Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AWS KMS keys
<a name="concepts"></a><a name="key-mgmt"></a><a name="kms_keys"></a>

Bei den KMS-Schlüsseln, die Sie für die Verwendung in Ihren eigenen kryptografischen Anwendungen erstellen und verwalten, handelt es sich um vom *Kunden verwaltete* Schlüssel. Vom Kunden verwaltete Schlüssel können auch in Verbindung mit AWS Diensten verwendet werden, die KMS-Schlüssel verwenden, um die Daten zu verschlüsseln, die der Dienst in Ihrem Namen speichert. Kundenverwaltete Schlüssel werden für Kunden empfohlen, die die volle Kontrolle über den Lebenszyklus und die Verwendung ihrer Schlüssel haben möchten. Es fallen monatliche Kosten an, wenn Sie einen vom Kunden verwalteten Schlüssel in Ihrem Konto haben. Darüber hinaus fallen für Anfragen, die den Schlüssel and/or verwalten, Nutzungskosten an. Weitere Informationen finden Sie unter [AWS Key Management Service Preise](https://aws.amazon.com/kms/pricing/).

Es gibt Fälle, in denen ein Kunde vielleicht möchte, dass ein AWS Dienst seine Daten verschlüsselt, er möchte aber nicht den Aufwand für die Schlüsselverwaltung übernehmen und nicht für einen Schlüssel bezahlen. An *Von AWS verwalteter Schlüssel*ist ein KMS-Schlüssel, der in Ihrem Konto vorhanden ist, aber nur unter bestimmten Umständen verwendet werden kann. Insbesondere kann er nur im Kontext des AWS Dienstes verwendet werden, in dem Sie tätig sind, und er kann nur von Prinzipalen innerhalb des Kontos verwendet werden, in dem der Schlüssel vorhanden ist. Sie können nichts über den Lebenszyklus oder die Berechtigungen dieser Schlüssel verwalten. Wenn Sie Verschlüsselungsfunktionen in AWS Diensten verwenden, werden Sie vielleicht feststellen Von AWS verwaltete Schlüssel, dass sie einen Alias der Form „aws<service code>“ verwenden. Ein `aws/ebs` Schlüssel kann beispielsweise nur zum Verschlüsseln von EBS-Volumes und nur für Volumes verwendet werden, die von IAM-Prinzipalen im selben Konto wie der Schlüssel verwendet werden. Stellen Sie sich einen vor Von AWS verwalteter Schlüssel , der nur von Benutzern in Ihrem Konto für Ressourcen in Ihrem Konto verwendet werden kann. Sie können Ressourcen, die unter oder verschlüsselt wurden, nicht Von AWS verwalteter Schlüssel mit anderen Konten teilen. Von AWS verwalteter Schlüssel Es ist zwar kostenlos, ein in Ihrem Konto zu speichern, aber die Nutzung dieses Schlüsseltyps durch den AWS Dienst, der dem Schlüssel zugewiesen ist, wird Ihnen in Rechnung gestellt.

Von AWS verwaltete Schlüssel sind ein veralteter Schlüsseltyp, der ab 2021 nicht mehr für neue AWS Dienste erstellt wird. Stattdessen verwenden neue (und ältere) AWS Dienste standardmäßig sogenannte An *AWS-eigener Schlüssel*zur Verschlüsselung von Kundendaten. An AWS-eigener Schlüssel ist ein KMS-Schlüssel, der sich in einem vom AWS Dienst verwalteten Konto befindet, sodass die Servicebetreiber den Lebenszyklus und die Nutzungsberechtigungen verwalten können. Durch die Verwendung AWS-eigene Schlüssel können AWS Dienste Ihre Daten transparent verschlüsseln und eine einfache konto- oder regionsübergreifende gemeinsame Nutzung von Daten ermöglichen, ohne dass Sie sich Gedanken über wichtige Berechtigungen machen müssen. Wird AWS-eigene Schlüssel für encryption-by-default Workloads verwendet, die einen einfacheren, automatisierteren Datenschutz bieten. Da diese Schlüssel Eigentum sind und von ihnen verwaltet werden AWS, fallen keine Gebühren für ihre Existenz oder Nutzung an. Sie können ihre Richtlinien nicht ändern, Sie können keine Aktivitäten mit diesen Schlüsseln überprüfen und Sie können sie nicht löschen. Verwenden Sie vom Kunden verwaltete Schlüssel, wenn Kontrolle wichtig ist, aber verwenden Sie AWS-eigene Schlüssel sie, wenn Komfort am wichtigsten ist.


|  |  |  |  | 
| --- |--- |--- |--- |
|  |  Kundenseitig verwaltete Schlüssel  |  Von AWS verwaltete Schlüssel  |  AWS-eigene Schlüssel  | 
|  Schlüsselrichtlinie  | Ausschließlich vom Kunden gesteuert | Wird vom Service gesteuert; vom Kunden einsehbar | Ausschließlich kontrolliert und nur von dem AWS Dienst einsehbar, der Ihre Daten verschlüsselt | 
|  Protokollierung  | CloudTrail Datenspeicher für Kundendaten oder Ereignisse | CloudTrail Datenspeicher für Kundendaten oder Ereignisse | Für den Kunden nicht sichtbar | 
|  Lebenszyklusmanagement  | Der Kunde verwaltet Rotation, Löschung und regionalen Standort | AWS KMS verwaltet Rotation (jährlich), Löschung und regionalen Standort | AWS-Service verwaltet Rotation, Löschung und regionalen Standort | 
|  Preise  |  Monatliche Gebühr für das Vorhandensein von Schlüsseln (anteilig pro Stunde). Wird auch für die Nutzung von Schlüsseln berechnet  | Keine monatliche Gebühr; dem Anrufer wird jedoch die API-Nutzung für diese Schlüssel in Rechnung gestellt | Keine Gebühren für den Kunden | 

Die von Ihnen erstellten KMS-Schlüssel sind [kundenverwaltete Schlüssel](#customer-mgn-key). AWS-Services , die KMS-Schlüssel zur Entschlüsselung Ihrer Service-Ressourcen verwenden, erstellen oft Schlüssel für Sie. KMS-Schlüssel, die in Ihrem AWS Konto AWS-Services erstellt werden, sind [Von AWS verwaltete Schlüssel](#aws-managed-key). KMS-Schlüssel, die in einem Dienstkonto AWS-Services erstellt werden, sind [AWS-eigene Schlüssel](#aws-owned-key).


| Typ des KMS-Schlüssels | Kann KMS-Schlüsselmetadaten anzeigen | Kann KMS-Schlüssel verwalten | Wird nur für meine verwendet AWS-Konto | [Automatisches Rotieren](rotate-keys.md) | [Preise](https://aws.amazon.com/kms/pricing/) | 
| --- | --- | --- | --- | --- | --- | 
| [Kundenverwalteter Schlüssel](#customer-mgn-key) | Ja | Ja | Ja | Optional. | Monatliche Gebühr (anteilig stündlich)Gebühr pro Nutzung | 
| [Von AWS verwalteter Schlüssel](#aws-managed-key) | Ja | Nein | Ja | Erforderlich Jedes Jahr (ungefähr 365 Tage). | Keine monatliche GebührGebühr pro Nutzung (einige AWS-Services zahlen diese Gebühr für Sie) | 
| [AWS-eigener Schlüssel](#aws-owned-key) | Nein | Nein | Nein | Der AWS-Service verwaltet die Rotationsstrategie | Keine Gebühren | 

[AWS Dienste, die in integriert](service-integration.md) werden, AWS KMS unterscheiden sich in ihrer Unterstützung für KMS-Schlüssel. Einige AWS Dienste verschlüsseln Ihre Daten standardmäßig mit einem AWS-eigener Schlüssel oder einem Von AWS verwalteter Schlüssel. Einige AWS Dienste unterstützen vom Kunden verwaltete Schlüssel. Andere AWS Dienste unterstützen alle Arten von KMS-Schlüsseln AWS-eigener Schlüssel, sodass Sie einen vom Kunden verwalteten Schlüssel einfach Von AWS verwalteter Schlüssel, sichtbar oder kontrollieren können. Ausführliche Informationen zu den Verschlüsselungsoptionen, die ein AWS Dienst bietet, finden Sie unter dem Thema *Verschlüsselung im Ruhezustand* im Benutzer- oder Entwicklerhandbuch für den Dienst.

## Kundenseitig verwaltete Schlüssel
<a name="customer-mgn-key"></a>

Die von Ihnen erstellten KMS-Schlüssel sind *kundenverwaltete Schlüssel*. Von Kunden verwaltete Schlüssel sind KMS-Schlüssel in Ihrem AWS-Konto System, die Sie selbst erstellen, besitzen und verwalten. Sie haben die volle Kontrolle über diese KMS-Schlüssel. Dies gilt auch für die Festlegung und Verwaltung ihrer [Schlüsselrichtlinien, IAM-Richtlinien und Erteilungen](control-access.md), ihre [Aktivierung und Deaktivierung](enabling-keys.md), die Drehung ihrer [Verschlüsselungsinformationen](rotate-keys.md), das [Hinzufügen von Tags](tagging-keys.md), das [Erstellen von Aliassen](alias-create.md), die sich auf die KMS-Schlüssel beziehen, und das [Einplanen der KMS-Schlüssel zum Löschen](deleting-keys.md). 

Kundenverwaltete Schlüssel werden auf der Seite **Customer managed keys** (Kundenverwaltete Schlüssel) der AWS-Managementkonsole für AWS KMS angezeigt. Verwenden Sie den [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Vorgang, um einen vom Kunden verwalteten Schlüssel eindeutig zu identifizieren. Für kundenverwaltete Schlüssel ist der Wert des `KeyManager`-Felds der `DescribeKey`-Antwort `CUSTOMER`.

Sie können Ihren kundenverwalteten Schlüssel in kryptografischen Operationen verwenden und ihre Verwendung in AWS CloudTrail -Protokollen prüfen. Darüber hinaus bieten Ihnen viele [mit AWS KMS integrierte AWS -Services](service-integration.md) die Möglichkeit, einen kundenverwalteten Schlüssel zum Schutz der Daten anzugeben, die für Sie gespeichert und verwaltet werden. 

Für kundenverwaltete Schlüssel fällt eine monatliche Gebühr sowie eine Gebühr für die über das kostenlose Kontingent hinausgehende Nutzung an. Sie werden auf die AWS KMS [Kontingente](limits.md) für Ihr Konto angerechnet. Weitere Informationen finden Sie unter [AWS Key Management Service – Preise](https://aws.amazon.com/kms/pricing/) und [Kontingente](limits.md).

## Von AWS verwaltete Schlüssel
<a name="aws-managed-key"></a>

*Von AWS verwaltete Schlüssel*sind KMS-Schlüssel in Ihrem Konto, die in Ihrem Namen von einem [integrierten AWS Dienst](https://aws.amazon.com/kms/features/#AWS_Service_Integration) erstellt, verwaltet und verwendet werden AWS KMS.

Bei einigen AWS Diensten können Sie einen Von AWS verwalteter Schlüssel oder einen vom Kunden verwalteten Schlüssel auswählen, um Ihre Ressourcen in diesem Dienst zu schützen. Generell gilt: Sofern Sie nicht selbst die Kontrolle über den Verschlüsselungsschlüssel haben müssen, der Ihre Ressourcen schützt, Von AWS verwalteter Schlüssel ist an eine gute Wahl. Sie müssen den Schlüssel oder seine Schlüsselrichtlinie nicht erstellen oder verwalten, und für einen Von AWS verwalteter Schlüssel gibt es keine monatliche Gebühr.

