Fertig stellen, um den KMS Schlüssel zu erstellen.
Sie können die CreateKeyOperation verwenden, um eine Asymmetrie AWS KMS key zu erstellen. Für diese Beispiele wird die AWS Command Line Interface (AWS CLI)
Wenn Sie einen asymmetrischen KMS Schlüssel erstellen, müssen Sie den KeySpec Parameter angeben, der die Art der Schlüssel bestimmt, die Sie erstellen. Außerdem müssen Sie den KeyUsage Wert ENCRYPT _DECRYPT, _ oder SIGN KEY _ VERIFY AGREEMENT angeben. Sie können diese Eigenschaften nicht ändern, nachdem der KMS Schlüssel erstellt wurde.
Bei CreateKey diesem Vorgang können Sie keinen Alias angeben, aber Sie können den CreateAliasVorgang verwenden, um einen Alias für Ihren neuen KMS Schlüssel zu erstellen.
Wichtig
Geben Sie keine vertraulichen oder sensiblen Informationen in die Felder Description oder Tags ein. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.
Erstellen Sie ein asymmetrisches KMS key pair für die öffentliche Verschlüsselung
Im folgenden Beispiel wird der CreateKey Vorgang verwendet, um einen asymmetrischen KMS Schlüssel mit 4096-Bit-Schlüsseln zu erstellen, der für die Verschlüsselung mit öffentlichen RSA Schlüsseln konzipiert ist.
$aws kms create-key --key-spec RSA_4096 --key-usage ENCRYPT_DECRYPT{ "KeyMetadata": { "KeyState": "Enabled", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "Description": "", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1569973196.214, "MultiRegion": false, "KeySpec": "RSA_4096", "CustomerMasterKeySpec": "RSA_4096", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "RSAES_OAEP_SHA_1", "RSAES_OAEP_SHA_256" ], "AWSAccountId": "111122223333", "Origin": "AWS_KMS", "Enabled": true } }
Erstellen Sie ein asymmetrisches KMS key pair zum Signieren und Überprüfen
Der folgende Beispielbefehl erstellt einen asymmetrischen KMS Schlüssel, der ECC ein Schlüsselpaar darstellt, das zum Signieren und Überprüfen verwendet wird. Sie können kein Elliptic Curve-Schlüsselpaar für die Verschlüsselung und Entschlüsselung erstellen.
$aws kms create-key --key-spec ECC_NIST_P521 --key-usage SIGN_VERIFY{ "KeyMetadata": { "KeyState": "Enabled", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1570824817.837, "Origin": "AWS_KMS", "SigningAlgorithms": [ "ECDSA_SHA_512" ], "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "AWSAccountId": "111122223333", "KeySpec": "ECC_NIST_P521", "CustomerMasterKeySpec": "ECC_NIST_P521", "KeyManager": "CUSTOMER", "Description": "", "Enabled": true, "MultiRegion": false, "KeyUsage": "SIGN_VERIFY" } }
Erstellen Sie ein asymmetrisches KMS key pair für die Ableitung gemeinsamer Geheimnisse
Der folgende Beispielbefehl erstellt einen asymmetrischen KMS Schlüssel, der ein Schlüsselpaar darstellt, das zum Ableiten von ECDH gemeinsamen Geheimnissen verwendet wird. Sie können kein Elliptic Curve-Schlüsselpaar für die Verschlüsselung und Entschlüsselung erstellen.
$aws kms create-key --key-spec ECC_NIST_P256 --key-usage KEY_AGREEMENT{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": "2023-12-27T19:10:15.063000+00:00", "Enabled": true, "Description": "", "KeyUsage": "KEY_AGREEMENT", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "ECC_NIST_P256", "KeySpec": "ECC_NIST_P256", "KeyAgreementAlgorithms": [ "ECDH" ], "MultiRegion": false } }