[Sie sind berechtigt, sie Von AWS verwaltete Schlüssel in Ihrem Konto [einzusehen, ihre wichtigsten Richtlinien](key-policy-viewing.md) einzusehen und [ihre Verwendung in AWS CloudTrail Protokollen zu überprüfen](logging-using-cloudtrail.md).](viewing-keys.md) Sie können jedoch keine Eigenschaften von ändern Von AWS verwaltete Schlüssel, sie rotieren, ihre wichtigsten Richtlinien ändern oder ihre Löschung planen. Und Sie können sie nicht direkt für kryptografische Operationen verwenden Von AWS verwaltete Schlüssel . Der Dienst, der sie erstellt, verwendet sie in Ihrem Namen. 

Die [Richtlinien zur Ressourcenkontrolle](resource-control-policies.md) in Ihrer Organisation gelten nicht für. Von AWS verwaltete Schlüssel

Von AWS verwaltete Schlüssel erscheinen auf der **Von AWS verwaltete Schlüssel**Seite des AWS-Managementkonsole Formulars AWS KMS. Sie können es auch Von AWS verwaltete Schlüssel anhand ihrer Aliase identifizieren, die das Format haben`aws/service-name`, z. B. `aws/redshift` Verwenden Sie die Operation Von AWS verwaltete Schlüssel, um einen eindeutig zu identifizieren. [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) Für Von AWS verwaltete Schlüssel ist der Wert des `KeyManager`-Felds der `DescribeKey`-Antwort `AWS`.

Alle Von AWS verwaltete Schlüssel werden jedes Jahr automatisch rotiert. Dieser Rotationsplan kann nicht geändert werden.

**Anmerkung**  
Im Mai 2022 AWS KMS wurde der Rotationsplan Von AWS verwaltete Schlüssel von allen drei Jahren (ungefähr 1.095 Tage) auf jedes Jahr (ungefähr 365 Tage) geändert.

Es gibt keine monatliche Gebühr für. Von AWS verwaltete Schlüssel Für eine Nutzung, die über das kostenlose Kontingent hinausgeht, können Gebühren anfallen. Einige AWS Dienste übernehmen diese Kosten jedoch für Sie. Weitere Informationen finden Sie im Benutzerhandbuch oder Entwicklerhandbuch für den Service unter dem Thema *Verschlüsselung im Ruhezustand*. Für Einzelheiten vgl. [AWS Key Management Service -Preise](https://aws.amazon.com/kms/pricing/).

Von AWS verwaltete Schlüssel die Anzahl der KMS-Schlüssel in jeder Region Ihres Kontos nicht auf die Ressourcenkontingente anrechnen. Wenn die KMS-Schlüssel jedoch im Namen eines Prinzipals in Ihrem Konto verwendet werden, werden sie auf die Anforderungskontingente angerechnet. Details hierzu finden Sie unter [Kontingente](limits.md).

## AWS-eigene Schlüssel
<a name="aws-owned-key"></a>

*AWS-eigene Schlüssel*sind eine Sammlung von KMS-Schlüsseln, die ein AWS Dienst besitzt und verwaltet, sodass sie in mehreren Fällen verwendet AWS-Konten werden können. Sie AWS-eigene Schlüssel gehören zwar nicht zu Ihrem AWS-Konto, können aber von einem AWS Dienst verwendet werden AWS-eigener Schlüssel , um die Ressourcen in Ihrem Konto zu schützen.

Bei einigen AWS Diensten können Sie einen AWS-eigener Schlüssel oder einen vom Kunden verwalteten Schlüssel auswählen. Generell gilt: Sofern Sie nicht verpflichtet sind, den Verschlüsselungsschlüssel, der Ihre Ressourcen schützt, zu überprüfen oder zu kontrollieren, AWS-eigener Schlüssel ist an eine gute Wahl. AWS-eigene Schlüssel sind völlig kostenlos (keine monatlichen Gebühren oder Nutzungsgebühren), sie werden nicht auf die [AWS KMS Kontingente](limits.md) für Ihr Konto angerechnet und sie sind einfach zu verwenden. Sie müssen den Schlüssel oder seine Schlüsselrichtlinie nicht erstellen oder pflegen.

Die Rotation von AWS-eigene Schlüssel variiert je nach Dienst. Informationen zur Rotation eines bestimmten AWS-eigener Schlüssel Dienstes finden Sie unter dem Thema *Verschlüsselung im Ruhezustand* im Benutzer- oder Entwicklerhandbuch für den Dienst.

## AWS KMS key Hierarchie
<a name="key-hierarchy"></a>

Ihre Schlüsselhierarchie beginnt mit einem logischen Schlüssel der obersten Ebene, einem. AWS KMS key Ein KMS-Schlüssel stellt einen Container für Schlüsselmaterial der obersten Ebene dar und ist innerhalb des AWS -Service-Namespace mit einem Amazon-Ressourcennamen (ARN) eindeutig definiert. Der ARN enthält eine eindeutig generierte Schlüsselkennung, eine *Schlüssel-ID.* Ein KMS-Schlüssel wird auf der Grundlage einer vom Benutzer initiierten Anfrage über erstellt. AWS KMS AWS KMS Fordert bei Empfang die Erstellung eines ersten HSM-Backing-Schlüssels (HBK) an, der im KMS-Schlüsselcontainer platziert werden soll. Der HBK wird auf einem HSM in der Domäne generiert und ist so konzipiert, dass er niemals im Klartext aus dem HSM exportiert wird. Stattdessen wird der HBK unter HSM-verwalteten Domänenschlüsseln verschlüsselt exportiert. Diese exportierten Token HBKs werden als exportierte Schlüsseltoken () EKTs bezeichnet.

Der EKT wird in einen äußerst langlebigen Speicher mit geringer Latenz exportiert. Angenommen, Sie erhalten einen ARN für den logischen KMS-Schlüssel. Dies stellt für Sie die Spitze einer Schlüsselhierarchie oder eines kryptografischen Kontexts dar. Sie können mehrere KMS-Schlüssel in Ihrem Konto erstellen und Richtlinien für Ihre KMS-Schlüssel wie für jede andere AWS benannte Ressource festlegen.

Innerhalb der Hierarchie eines bestimmten KMS-Schlüssels kann man sich den HBK als eine Version des KMS-Schlüssels vorstellen. Wenn Sie den KMS-Schlüssel rotieren möchten AWS KMS, wird ein neuer HBK erstellt und dem KMS-Schlüssel als aktive HBK für den KMS-Schlüssel zugeordnet. Ältere Daten HBKs bleiben erhalten und können zum Entschlüsseln und Überprüfen zuvor geschützter Daten verwendet werden. Aber nur der aktive kryptografische Schlüssel kann verwendet werden, um neue Informationen zu schützen. 

![\[AWS KMS key Hierarchie.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/CMK-Hierarchy.png)


Sie können Anfragen stellen AWS KMS , um Ihre KMS-Schlüssel zum direkten Schutz von Informationen zu verwenden, oder zusätzliche HSM-generierte Schlüssel anfordern, die unter Ihrem KMS-Schlüssel geschützt sind. Diese Schlüssel werden Kundendatenschlüssel oder genannt. CDKs CDKs können verschlüsselt als Chiffretext (CT), im Klartext oder in beidem zurückgegeben werden. Alle mit einem KMS-Schlüssel verschlüsselten Objekte (entweder vom Kunden bereitgestellte Daten oder von HSM generierte Schlüssel) können nur auf einem HSM per Call Through entschlüsselt werden. AWS KMS

Der zurückgegebene Chiffretext oder die entschlüsselte Nutzlast werden niemals darin gespeichert. AWS KMS Die Informationen werden Ihnen über Ihre TLS-Verbindung an AWS KMS zurückgesendet. Dies gilt auch für Anrufe, die von AWS Diensten in Ihrem Namen getätigt werden. 

Die Schlüsselhierarchie und die spezifischen Schlüsseleigenschaften werden in der folgenden Tabelle angezeigt.


| Key (Schlüssel) | Description | Lebenszyklus | 
| --- | --- | --- | 
|  **Domain-Schlüssel**  |  Ein 256-Bit-AES-GCM-Schlüssel nur im Speicher eines HSM, der verwendet wird, um Versionen der KMS-Schlüssel, die HSM-Unterstützungsschlüssel einzuschließen.  |  Täglich gedreht 1  | 
|  **HSM-Unterstützungsschlüssel**  |  Ein symmetrischer 256-Bit-Schlüssel oder privater RSA- oder elliptischer Kurvenschlüssel, der zum Schutz von Kundendaten und -schlüsseln verwendet und unter Domänenschlüsseln verschlüsselt gespeichert wird. Ein oder mehrere HSM-Unterstützungsschlüssel umfassen den KMS-Schlüssel, dargestellt durch die keyId.  |  Jährlich gedreht 2 (optionale Konfiguration)  | 
|  **Abgeleiteter Verschlüsselungsschlüssel**  |  Ein 256-Bit-AES-GCM-Schlüssel nur im Speicher eines HSM, der zum Verschlüsseln von Kundendaten und Schlüsseln verwendet wird. Abgeleitet von einem HBK für jede Verschlüsselung.  |  Wird einmal pro Verschlüsselung verwendet und beim Entschlüsseln regeneriert   | 
|  **Kunden-Datenschlüssel**  |  Benutzerdefinierter symmetrischer oder asymmetrischer Schlüssel, der aus HSM in Klartext und Verschlüsselungstext exportiert wird. Unter einem HSM-Unterstützungsschlüssel verschlüsselt und über den TLS-Kanal an autorisierte Benutzer zurückgegeben.  |  Drehung und Nutzung durch Anwendung gesteuert  | 

Ich AWS KMS könnte die Rotation der Domänenschlüssel von Zeit zu Zeit auf höchstens wöchentlich lockern, um die Aufgaben der Domänenverwaltung und Konfiguration zu berücksichtigen.

2 Standardmäßig, die von in AWS KMS Ihrem Namen Von AWS verwaltete Schlüssel erstellt und verwaltet werden, werden jährlich automatisch gewechselt.

## Schlüsselkennungen () KeyId
<a name="key-id"></a>

Schlüsselbezeichner fungieren als Namen für Ihre KMS-Schlüssel. Sie helfen Ihnen, Ihre KMS-Schlüssel in der Konsole zu erkennen. Sie verwenden sie, um anzugeben, welche KMS-Schlüssel Sie in AWS KMS -API-Operationen, Schlüsselrichtlinien, IAM-Richtlinien und Erteilungen verwenden möchten. Die Schlüsselkennungswerte stehen in keinem Zusammenhang mit dem Schlüsselmaterial, das dem KMS-Schlüssel zugeordnet ist.

AWS KMS definiert mehrere Schlüsselkennungen. Wenn Sie einen KMS-Schlüssel erstellen, AWS KMS generiert er einen Schlüssel-ARN und eine Schlüssel-ID, die Eigenschaften des KMS-Schlüssels sind. Wenn Sie einen [Alias](kms-alias.md) erstellen, AWS KMS generiert er einen Alias-ARN auf der Grundlage des von Ihnen definierten Aliasnamens. Sie können den Schlüssel und die Alias-IDs in der AWS-Managementkonsole und in der AWS KMS API einsehen. 

In der AWS KMS Konsole können Sie KMS-Schlüssel nach ihrem Schlüssel-ARN, ihrer Schlüssel-ID oder ihrem Aliasnamen anzeigen und filtern und nach Schlüssel-ID und Aliasnamen sortieren. Hilfestellung beim Suchen der Schlüsselbezeichner in der Konsole finden Sie unter [Abrufen von Schlüssel-ID und Schlüssel-ARN](find-cmk-id-arn.md).

In der AWS KMS API haben die Parameter, die Sie zur Identifizierung eines KMS-Schlüssels verwenden, einen Namen `KeyId` oder eine Variante, z. B. `TargetKeyId` oder`DestinationKeyId`. Die Werte dieser Parameter sind jedoch nicht auf Schlüssel beschränkt IDs. Für einige eignet sich jeder gültige Schlüsselbezeichner. Informationen zu den Werten für die einzelnen Parameter finden Sie in der Parameterbeschreibung in der AWS Key Management Service API-Referenz.

**Anmerkung**  
Achten Sie bei der Verwendung der AWS KMS API darauf, welche Schlüssel-ID Sie verwenden. APIs Für unterschiedliche sind unterschiedliche Schlüsselkennungen erforderlich. Verwenden Sie im Allgemeinen die vollständigste Schlüsselbezeichnung, die für Ihre Aufgabe praktisch ist.

AWS KMS unterstützt die folgenden Schlüsselkennungen.

**Schüssel-ARN**  <a name="key-id-key-ARN"></a>
Der Schlüssel-ARN ist der Amazon-Ressourcenname (ARN) eines KMS-Schlüssels. Er ist eine eindeutige, vollqualifizierte Kennung für den KMS-Schlüssel. Ein Schlüssel-ARN umfasst die AWS-Konto, Region und die Schlüssel-ID. Hilfestellung beim Suchen des Schlüssel-ARN eines KMS-Schlüssels finden Sie unter [Abrufen von Schlüssel-ID und Schlüssel-ARN](find-cmk-id-arn.md).  
Das Format eines Schlüssel-ARN lautet wie folgt:  

```
arn:<partition>:kms:<region>:<account-id>:key/<key-id>
```
Es folgt ein Beispiel eines Schlüssel-ARNs für einen einzelregionalen KMS-Schlüssel.  

```
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
```
Das *key-id* ARNs Schlüsselelement von [Schlüsseln mit mehreren Regionen](multi-region-keys-overview.md) beginnt mit dem `mrk-` Präfix. Es folgt ein Beispiel eines Schlüssel-ARN für einen multiregionalen KMS-Schlüssel.  

```
arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab
```

**Schlüssel-ID**  <a name="key-id-key-id"></a>
Die Schlüssel-ID identifiziert einen KMS-Schlüssel innerhalb eines Kontos und einer Region eindeutig. Hilfestellung beim Suchen der Schlüssel-ID eines KMS-Schlüssels finden Sie unter [Abrufen von Schlüssel-ID und Schlüssel-ARN](find-cmk-id-arn.md).  
Es folgt ein Beispiel einer Schlüssel-ID für einen einzelregionalen KMS-Schlüssel.  

```
1234abcd-12ab-34cd-56ef-1234567890ab
```
Der Schlüssel IDs von [Schlüsseln für mehrere Regionen](multi-region-keys-overview.md) beginnt mit dem `mrk-` Präfix. Es folgt ein Beispiel einer Schlüssel-ID für einen multiregionalen KMS-Schlüssel.  

```
mrk-1234abcd12ab34cd56ef1234567890ab
```

**Alias-ARN**  <a name="key-id-alias-ARN"></a>
Der Alias-ARN ist der Amazon-Ressourcenname (ARN) eines AWS KMS Alias. Es ist ein eindeutiger, vollqualifizierter Bezeichner für den Alias und für den KMS-Schlüssel, den er repräsentiert. Ein Alias-ARN umfasst die AWS-Konto, Region und den Aliasnamen.  
Ein Alias-ARN identifiziert zu einem bestimmten Zeitpunkt einen bestimmten KMS-Schlüssel. Da Sie jedoch den KMS-Schlüssel ändern können, der dem Alias zugeordnet ist, kann der Alias-ARN zu verschiedenen Zeiten unterschiedliche KMS-Schlüssel identifizieren. Hilfestellung beim Suchen des Alias-ARN eines KMS-Schlüssels finden Sie unter [Suchen Sie den Aliasnamen und den Alias-ARN für einen KMS-Schlüssel](alias-view.md).  
Das Format eines Alias-ARN lautet wie folgt:  

```
arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>
```
Es folgt der Alias-ARN für einen fiktiven `ExampleAlias`.  

```
arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias
```

**Alias-Name**  <a name="key-id-alias-name"></a>
Der Aliasname besteht aus einer Zeichenfolge mit bis zu 256 Zeichen. Er identifiziert einen zugeordneten KMS-Schlüssel innerhalb eines Kontos und einer Region eindeutig. In der AWS KMS API beginnen Aliasnamen immer mit`alias/`. Hilfestellung beim Suchen des Aliasnamens eines KMS-Schlüssels finden Sie unter [Suchen Sie den Aliasnamen und den Alias-ARN für einen KMS-Schlüssel](alias-view.md).  
Das Format eines Aliasnamens lautet wie folgt:  

```
alias/<alias-name>
```
Zum Beispiel:  

```
alias/ExampleAlias
```
Das `aws/`-Präfix für einen Aliasnamen ist für [Von AWS verwaltete Schlüssel](#aws-managed-key) reserviert. Sie können keinen Alias mit diesem Präfix erstellen. Der Aliasname von Von AWS verwalteter Schlüssel für Amazon Simple Storage Service (Amazon S3) lautet beispielsweise wie folgt.  

```
alias/aws/s3
```

# Asymmetrische Tasten in AWS KMS
<a name="symmetric-asymmetric"></a>

Ein *asymmetrischer KMS-Schlüssel* repräsentiert einen mathematisch verwandtes Schlüsselpaar mit einem öffentlichen und einem privaten Schlüssel. Sie können den öffentlichen Schlüssel jedem geben, auch wenn er nicht vertrauenswürdig sind, aber der private Schlüssel muss geheim gehalten werden. 

Bei einem asymmetrischen KMS-Schlüssel wird der private Schlüssel erstellt AWS KMS und verlässt AWS KMS ihn nie unverschlüsselt. Um den privaten Schlüssel zu verwenden, müssen Sie anrufen. AWS KMS Sie können den öffentlichen Schlüssel darin verwenden, AWS KMS indem Sie die AWS KMS API-Operationen aufrufen. Oder Sie können [den öffentlichen Schlüssel herunterladen](download-public-key.md) und ihn außerhalb von verwenden AWS KMS.

Wenn Ihr Anwendungsfall eine Verschlüsselung außerhalb AWS von Benutzern erfordert, die nicht anrufen können AWS KMS, sind asymmetrische KMS-Schlüssel eine gute Wahl. Wenn Sie jedoch einen KMS-Schlüssel erstellen, um die Daten zu verschlüsseln, die Sie in einem AWS Dienst speichern oder verwalten, verwenden Sie einen KMS-Schlüssel mit symmetrischer Verschlüsselung. [AWS Dienste, in die integriert sind, AWS KMS verwenden nur KMS-Schlüssel mit](https://aws.amazon.com/kms/features/#AWS_Service_Integration) symmetrischer Verschlüsselung, um Ihre Daten zu verschlüsseln. Diese Services unterstützen keine Verschlüsselung mit asymmetrischen KMS-Schlüsseln.

Wenn Sie Nachrichten, die größer als 4 KB sind AWS KMS, mit signieren, müssen Sie die Nachricht AWS KMS vor dem Signieren außerhalb von hashen. AWS KMS bietet drei `MessageType` Optionen für die Verarbeitung von Nachrichteneingaben: `RAW` für Klartext-Nachrichten (wo das Hashing AWS KMS durchgeführt wird), `DIGEST` für vorgehashte Nachrichten (bei denen der Hashing-Schritt AWS KMS übersprungen wird) und `EXTERNAL_MU` speziell für ML-DSA-KMS-Schlüsselspezifikationen, bei denen es sich bei der Eingabe um einen repräsentativen 64-Byte-μ-Wert handelt. [https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html)

AWS KMS unterstützt verschiedene Typen von asymmetrischen KMS-Schlüsseln. 

**RSA-KMS-Schlüssel**  
Ein KMS-Schlüssel mit einem RSA-Schlüsselpaar für Verschlüsselung und Entschlüsselung oder Signierung und Überprüfung (aber nicht beides). AWS KMS unterstützt mehrere Schlüssellängen für unterschiedliche Sicherheitsanforderungen.  
Technische Informationen zu den Verschlüsselungs- und Signierungsalgorithmen, die RSA-KMS-Schlüssel AWS KMS unterstützen, finden Sie unter [RSA-Schlüsselspezifikationen](symm-asymm-choose-key-spec.md#key-spec-rsa).

**KMS-Schlüssel mit elliptischer Kurve (ECC)**  
Ein KMS-Schlüssel mit einem key pair mit elliptischer Kurve zum Signieren und Überprüfen oder zum Ableiten gemeinsamer Geheimnisse (aber nicht beides). AWS KMS unterstützt mehrere häufig verwendete Kurven.  
Technische Informationen zu den Signaturalgorithmen, die ECC-KMS-Schlüssel AWS KMS unterstützen, finden Sie unter Schlüsselspezifikationen für [elliptische Kurven](symm-asymm-choose-key-spec.md#key-spec-ecc).

**ML-DSA-KMS-Schlüssel**  
Ein KMS-Schlüssel mit einem ML-DSA-Schlüsselpaar zum Signieren und Überprüfen. ML-DSA ist ein Postquanten-Kryptografie-Standard, der vom US-amerikanischen National Institute of Standards and Technology (NIST) zum Schutz vor Sicherheitsbedrohungen durch Quantencomputer entwickelt wurde. ML-DSA ist der empfohlene Algorithmus für digitale Signaturen für Unternehmen, die von digitalen Signaturalgorithmen RSA oder Elliptic Curve auf sichere Postquanten-Kryptografie umsteigen.  
AWS KMS unterstützt mehrere Schlüssellängen für unterschiedliche Sicherheitsanforderungen. Technische Informationen zu den Signaturalgorithmen, die ML-DSA-KMS-Schlüssel AWS KMS unterstützen, finden Sie unter [ML-DSA-Schlüsselspezifikation](symm-asymm-choose-key-spec.md#key-spec-mldsa).

**SM2 KMS-Schlüssel (nur Regionen China)**  
Ein KMS-Schlüssel mit einem SM2 key pair für Verschlüsselung und Entschlüsselung, Signierung und Überprüfung oder Ableitung gemeinsamer Geheimnisse (Sie müssen einen [Key usage](create-keys.md#key-usage) Typ auswählen).  
Technische Informationen zu den Verschlüsselungs- und Signaturalgorithmen, die SM2 KMS-Schlüssel AWS KMS unterstützen (nur Regionen China), finden Sie unter [SM2 Schlüsselspezifikation](symm-asymm-choose-key-spec.md#key-spec-sm).

Hilfe bei der Auswahl Ihrer asymmetrischen Schlüsselkonfiguration finden Sie unter [Wählen Sie aus, welche Art von KMS-Schlüssel erstellt werden soll](create-keys.md#symm-asymm-choose). 

**Regionen**

Asymmetrische KMS-Schlüssel und asymmetrische Datenschlüsselpaare werden in allen AWS-Regionen Unterstützungen unterstützt. AWS KMS 

**Weitere Informationen**
+ Informationen zum Erstellen asymmetrischer KMS-Schlüssel finden Sie unter [Erstellen eines asymmetrischen KMS-Schlüssels](asymm-create-key.md). 
+ Informationen zum Erstellen multiregionaler asymmetrischer KMS-Schlüssel finden Sie unter [Primärschlüssel für mehrere Regionen erstellen](create-primary-keys.md).
+ Informationen zum Signieren von Nachrichten und Überprüfen von Signaturen mit asymmetrischen KMS-Schlüsseln finden Sie unter [Digitale Signierung mit dem neuen asymmetrischen Schlüssel-Feature von AWS KMS](https://aws.amazon.com/blogs/security/digital-signing-asymmetric-keys-aws-kms/) im *AWS -Sicherheits-Blog*.
+ Informationen zu besonderen Überlegungen beim Löschen asymmetrischer KMS-Schlüssel finden Sie unter. [Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks)
+ Informationen zum Identifizieren und Anzeigen von asymmetrischen KMS-Schlüsseln finden Sie unter. [Identifizieren Sie asymmetrische KMS-Schlüssel](identify-key-types.md#identify-asymm-keys)

# HMAC-Schlüssel eingeben AWS KMS
<a name="hmac"></a>

Bei KMS-Schlüsseln (Hash-Based Message Authentication Code, HMAC) handelt es sich um symmetrische Schlüssel, die Sie zur Generierung und Überprüfung innerhalb von KMS-Schlüsseln verwenden. HMACs AWS KMS Das eindeutige Schlüsselmaterial, das mit jedem HMAC-KMS-Schlüssel verbunden ist, liefert den geheimen Schlüssel, den HMAC-Algorithmen benötigen. Sie können einen HMAC-KMS-Schlüssel mit `[GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)`- und [https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html)-Operationen verwenden, um die Integrität und Authentizität von Daten in AWS KMS zu überprüfen.

HMAC-Algorithmen kombinieren eine kryptografische Hash-Funktion und einen gemeinsamen geheimen Schlüssel. Sie nehmen eine Nachricht und einen geheimen Schlüssel wie das Schlüsselmaterial in einem HMAC-KMS-Schlüssel und geben einen eindeutigen Code mit fester Größe oder *Tag* zurück. Wenn sich nur ein Zeichen der Nachricht ändert oder wenn der geheime Schlüssel nicht identisch ist, ist das resultierende Tag völlig anders. Durch die Anforderung eines geheimen Schlüssels bietet HMAC auch Authentizität. Ohne den geheimen Schlüssel ist es unmöglich, ein identisches HMAC-Tag zu generieren. HMACs werden manchmal als *symmetrische Signaturen* bezeichnet, weil sie wie digitale Signaturen funktionieren, aber einen einzigen Schlüssel sowohl für das Signieren als auch für die Überprüfung verwenden.

[HMAC-KMS-Schlüssel und die AWS KMS verwendeten HMAC-Algorithmen entsprechen den in RFC 2104 definierten Industriestandards.](https://datatracker.ietf.org/doc/html/rfc2104) Der AWS KMS [GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)Vorgang generiert Standard-HMAC-Tags. HMAC-KMS-Schlüssel werden in AWS KMS Hardware-Sicherheitsmodulen generiert, die gemäß dem [FIPS 140-3 Cryptographic Module Validation Program](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) (außer in den Regionen China (Peking) und China (Ningxia)) zertifiziert sind und niemals unverschlüsselt bleiben. AWS KMS Um einen HMAC-KMS-Schlüssel zu verwenden, müssen Sie AWS KMS aufrufen.

Sie können HMACs verwenden, um die Echtheit einer Nachricht zu ermitteln, z. B. eines JSON-Web-Token (JWT), tokenisierter Kreditkarteninformationen oder eines übermittelten Passworts. Sie können auch als sichere Funktionen zur Schlüsselableitung (KDFs) verwendet werden, insbesondere in Anwendungen, die deterministische Schlüssel benötigen.

HMAC-KMS-Schlüssel bieten einen Vorteil gegenüber Anwendungssoftware, da das Schlüsselmaterial ausschließlich innerhalb HMACs von Software generiert und verwendet wird AWS KMS, vorbehaltlich der Zugriffskontrollen, die Sie für den Schlüssel festlegen.

**Tipp**  
Bewährte Methoden empfehlen, die Zeit zu beschränken, in der ein Signiermechanismus, einschließlich eines HMAC, wirksam ist. Dies schreckt einen Angriff ab, bei dem der Akteur eine signierte Nachricht verwendet, um die Gültigkeit wiederholt oder lange nach dem Ersetzen der Nachricht festzustellen. HMAC-Tags enthalten keinen Zeitstempel, aber Sie können einen Zeitstempel in das Token oder die Nachricht aufnehmen, um zu erkennen, wann es Zeit ist, den HMAC zu aktualisieren. 

**Unterstützte kryptografische Operationen**  
HMAC-KMS-Schlüssel unterstützen nur die kryptografischen Operationen [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html) und [https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html). Sie können keine HMAC-KMS-Schlüssel verwenden, um Daten zu verschlüsseln oder Nachrichten zu signieren, oder eine andere Art von KMS-Schlüssel in HMAC-Operationen zu verwenden. Wenn Sie die `GenerateMac`-Operation verwenden, können Sie eine Meldung von bis zu 4 096 Bytes, einen HMAC-KMS-Schlüssel und den MAC-Algorithmus, der mit der HMAC-Schlüsselspezifikation kompatibel ist, bereitstellen und `GenerateMac` berechnet das HMAC-Tag. Um ein HMAC-Tag zu überprüfen, müssen Sie das HMAC-Tag und dieselbe Nachricht, den HMAC-KMS-Schlüssel und den MAC-Algorithmus angeben, der von `GenerateMac` verwendet wurde, um das ursprüngliche HMAC-Tag zu berechnen. Die `VerifyMac`-Operation berechnet das HMAC-Tag und überprüft, ob es mit dem bereitgestellten HMAC-Tag identisch ist. Wenn die eingegebenen und berechneten HMAC-Tags nicht identisch sind, schlägt die Überprüfung fehl.   
HMAC-KMS-Schlüssel unterstützen *kein(e)* [automatische Schlüsseldrehung](rotate-keys.md) und Sie können keinen HMAC-KMS-Schlüssel in einem [benutzerdefinierten Schlüsselspeicher](key-store-overview.md#custom-key-store-overview) erstellen.  
Wenn Sie einen KMS-Schlüssel zum Verschlüsseln von Daten in einem AWS Dienst erstellen, verwenden Sie einen symmetrischen Verschlüsselungsschlüssel. Sie können keinen HMAC-KMS-Schlüssel verwenden.

**Regionen**  
HMAC-KMS-Schlüssel werden in allen AWS-Regionen unterstützten Versionen AWS KMS unterstützt.

**Weitere Informationen**
+ Informationen zum Erstellen von HMAC-KMS-Schlüsseln finden Sie unter. [Erstellen Sie einen HMAC-KMS-Schlüssel](hmac-create-key.md)
+ Informationen zum Erstellen von HMAC-KMS-Schlüsseln für mehrere Regionen finden Sie unter. [Schlüssel für mehrere Regionen eingeben AWS KMS](multi-region-keys-overview.md)
+ Informationen zum Unterschied in der Standardschlüsselrichtlinie, die die AWS KMS Konsole für HMAC-KMS-Schlüssel festlegt, finden Sie unter. [Erlaubt Schlüsselbenutzern die Verwendung eines KMS-Schlüssels für kryptografische Operationen](key-policy-default.md#key-policy-users-crypto)
+ Informationen zum Identifizieren und Anzeigen von HMAC-KMS-Schlüsseln finden Sie unter. [Identifizieren Sie HMAC-KMS-Schlüssel](identify-key-types.md#hmac-view)
+ Weitere Informationen HMACs zur Erstellung von JSON-Web-Tokens finden Sie AWS KMS im *AWS Sicherheits-Blog* unter [How to protect HMACs inside](https://aws.amazon.com/blogs/security/how-to-protect-hmacs-inside-aws-kms/).
+ Hören Sie sich einen Podcast: [Introducing HMACs for AWS Key Management Service](https://aws.amazon.com/podcasts/introducing-hmacs-apis-in-aws-key-management-service) auf *The Official AWS Podcast* an.

# ML-DSA gibt ein AWS KMS
<a name="mldsa"></a>

AWS Key Management Service (AWS KMS) unterstützt den Module-Lattice Digital Signature Algorithm (ML-DSA) für kryptografische Signaturen nach dem Quantenverfahren. Diese Implementierung folgt dem [Standard Federal Information Processing Standards (FIPS) 204](https://csrc.nist.gov/pubs/fips/204/final), der zum Schutz vor future Bedrohungen durch Quantencomputer beiträgt. AWS KMS erstellt und schützt alle ML-DSA-Schlüssel und -Signaturoperationen in nach FIPS 140-3 Security Level 3 validierten Hardware-Sicherheitsmodulen. Um ein ausgewogenes Verhältnis zwischen Sicherheit und Leistung zu erreichen, AWS KMS bietet ML-DSA in drei verschiedene Sicherheitsstufen mit unterschiedlichen Schlüsselspezifikationen: ML\$1DSA\$144, ML\$1DSA\$165 und ML\$1DSA\$187.

AWS KMS unterstützt unter Verwendung des Nachrichtentyps `RAW` asymmetrische Schlüsselsignaturen für Nachrichten mit einer Größe von bis zu 4 KB. Für größere Nachrichten müssen Sie die 64-Byte-Nachrichtendarstellung μ, die bei der ML-DSA-Signierung verwendet wird, extern berechnen, wie in NIST FIPS 204 Abschnitt 6.2 definiert. Verwenden Sie den `EXTERNAL_MU` Nachrichtentyp in der Operation AWS KMS [Signieren, um diese vorverarbeitete](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) 64-Byte-Nachricht anzugeben. Die durch das extern berechnete μ erzeugten Signaturen sind dieselben wie bei Verwendung derselben `RAW` Nachricht und desselben privaten Schlüssels. Beachten Sie, dass sich diese Signatur von der „Pre-Hash“ -ML-DSA oder HashML-DSA aus Abschnitt 5.4 von NIST FIPS 204 unterscheidet.

Weitere Hinweise zur Verwendung von ML-DSA und dem Nachrichtentyp EXTERNAL\$1MU finden Sie unter. [ML-DSA — wichtige Spezifikationen](symm-asymm-choose-key-spec.md#key-spec-mldsa)

Ein Beispiel für die Verwendung von ML-DSA und dem Nachrichtentyp EXTERNAL\$1MU finden Sie unter. [Offline-Überprüfung mit ML-DSA-Schlüsselpaaren](offline-operations.md#mldsa-offline-verification)

# Schlüssel für mehrere Regionen eingeben AWS KMS
<a name="multi-region-keys-overview"></a>

AWS KMS unterstützt *Schlüssel für mehrere Regionen*, AWS-Regionen die unterschiedlich sind und synonym verwendet werden können — als ob Sie denselben Schlüssel AWS KMS keys in mehreren Regionen hätten. Jeder Satz *verwandter* Schlüssel für mehrere Regionen hat dasselbe Schlüsselmaterial und dieselbe [Schlüssel-ID](concepts.md#key-id-key-id), sodass Sie Daten in einem Schlüssel verschlüsseln AWS-Region und in einem anderen entschlüsseln können, AWS-Region ohne sie erneut zu verschlüsseln oder regionsübergreifend aufzurufen. AWS KMS

Wie alle KMS-Schlüssel bleiben Schlüssel für mehrere Regionen niemals unverschlüsselt. AWS KMS Sie können symmetrische oder asymmetrische multiregionale Schlüssel zur Verschlüsselung oder Signatur erstellen, multiregionale HMAC-Schlüssel zur Erstellung und Überprüfung von HMAC-Tags und [multiregionale Schlüssel mit importiertem Schlüsselmaterial](importing-keys.md) erstellen, oder mit von AWS KMS generiertem Schlüsselmaterial. Sie müssen jeden multiregionalen Schlüssel verwalten, unabhängig voneinander, einschließlich der Erstellung von Aliasen und Tags und der Festlegung ihrer wichtigsten Richtlinien und Berechtigungen sowie der selektiven Aktivierung und Deaktivierung. Sie können multiregionale Schlüssel in allen kryptografischen Operationen verwenden, die Sie mit einzelregionalen Schlüsseln ausführen können.

Multiregionale Schlüssel sind eine flexible und leistungsstarke Lösung für viele gängige Datensicherheitsszenarien.

**Notfallwiederherstellung **  
In einer Sicherungs- und Wiederherstellungsarchitektur können Sie mit Schlüsseln für mehrere Regionen verschlüsselte Daten auch bei einem Ausfall unterbrechungsfrei verarbeiten. AWS-Region Daten, die in Backup-Regionen verwaltet werden, können im Backup-Bereich entschlüsselt werden, und Daten, die im Backup-Bereich neu verschlüsselt wurden, können in der primären Region entschlüsselt werden, wenn diese Region wiederhergestellt wird.

**Globales Datenmanagement**  
Unternehmen, die global tätig sind, benötigen global verteilte Daten, die konsistent über AWS-Regionen verfügbar sind. Sie können multiregionale Schlüssel in allen Regionen erstellen, in denen sich Ihre Daten befinden. Anschließend können Sie die Schlüssel so verwenden, als wären sie einzelregionale Schlüssel, ohne die Latenz eines regionsübergreifenden Anrufs oder die Kosten für die erneute Verschlüsselung von Daten unter einem anderen Schlüssel in jeder Region.

**Verteilte Signaturanwendungen**  
Anwendungen, die regionsübergreifende Signaturfunktionen erfordern, können asymmetrische Signaturschlüssel für mehrere Regionen verwenden, um identische digitale Signaturen konsistent und wiederholt in verschiedenen AWS-Regionen zu generieren.   
Wenn Sie die Zertifikatsverkettung mit einem einzigen globalen Vertrauensspeicher (für eine einzelne Stammzertifizierungsstelle (CA)) und einem von der Stammzertifizierungsstelle CAs signierten Regional Intermediate verwenden, benötigen Sie keine Schlüssel für mehrere Regionen. Wenn Ihr System jedoch keine Zwischenzertifizierungen wie Anwendungssignaturen unterstützt CAs, können Sie Schlüssel für mehrere Regionen verwenden, um regionale Zertifizierungen einheitlich zu gestalten.

**Aktiv/aktiv-Anwendungen, die sich über mehrere Regionen erstrecken**  
Einige Arbeitslasten und Anwendungen können sich über mehrere Regionen in aktiv/aktiv-Architekturen erstrecken. Für diese Anwendungen können multiregionale Schlüssel die Komplexität reduzieren, indem sie dasselbe Schlüsselmaterial für gleichzeitige Verschlüsselungs- und Entschlüsselungsoperationen für Daten bereitstellen, die möglicherweise über Regionsgrenzen hinweg verschoben werden.

Sie können Schlüssel für mehrere Regionen mit clientseitigen Verschlüsselungsbibliotheken wie dem [AWS Encryption SDKAWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)[Database Encryption SDK und der clientseitigen [Amazon S3 S3-Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html)](https://docs.aws.amazon.com/dynamodb-encryption-client/latest/devguide/) verwenden. 

Die meisten [AWS Dienste, die Verschlüsselung im Ruhezustand oder digitale Signaturen integrieren, behandeln Schlüssel mit AWS KMS](https://aws.amazon.com/kms/features/) mehreren Regionen derzeit so, als wären sie Schlüssel mit nur einer Region. Sie können Daten, die zwischen Regionen verschoben wurden, erneut verpacken oder neu verschlüsseln. Beispielsweise entschlüsselt die regionsübergreifende Amazon S3-Replikation Daten unter einem KMS-Schlüssel in der Zielregion und verschlüsselt sie erneut, selbst wenn Objekte repliziert werden, die durch einen Schlüssel für mehrere Regionen geschützt sind. In der dienstspezifischen Dokumentation erfahren Sie, wie ein Service verschlüsselte Daten repliziert und ob er Schlüssel mit mehreren Regionen unterschiedlich behandelt.

Multiregionale Schlüssel sind nicht global. Sie erstellen einen multiregionalen Primärschlüssel und replizieren ihn dann in Regionen, die Sie in einer [AWS -Partition](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) auswählen. Anschließend verwalten Sie den multiregionalen Schlüssel in jeder Region unabhängig. AWS Weder erstellt noch AWS KMS jemals automatisch Schlüssel für mehrere Regionen in Ihrem Namen oder repliziert sie in eine Region. [Von AWS verwaltete Schlüssel](concepts.md#aws-managed-key), bei den KMS-Schlüsseln, die AWS Dienste in Ihrem Konto für Sie erstellen, handelt es sich immer um Schlüssel für einzelne Regionen.

In chinesischen Regionen können Sie die Schlüsselfunktion für mehrere Regionen verwenden, um KMS-Schlüssel innerhalb der Partition China Regions () `aws-cn` zu replizieren. Sie können beispielsweise einen Schlüssel von der Region China (Peking) in die Region China (Ningxia) replizieren oder umgekehrt. Durch die Replikation eines Schlüssels von einer China Region in eine andere erklären Sie sich damit einverstanden, den Schlüssel AWS Key Management Service der Zielregion zu verwenden und alle für die Zielregion geltenden Vertragsbedingungen einzuhalten. Sie können einen Schlüssel aus den Regionen Peking und Ningxia nicht in eine AWS Region außerhalb der Partition China Regions replizieren. Ebenso können Sie einen Schlüssel aus einer Region außerhalb der Partition China Regions nicht in die Regionen Peking und Ningxia replizieren.

Sie können einen vorhandenen einzelregionalen Schlüssel nicht in einen multiregionalen Schlüssel konvertieren. Dieses Merkmal stellt sicher, dass alle Daten, die mit vorhandenen einzelregionalen Schlüsseln geschützt sind, dieselben Datenresidenz- und Datensouveränitäts-Eigenschaften beibehalten.

Für die meisten Datensicherheitsanforderungen sind Standardschlüssel für AWS KMS einzelne Regionen aufgrund der regionalen Isolierung und Fehlertoleranz regionaler Ressourcen die am besten geeignete Lösung. Wenn Sie jedoch Daten in clientseitigen Anwendungen über mehrere Regionen hinweg verschlüsseln oder signieren müssen, sind multiregionale Schlüssel möglicherweise die Lösung.



**Regionen**

Schlüssel für mehrere Regionen werden in allem AWS-Regionen unterstützt, was unterstützt wird. AWS KMS 

**Preise und Kontingente**

Jeder Schlüssel in einem Satz verwandter multiregionaler Schlüssel zählt als ein KMS-Schlüssel für Preise und Kontingente. [AWS KMS -Kontingente](limits.md) werden separat für jede Region eines Kontos berechnet. Die Verwendung und Verwaltung der multiregionalen Schlüssel in jeder Region zählen zu den Kontingenten für diese Region.

**Unterstützte KMS-Schlüsseltypen**

Sie können die folgenden Typen von für mehrere Regionen geltenden KMS-Schlüsseln erstellen:
+ KMS-Schlüssel zur symmetrischen Verschlüsselung
+ Asymmetrische KMS-Schlüssel
+ HMAC-KMS-Schlüssel
+ KMS-Schlüssel mit importiertem Schlüsselmaterial

Sie können keine multiregionale Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwenden.

**Weitere Informationen**
+ Informationen zur Steuerung des Zugriffs auf KMS-Schlüssel mit mehreren Regionen finden Sie unter. [Steuern Sie den Zugriff auf Schlüssel für mehrere Regionen](multi-region-keys-auth.md)
+ Informationen zum Erstellen von primären KMS-Schlüsseln für mehrere Regionen eines beliebigen Typs finden Sie unter. [Primärschlüssel für mehrere Regionen erstellen](create-primary-keys.md)
+ Informationen zum Erstellen von Replikat-KMS-Schlüsseln für mehrere Regionen finden Sie unter. [Replikatschlüssel für mehrere Regionen erstellen](multi-region-keys-replicate.md)
+ Informationen zum Aktualisieren der primären Region finden Sie unter. [Ändern Sie den Primärschlüssel in einer Reihe von Schlüsseln für mehrere Regionen](multi-region-update.md)
+ Informationen zum Identifizieren und Anzeigen von KMS-Schlüsseln für mehrere Regionen finden Sie unter[Identifizieren Sie HMAC-KMS-Schlüssel](identify-key-types.md#hmac-view).
+ Informationen zu besonderen Überlegungen beim Löschen von KMS-Schlüsseln für mehrere Regionen finden Sie unter. [Deleting multi-Region keys](deleting-keys.md#deleting-mrks)

## Terminologie und Konzepte
<a name="multi-region-concepts"></a>

Die folgenden Begriffe und Konzepte werden mit multiregionalen Schlüsseln verwendet.

### Multiregionaler Schlüssel
<a name="multi-Region-concept"></a>

Ein *multiregionaler Schlüssel* ist einer von einer Reihe von KMS-Schlüsseln mit derselben Schlüssel-ID und demselben Schlüsselmaterial (und anderen [gemeinsam genutzten Eigenschaften](#mrk-replica-key)) in verschiedenen AWS-Regionen. Jeder multiregionale Schlüssel ist ein voll funktionsfähiger KMS-Schlüssel, der vollständig unabhängig von seinen verwandten multiregionalen Schlüsseln verwendet werden kann. Da alle *zugehörigen* Schlüssel für mehrere Regionen dieselbe Schlüssel-ID und dasselbe Schlüsselmaterial haben, sind sie *interoperabel*, d. h. jeder zugehörige Schlüssel für mehrere Regionen AWS-Region kann Chiffretext entschlüsseln, der mit einem anderen zugehörigen Schlüssel für mehrere Regionen verschlüsselt wurde.

Sie legen die multiregionale Eigenschaft eines KMS-Schlüssels fest, wenn Sie ihn erstellen. Sie können die multiregionale Eigenschaft für einen vorhandenen Schlüssel nicht ändern. Einzelregionale Schlüssel können nicht in multiregionale Schlüssel konvertiert werden oder umgekehrt. Um vorhandene Workloads in multiregionale Szenarien zu verschieben, müssen Sie die Daten erneut verschlüsseln oder neue Signaturen mit neuen multiregionalen Schlüsseln erstellen.

[Ein Schlüssel mit mehreren Regionen kann [symmetrisch oder asymmetrisch sein und er kann Schlüsselmaterial oder importiertes](symmetric-asymmetric.md) Schlüsselmaterial verwenden. AWS KMS](importing-keys.md) Sie können keine multiregionale Schlüssel in einem [benutzerdefinierten Schlüsselspeicher](key-store-overview.md#custom-key-store-overview) verwenden.

In einer Reihe von verwandten multiregionalen Schlüsseln gibt es zu jeder Zeit genau einen [Primärschlüssel](#mrk-primary-key). Sie können [Replikatschlüsseln](#mrk-replica-key) dieses Primärschlüssels in anderen AWS-Regionen erstellen. Sie können auch [die primäre Region aktualisieren](multi-region-update.md#update-primary-console), wodurch der Primärschlüssel in einen Replikatschlüssel und ein angegebener Replikatschlüssel in den Primärschlüssel geändert wird. Sie können jedoch jeweils nur einen Primärschlüssel oder Replikatschlüssel verwalten. AWS-Region Alle Regionen müssen sich in derselben [AWS -Partition](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) befinden.

Sie können mehrere Sätze von verwandten multiregionalen Schlüsseln in der gleichen oder in unterschiedlichen AWS-Regionen haben. Obwohl verwandte multiregionale Schlüssel interoperabel sind, sind unverwandte multiregionale Schlüssel nicht interoperabel.

### Primärschlüssel
<a name="mrk-primary-key"></a>

Ein *Primärschlüssel* mit mehreren Regionen ist ein KMS-Schlüssel, der auf andere AWS-Regionen in derselben Partition repliziert werden kann. Jeder Satz von multiregionalen Schlüsseln hat nur einen Primärschlüssel.

Ein Primärschlüssel unterscheidet sich von einem Replikatschlüssel wie folgt:
+ Nur ein Primärschlüssel kann [repliziert](multi-region-keys-replicate.md) werden.
+ Der Primärschlüssel ist die Quelle für die [gemeinsam genutzten Eigenschaften](#mrk-replica-key) seiner [Replikatschlüssel](#mrk-replica-key), einschließlich Schlüsselmaterial und Schlüssel-ID. 
+ Sie können die automatische [Schlüsseldrehung](rotate-keys.md) nur für einen Primärschlüssel aktivieren oder deaktivieren.
+ Sie können jederzeit [das Löschen eines Primärschlüssels planen](deleting-keys.md#deleting-mrks). Ein Primärschlüssel AWS KMS wird jedoch erst gelöscht, wenn alle seine Replikatschlüssel gelöscht sind.

Primär- und Replikatschlüssel unterscheiden sich jedoch nicht in kryptografischen Eigenschaften. Sie können einen Primärschlüssel und seine Replikatschlüssel austauschbar verwenden. 

Sie müssen keinen Primärschlüssel replizieren. Sie können ihn genauso verwenden wie jeden KMS-Schlüssel und dabb replizieren, wenn es nützlich ist. Da multiregionale Schlüssel jedoch andere Sicherheitseigenschaften haben als einzelregionale Schlüssel, empfiehlt es sich, einen multiregionalen Schlüssel nur dann zu erstellen, wenn Sie ihn replizieren möchten.

### Replikat-Schlüssel
<a name="mrk-replica-key"></a>

Ein *Replikatschlüssel* mit mehreren Regionen ist ein KMS-Schlüssel, der dieselbe [Schlüssel-ID und dasselbe Schlüsselmaterial](concepts.md#key-id-key-id) wie sein [Primärschlüssel und die zugehörigen Replikatschlüssel](#mrk-primary-key) hat, der jedoch in einem anderen vorhanden ist. AWS-Region

Ein Replikatschlüssel ist ein voll funktionsfähiger KMS-Schlüssel mit eigener Schlüsselrichtlinie und den eigenen Erteilungen, Aliasen, Tags und anderen Eigenschaften. Es handelt sich nicht um eine Kopie oder einen Zeiger auf den Primärschlüssel oder einen sonstigen Schlüssel. Sie können einen Replikatschlüssel auch dann verwenden, wenn sein Primärschlüssel und alle verwandte Replikatschlüssel deaktiviert sind. Sie können auch einen Replikatschlüssel in einen Primärschlüssel und einen Primärschlüssel in einen Replikatschlüssel konvertieren. Sobald er erstellt wurde, stützt sich ein Replikatschlüssel auf seinen Primärschlüssel nur zur [Schlüsseldrehung](rotate-keys.md#multi-region-rotate) und zum [Aktualisieren der primären Region](multi-region-update.md). 

Primär- und Replikatschlüssel unterscheiden sich nicht in kryptografischen Eigenschaften. Sie können einen Primärschlüssel und seine Replikatschlüssel austauschbar verwenden. Daten, die durch einen Primär- oder Replikatschlüssel verschlüsselt werden, können durch denselben Schlüssel oder durch einen beliebigen verwandten Primär- oder Replikatschlüssel entschlüsselt werden.

### Replicate
<a name="replicate"></a>

Sie können einen [Primärschlüssel](#mrk-primary-key) mit mehreren Regionen in derselben Partition in einen anderen * AWS-Region replizieren*. Wenn Sie dies tun, AWS KMS wird in der angegebenen Region ein [Replikatschlüssel](#mrk-replica-key) mit mehreren Regionen erstellt, der dieselbe [Schlüssel-ID](concepts.md#key-id-key-id) und andere [gemeinsame Eigenschaften](#mrk-sync-properties) wie der Primärschlüssel hat. Transportiert bei KMS-Schlüsseln mit `AWS_KMS` Ursprung das Schlüsselmaterial AWS KMS sicher über die Regionsgrenze hinweg und ordnet es dem neuen Replikatschlüssel zu, alles innerhalb. AWS KMS Bei KMS-Schlüsseln mit `EXTERNAL` Ursprung müssen Sie dasselbe Schlüsselmaterial, das Sie in den primären Regionsschlüssel importiert haben, einzeln in jeden Replikat-Regionsschlüssel importieren.

### Freigegebene Eigenschaften
<a name="mrk-sync-properties"></a>

*Gemeinsam genutzte Eigenschaften* sind Eigenschaften eines Primärschlüssels mit mehreren Regionen, die mit seinen Replikatschlüsseln gemeinsam genutzt werden. AWS KMS erstellt die Replikatschlüssel mit denselben gemeinsamen Eigenschaftswerten wie die des Primärschlüssels. Anschließend synchronisiert es regelmäßig die gemeinsamen Eigenschaftswerte des Primärschlüssels mit seinen Replikatschlüsseln. Sie können diese Eigenschaften nicht für einen Replikatschlüssel festlegen. 

Im Folgenden sind die gemeinsamen Eigenschaften von multiregionalen Schlüsseln aufgeführt. 
+ [Schlüssel-ID](concepts.md#key-id-key-id) – (Das `Region`-Element des [Schüssel-ARN](concepts.md#key-id-key-ARN) unterscheidet sich.)
+ [Schlüsselmaterial](create-keys.md#key-origin) — Die Primär- und Replikatschlüssel in einer Reihe verwandter Schlüssel für mehrere Regionen verwenden dasselbe Schlüsselmaterial. Bei Schlüsseln mit mehreren Regionen, deren Schlüsselmaterial von AWS KMS (`AWS_KMS`Herkunft) generiert wird, werden alle Schlüsselmaterialien AWS KMS sicher von der Primärdatei zu jedem Replikat transportiert, wenn das Replikat erstellt wird oder wenn neues Schlüsselmaterial durch automatische oder bedarfsgesteuerte Rotation erstellt wird. AWS KMS Synchronisiert bei Schlüsseln mit mehreren Regionen mit importiertem Schlüsselmaterial (`EXTERNAL`Ursprung) die Schlüsselmaterial-ID aus dem Primärschlüssel, aber Sie müssen das Schlüsselmaterial unabhängig in jeden Replikatschlüssel importieren. 
+ [Ursprung des Schlüsselmaterials](create-keys.md#key-origin)
+ [Schlüsselspezifikation](create-keys.md#key-spec) und Verschlüsselungsalgorithmen
+ [Schlüsselnutzung](create-keys.md#key-usage)
+ [Automatische Schlüsseldrehung](rotating-keys-enable.md) – Sie können die automatische Schlüsseldrehung nur für den Primärschlüssel aktivieren oder deaktivieren. Neue Replikatschlüssel werden mit allen Versionen des freigegebenen Schlüsselmaterials erstellt. Details hierzu finden Sie unter [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).
+ [Rotation auf Anforderung](rotating-keys-on-demand.md) — Sie können die Rotation bei Bedarf nur für den Primärschlüssel durchführen. Bei Schlüsseln mit mehreren Regionen, deren Schlüsselmaterial von AWS KMS (`AWS_KMS`origin) generiert wird, werden Replikatschlüssel mit allen Versionen des gemeinsam genutzten Schlüsselmaterials AWS KMS erstellt. Bei Schlüsseln mit mehreren Regionen mit importiertem Schlüsselmaterial (`EXTERNAL`Ursprung) werden die Schlüsselmaterial-ID und die Beschreibung des Schlüsselmaterials vom Primärschlüssel auf die Replikatschlüssel übertragen, nicht jedoch auf das Schlüsselmaterial. AWS KMS Sie müssen das richtige Schlüsselmaterial einzeln in jeden Replikatschlüssel importieren. Details hierzu finden Sie unter [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).

Sie können sich auch die Primär- und Replikatbezeichnungen verwandter Mehrbereichsschlüssel als gemeinsame Eigenschaften vorstellen. Wenn Sie [neue Replikatschlüssel erstellen oder den Primärschlüssel](#mrk-replica-key) [aktualisieren, AWS KMS synchronisiert die](multi-region-update.md#update-primary-console) Änderung mit allen zugehörigen Multiregions-Schlüsseln. Wenn diese Änderungen abgeschlossen sind, werden alle verwandte multiregionale Schlüssel ihren Primärschlüssel und die Replikatschlüssel korrekt auflisten.

[[Bei allen anderen Eigenschaften von Schlüsseln mit mehreren Regionen handelt es sich um *unabhängige Eigenschaften*, einschließlich der Schlüsselbeschreibung, der [Schlüsselrichtlinie](key-policies.md), der Berechtigungen, der [aktivierten und deaktivierten Schlüsselstatus](enabling-keys.md), der [Aliase](kms-alias.md) und der Tags.](tagging-keys.md)](grants.md) Sie können dieselben Werte für diese Eigenschaften für alle verwandte mutliregionale Schlüssel festlegen. Wenn Sie jedoch den Wert einer unabhängigen Eigenschaft ändern, wird dies von AWS KMS nicht synchronisiert.

Sie können die Synchronisierung der freigegebenen Eigenschaften Ihrer multiregionalen Schlüssel verfolgen. Suchen Sie in Ihrem AWS CloudTrail Protokoll nach dem [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)Ereignis.

# Sicherheitsaspekte für multiregionale Schlüssel
<a name="mrk-when-to-use"></a>

Verwenden Sie einen Schlüssel für AWS KMS mehrere Regionen nur, wenn Sie einen benötigen. Multiregionale Schlüssel bieten eine flexible und skalierbare Lösung für Workloads, die verschlüsselte Daten zwischen AWS-Regionen verschieben oder regionsübergreifenden Zugang benötigen. Verwenden Sie einen multiregionalen Schlüssel, wenn Sie geschützte Daten über Regionen hinweg freigeben, verschieben oder sichern müssen oder identische digitale Signaturen von Anwendungen erstellen müssen, die in verschiedenen Regionen ausgeführt werden.

Beim Erstellen eines multiregionalen Schlüssels wird das Schlüsselmaterial jedoch innerhalb AWS KMSüber die Grenzen der AWS-Region verschoben. Der Chiffretext, der von einem multiregionalen Schlüssel generiert wird, kann möglicherweise von mehreren verwandten Schlüsseln an mehreren geografischen Standorten entschlüsselt werden. Regional isolierte Services und Ressourcen bieten auch erhebliche Vorteile. Jede AWS-Region ist isoliert und unabhängig von den anderen Regionen. Regionen bieten Fehlertoleranz, Stabilität und Ausfallsicherheit und können auch die Latenz verkürzen. Sie ermöglichen das Erstellen redundanter Ressourcen, die verfügbar bleiben und von einem Ausfall in einer anderen Region nicht betroffen sind. Außerdem stellen sie sicher AWS KMS, dass jeder Chiffretext mit nur einem Schlüssel entschlüsselt werden kann.

Multiregionale Schlüssel werfen auch neue Sicherheitsbedenken auf.
+ Die Steuerung des Zugriffs und die Durchsetzung von Datensicherheitsrichtlinien ist mit multiregionalen Schlüsseln komplexer. Sie müssen sicherstellen, dass die Richtlinie bei Schlüsseln in mehreren isolierten Regionen konsistent überwacht wird. Und Sie müssen Richtlinien verwenden, um Grenzen zu erzwingen, anstatt sich auf separate Schlüssel zu verlassen.

  Sie müssen beispielsweise Richtlinienbedingungen für Daten festlegen, um zu verhindern, dass Lohn- und Gehaltsabrechnungsteams in einer Region Lohn- und Gehaltsabrechnungsdaten für eine andere Region lesen können. Außerdem müssen Sie die Zugriffssteuerung verwenden, um ein Szenario zu verhindern, in dem ein multiregionaler Schlüssel in einer Region die Daten eines Mandanten schützt und ein verwandter multiregionaler Schlüssel in einer anderen Region die Daten eines anderen Mandanten schützt.
+ Die Prüfung von Schlüsseln über Regionen hinweg ist ebenfalls komplexer. Mit multiregionalen Schlüsseln müssen Sie Prüfungsaktivitäten über mehrere Regionen hinweg überprüfen und abstimmen, um ein vollständiges Verständnis der wichtigsten Aktivitäten für geschützte Daten zu erhalten.
+ Die Einhaltung von Datenresidenz-Mandaten kann komplexer sein. Mit isolierten Regionen können Sie die Einhaltung von Datenresidenz und Datenhoheit sicherstellen. KMS-Schlüssel in einer bestimmten Region können sensible Daten nur in dieser Region entschlüsseln. Daten, die in einer Region verschlüsselt sind, können in jeder anderen Region vollständig geschützt und unzugänglich bleiben.

  Um die Datenresidenz und Datensouveränität mit Schlüsseln für mehrere Regionen zu überprüfen, müssen Sie Zugriffsrichtlinien implementieren und Ereignisse für mehrere Regionen zusammenstellen AWS CloudTrail .

[Um Ihnen die Verwaltung der Zugriffskontrolle für Schlüssel mit mehreren Regionen zu erleichtern, ist die Berechtigung zum Replizieren eines Schlüssels für mehrere Regionen ([kms: ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)) von der Standardberechtigung zum Erstellen von Schlüsseln (kms:) getrennt. CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) AWS KMS Unterstützt außerdem mehrere Richtlinienbedingungen für Schlüssel mit mehreren Regionen, z. B. die Erlaubnis`kms:MultiRegion`, Schlüssel für mehrere Regionen zu erstellen, zu verwenden oder zu verwalten, oder die die Regionen einschränkt`kms:ReplicaRegion`, in die ein Schlüssel für mehrere Regionen repliziert werden kann. Details hierzu finden Sie unter [Steuern Sie den Zugriff auf Schlüssel für mehrere Regionen](multi-region-keys-auth.md).

# Funktionsweise von multiregionalen Schlüsseln
<a name="mrk-how-it-works"></a>

Sie beginnen mit der Erstellung eines symmetrischen oder asymmetrischen [Primärschlüssels für mehrere Regionen](multi-region-keys-overview.md#mrk-primary-key) in einem System, AWS-Region das dies AWS KMS unterstützt, z. B. US East (Nord-Virginia). Sie entscheiden nur, wenn Sie ihn erstellen, ob es sich bei einem Schlüssel um einen einzelregionalen Schlüssel oder um einen multiregionalen Schlüssel handelt. Sie können diese Eigenschaft später nicht ändern. Wie bei jedem KMS-Schlüssel, legen Sie eine Schlüsselrichtlinie für den multiregionalen Schlüssel fest, und Sie können Berechtigungen erstellen und Aliase und Tags für die Kategorisierung und Autorisierung hinzufügen. (Diese sind [unabhängige Eigenschaften](multi-region-keys-overview.md#mrk-sync-properties), die nicht gemeinsam genutzt oder mit anderen Schlüsseln synchronisiert werden.) Sie können Ihren multiregionalen Primärschlüssel in kryptografischen Operationen zur Verschlüsselung oder Signatur verwenden.

Sie können [einen Primärschlüssel für mehrere Regionen in der AWS KMS Konsole oder mithilfe der [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API erstellen](create-primary-keys.md), wobei der Parameter auf gesetzt ist`MultiRegion`. `true` Beachten Sie, dass multiregionale Schlüssel eine unverwechselbare Schlüssel-ID haben, die mit `mrk-` beginnt. Sie können das `mrk-` Präfix zur MRKs programmgesteuerten Identifizierung verwenden.

![\[Multi-Region primary key icon with red key symbol and sample key ID format.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/multi-region-primary-key.png)


Wenn Sie möchten, können Sie den Primärschlüssel für mehrere Regionen in einen oder mehrere verschiedene Primärschlüssel AWS-Regionen in derselben [AWS Partition [replizieren](multi-region-keys-overview.md#replicate)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html), z. B. Europa (Irland). Wenn Sie dies tun, AWS KMS wird in der angegebenen Region ein [Replikatschlüssel](multi-region-keys-overview.md#mrk-replica-key) mit derselben Schlüssel-ID und anderen [gemeinsamen Eigenschaften](multi-region-keys-overview.md#mrk-sync-properties) wie der Primärschlüssel erstellt. Das Ergebnis sind zwei *verwandte* multiregionale Schlüssel – ein Primärschlüssel und ein Replikatschlüssel – die austauschbar verwendet werden können.

Sie können [einen Replikatschlüssel für mehrere Regionen in der AWS KMS Konsole oder mithilfe der API erstellen](multi-region-keys-replicate.md). [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) 

![\[Diagram showing multi-Region primary and replica keys in US East and EU regions with key IDs.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/multi-region-replica-key.png)


Der resultierende [multiregionale Replikatschlüssel](multi-region-keys-overview.md#mrk-replica-key) ist ein voll funktionsfähiger KMS-Schlüssel mit denselben [gemeinsam genutzten Eigenschaften](multi-region-keys-overview.md#mrk-sync-properties) wie der Primärschlüssel. In jeder anderen Hinsicht ist es ein unabhängiger KMS-Schlüssel mit eigener Beschreibung und Schlüsselrichtlinie und den eigenen Erteilungen, Aliasen und Tags. Das Aktivieren oder Deaktivieren eines multiregionalen Schlüssels hat keine Auswirkungen auf verwandte multiregionale Schlüssel. Sie können Primär- und Replikatschlüssel unabhängig von einander in kryptografischen Operationen verwenden oder deren Verwendung koordinieren. Beispielsweise können Sie Daten mit dem Primärschlüssel in der Region USA Ost (Nord-Virginia) verschlüsseln, die Daten in die Region Europa (Irland) verschieben und die Daten mit dem Replikatschlüssel entschlüsseln. 

Verwandte multiregionale Schlüssel haben dieselbe Schlüssel-ID. Ihr Schlüssel ARNs (Amazon-Ressourcennamen) unterscheidet sich nur im Feld Region. Beispielsweise könnten der Primärschlüssel und die Replikatschlüssel für mehrere Regionen den folgenden Beispielschlüssel haben. ARNs Die Schlüssel-ID – das letzte Element im Schlüssel ARN – ist identisch. Beide Schlüssel haben die unverwechselbare Schlüssel-ID von multiregionalen Schlüsseln, die mit **mrk-** beginnt.

```
Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
```

Für die Interoperabilität ist dieselbe Schlüssel-ID erforderlich. AWS KMS Bindet beim Verschlüsseln die Schlüssel-ID des KMS-Schlüssels an den Chiffretext, sodass der Chiffretext nur mit diesem KMS-Schlüssel oder einem KMS-Schlüssel mit derselben Schlüssel-ID entschlüsselt werden kann. Diese Funktion macht auch verwandte multiregionale Schlüssel leicht zu erkennen und erleichtert die austauschbare Verwendung. Wenn Sie sie beispielsweise in einer Anwendung verwenden, können Sie auf verwandte multiregionale Schlüssel anhand ihrer geteilten Schlüssel-ID verweisen. Geben Sie dann, falls erforderlich, die Region oder den ARN an, um sie zu unterscheiden. 

Wenn sich Ihre Datenanforderungen ändern, können Sie den Primärschlüssel auf andere AWS-Regionen in derselben Partition replizieren, z. B. USA West (Oregon) und Asien-Pazifik (Sydney). Das Ergebnis sind vier *verknüpfte* Schlüssel für mehrere Regionen mit demselben Schlüsselmaterial und demselben Schlüssel IDs, wie in der folgenden Abbildung dargestellt. Sie verwalten die Schlüssel unabhängig voneinander. Bei Schlüsseln mit mehreren Regionen mit importiertem Schlüsselmaterial sind Sie dafür verantwortlich, das Schlüsselmaterial in jeden zugehörigen Schlüssel einzeln zu importieren. Sie können sie unabhängig voneinander oder koordiniert verwenden. Beispielsweise können Sie Daten mit dem Replikatschlüssel in Asien-Pazifik (Sydney) verschlüsseln, die Daten nach USA West (Oregon) verschieben und mit dem Replikatschlüssel in USA West (Oregon) entschlüsseln. 

![\[Die Primär- und Replikatschlüssel in einem Schlüssel mit mehreren Regionen\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/multi-region-keys.png)


Weitere Überlegungen für multiregionalen Schlüssel sind die folgenden:

*Synchronisieren gemeinsam genutzter Eigenschaften* [— Wenn sich eine [gemeinsame Eigenschaft](multi-region-keys-overview.md#mrk-sync-properties) der Schlüssel für mehrere Regionen ändert, AWS KMS wird die Änderung vom [Primärschlüssel automatisch auf alle zugehörigen Replikatschlüssel](multi-region-keys-overview.md#mrk-primary-key) synchronisiert.](multi-region-keys-overview.md#mrk-replica-key) Sie können eine Synchronisation von gemeinsam genutzten Eigenschaften nicht anfordern oder erzwingen. AWS KMS erkennt und synchronisiert alle Änderungen für Sie. Sie können die Synchronisation jedoch überprüfen, indem Sie das [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)Ereignis in den CloudTrail Protokollen verwenden.

Wenn Sie beispielsweise die automatische Schlüsselrotation für einen symmetrischen Primärschlüssel mit mehreren Regionen und `AWS_KMS` Ursprung aktivieren, wird diese Einstellung auf alle zugehörigen Replikatschlüssel AWS KMS kopiert. Wenn das Schlüsselmaterial gedreht wird, wird die Drehung zwischen allen verwandten multiregionalen Schlüsseln synchronisiert, sodass sie weiterhin dasselbe aktuelle Schlüsselmaterial haben und Zugriff auf alle älteren Versionen des Schlüsselmaterials haben. Wenn Sie einen neuen Replikatschlüssel erstellen, verfügt er über dasselbe aktuelle Schlüsselmaterial aller verwandten multiregionalen Schlüssel und Zugriff auf alle vorherigen Versionen des Schlüsselmaterials. Details hierzu finden Sie unter [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).

*Ändern des Primärschlüssels* – Jeder Satz von multiregionalen Schlüsseln muss genau einen Primärschlüssel haben. Der [Primärschlüssel](multi-region-keys-overview.md#mrk-primary-key) ist der einzige Schlüssel, der repliziert werden kann. Er ist auch die Quelle der gemeinsamen Eigenschaften seiner Replikatschlüssel. Sie können jedoch den Primärschlüssel in ein Replikat ändern und einen der Replikatschlüssel als Primärschlüssel heraufstufen. Sie können dies tun, damit Sie einen multiregionalen Primärschlüssel aus einer bestimmten Region löschen oder den Primärschlüssel in einer Region näher an den Projektadministratoren platzieren können. Details hierzu finden Sie unter [Ändern Sie den Primärschlüssel in einer Reihe von Schlüsseln für mehrere Regionen](multi-region-update.md).

*Löschen von Schlüsseln mit mehreren Regionen* — Wie bei allen KMS-Schlüsseln müssen Sie das Löschen von Schlüsseln mit mehreren Regionen planen, bevor Sie sie löschen. AWS KMS Solange der Schlüssel zur Löschung ansteht, können Sie ihn nicht in kryptografischen Operationen verwenden. Ein Primärschlüssel mit mehreren Regionen AWS KMS wird jedoch erst gelöscht, wenn alle zugehörigen Replikatschlüssel gelöscht wurden. Details hierzu finden Sie unter [Deleting multi-Region keys](deleting-keys.md#deleting-mrks).

# Schlüsselmaterial für AWS KMS Schlüssel importieren
<a name="importing-keys"></a>

Sie können einen AWS KMS keys (KMS-Schlüssel) mit den von Ihnen bereitgestellten Schlüsselmaterialien erstellen. 

Ein KMS-Schlüssel ist eine logische Darstellung eines Datenschlüssels. Die Metadaten für einen KMS-Schlüssel enthalten die ID des Schlüsselmaterials, das zur Ausführung kryptografischer Operationen verwendet wird. Wenn Sie [einen KMS-Schlüssel erstellen](create-keys.md), wird standardmäßig das Schlüsselmaterial für diesen KMS-Schlüssel AWS KMS generiert. Aber Sie können einen KMS-Schlüssel ohne Schlüsselmaterial erstellen und dann Ihr eigenes Schlüsselmaterial in diesen KMS-Schlüssel importieren, ein Feature, das oft als Bring Your Own Key (BYOK, bringe deinen eigenen Schlüssel) bezeichnet wird.

![\[Schlüsselsymbol, das das Schlüsselmaterial hervorhebt, für das es steht.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/import-key.png)


**Anmerkung**  
AWS KMS unterstützt nicht die Entschlüsselung von AWS KMS Chiffretext, der mit einem KMS-Schlüssel mit symmetrischer Verschlüsselung außerhalb von verschlüsselt wurde AWS KMS, selbst wenn der Chiffretext unter einem KMS-Schlüssel mit importiertem Schlüsselmaterial verschlüsselt wurde. AWS KMS veröffentlicht das für diese Aufgabe erforderliche Chiffretextformat nicht, und das Format kann sich ohne vorherige Ankündigung ändern.

Wenn Sie importiertes Schlüsselmaterial verwenden, bleiben Sie für das Schlüsselmaterial verantwortlich und erlauben gleichzeitig, eine Kopie davon AWS KMS zu verwenden. Sie können dies aus den folgenden Gründe tun:
+ Um nachzuweisen, dass das Schlüsselmaterial mit einer zufälligen Quelle generiert wurde, die Ihre Anforderungen erfüllt. 
+ Um Schlüsselmaterial aus Ihrer eigenen Infrastruktur mit AWS Services AWS KMS zu verwenden und den Lebenszyklus des darin enthaltenen Schlüsselmaterials zu verwalten AWS.
+ Zur Verwendung vorhandener, etablierter Schlüssel AWS KMS, z. B. Schlüssel für Codesignatur, PKI-Zertifikatsignierung und per Zertifikat fixierte Anwendungen
+ Um eine Ablaufzeit für das Schlüsselmaterial festzulegen AWS und es [manuell zu löschen, es](importing-keys-delete-key-material.md) aber auch in future wieder verfügbar zu machen. Im Gegensatz dazu erfordert die [Planung der Schlüssellöschung](deleting-keys.md#deleting-keys-how-it-works) eine Wartezeit von 7 bis 30 Tagen. Danach können Sie den gelöschten KMS-Schlüssel nicht wiederherstellen.
+ Die Originalkopie des Schlüsselmaterials zu besitzen und es AWS für zusätzliche Haltbarkeit und Notfallwiederherstellung während des gesamten Lebenszyklus des Schlüsselmaterials außerhalb des Betriebs aufzubewahren.
+ Bei asymmetrischen Schlüsseln und HMAC-Schlüsseln werden beim Import kompatible und interoperable Schlüssel erstellt, die innerhalb und außerhalb von funktionieren. AWS

**Unterstützte KMS-Schlüsseltypen**

AWS KMS unterstützt importiertes Schlüsselmaterial für die folgenden Typen von KMS-Schlüsseln. Es ist jedoch nicht möglich, Schlüsselmaterial in KMS-Schlüsseln in [benutzerdefinierten Schlüsselspeichern](key-store-overview.md#custom-key-store-overview) zu importieren.
+ [KMS-Schlüssel zur symmetrischen Verschlüsselung](symm-asymm-choose-key-spec.md#symmetric-cmks)
+ [Asymmetrische KMS-Schlüssel (außer ML-DSA-Schlüssel)](symmetric-asymmetric.md)
+ [HMAC-KMS-Schlüssel](hmac.md)
+ [Schlüssel für mehrere Regionen](multi-region-keys-overview.md) aller unterstützten Typen.

**Regionen**

Importiertes Schlüsselmaterial wird in allem AWS-Regionen unterstützt, was unterstützt wird. AWS KMS 

In China Regionen unterscheiden sich die wichtigsten Materialanforderungen für symmetrische Verschlüsselung von KMS-Schlüsseln von anderen Regionen. Details hierzu finden Sie unter [Schritt 3: Verschlüsselung des Schlüsselmaterials](importing-keys-encrypt-key-material.md).

**Weitere Informationen**
+ Informationen zum Erstellen von KMS-Schlüsseln mit importiertem Schlüsselmaterial finden Sie unter[Erstellen Sie einen KMS-Schlüssel mit importiertem Schlüsselmaterial](importing-keys-conceptual.md).
+ Informationen zum Erstellen eines Alarms, der Sie benachrichtigt, wenn das importierte Schlüsselmaterial in einem KMS-Schlüssel bald abläuft, finden Sie unter[Einen CloudWatch Alarm für den Ablauf von importiertem Schlüsselmaterial erstellen](imported-key-material-expiration-alarm.md).
+ Informationen zum erneuten Import von Schlüsselmaterial in einen KMS-Schlüssel finden Sie unter. [Schlüsselmaterial erneut importieren](importing-keys-import-key-material.md#reimport-key-material)
+ Informationen zum Importieren von neuem Schlüsselmaterial in einen KMS-Schlüssel für die Rotation bei Bedarf finden Sie unter [Importieren neuen Schlüsselmaterials](importing-keys-import-key-material.md#import-new-key-material) und[Führen Sie die Schlüsselrotation bei Bedarf durch](rotating-keys-on-demand.md). 
+ Informationen zur Identifizierung und Anzeige von KMS-Schlüsseln mit importiertem Schlüsselmaterial finden Sie unter[Identifizieren Sie KMS-Schlüssel mit importiertem Schlüsselmaterial](identify-key-types.md#identify-imported-keys).
+ Informationen zu besonderen Überlegungen beim Löschen von KMS-Schlüsseln mit importiertem Schlüsselmaterial finden Sie unter[Deleting KMS keys with imported key material](deleting-keys.md#import-delete-key).

# Besondere Überlegungen für importiertes Schlüsselmaterial
<a name="importing-keys-considerations"></a>

Bevor Sie sich für den Import von Schlüsselmaterial in entscheiden AWS KMS, sollten Sie sich mit den folgenden Eigenschaften von importiertem Schlüsselmaterial vertraut machen.

**Sie generieren das Schlüsselmaterial**  
Sie sind verantwortlich für die Generierung des Schlüsselmaterials mit einer zufälligen Quelle, die Ihre Anforderungen erfüllt.

**Sie sind verantwortlich für Verfügbarkeit und Langlebigkeit**  
AWS KMS wurde entwickelt, um importiertes Schlüsselmaterial hochverfügbar zu halten. Die Haltbarkeit von importiertem Schlüsselmaterial wird jedoch AWS KMS nicht auf dem gleichen Niveau gehalten wie das AWS KMS generierte Schlüsselmaterial. Details hierzu finden Sie unter [Schützen von importiertem Schlüsselmaterial](import-keys-protect.md).

**Sie können das Schlüsselmaterial löschen.**  
Sie können [importiertes Schlüsselmaterial aus einem KMS-Schlüssel löschen](importing-keys-delete-key-material.md), wodurch der KMS-Schlüssel sofort unbrauchbar wird. Beim Importieren von Schlüsselmaterial in einen KMS-Schlüssel können Sie außerdem bestimmen, ob der Schlüssel abläuft und [die Ablaufzeit festlegen](importing-keys-import-key-material.md#importing-keys-expiration). Wenn die Ablaufzeit erreicht ist, AWS KMS [wird das Schlüsselmaterial gelöscht](importing-keys-delete-key-material.md). Ohne Schlüsselmaterial kann der KMS-Schlüssel nicht in kryptografischen Operationen verwendet werden. Um den Schlüssel wiederherzustellen, müssen Sie das gleiche Schlüsselmaterial erneut in den Schlüssel importieren. 

**Sie können das Schlüsselmaterial für asymmetrische Schlüssel und HMAC-Schlüssel nicht ändern**  
Beim Importieren von Schlüsselmaterial in einen KMS-Schlüssel wird der KMS-Schlüssel dauerhaft diesem Schlüsselmaterial zugeordnet. Sie können [dasselbe Schlüsselmaterial erneut importieren](importing-keys-import-key-material.md#reimport-key-material), aber kein anderes Schlüsselmaterial in diesen KMS-Schlüssel importieren. Außerdem ist es nicht möglich, die [automatische Schlüsseldrehung](rotate-keys.md) für einen KMS-Schlüssel mit importiertem Schlüsselmaterial zu aktivieren. Sie können einen KMS-Schlüssel mit importiertem Schlüsselmaterial jedoch [manuell drehen](rotate-keys-manually.md). 

**Sie können bei Bedarf eine Rotation für symmetrische Verschlüsselungsschlüssel durchführen**  
Symmetrische Verschlüsselungsschlüssel mit importiertem Schlüsselmaterial unterstützen die Rotation nach Bedarf. Sie können [mehrere Schlüsselmaterialien in diese Schlüssel importieren](importing-keys-import-key-material.md#import-new-key-material) und die [Rotation nach Bedarf](rotating-keys-on-demand.md) verwenden, um das aktuelle Schlüsselmaterial zu aktualisieren. Das aktuelle Schlüsselmaterial wird sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet, andere (nicht aktuelle) Schlüsselmaterialien können jedoch nur zur Entschlüsselung verwendet werden. 

**Sie können die Herkunft des Schlüsselmaterials nicht ändern**  
KMS-Schlüssel, die für importiertes Schlüsselmaterial entwickelt wurden, haben einen [Ursprungswert](create-keys.md#key-origin) von`EXTERNAL`, der nicht geändert werden kann. Sie können einen KMS-Schlüssel für importiertes Schlüsselmaterial nicht konvertieren, um Schlüsselmaterial aus einer anderen Quelle zu verwenden, einschließlich. AWS KMS Ebenso können Sie einen KMS-Schlüssel mit Schlüsselmaterial nicht in einen AWS KMS KMS-Schlüssel konvertieren, der für importiertes Schlüsselmaterial entworfen wurde.

**Sie können kein Schlüsselmaterial exportieren**  
Sie können kein Schlüsselmaterial exportieren, das Sie importiert haben. AWS KMS kann Ihnen das importierte Schlüsselmaterial in keiner Form zurückgeben. Sie müssen eine Kopie Ihres importierten Schlüsselmaterials außerhalb von AWS, vorzugsweise in einem Schlüsselmanager, wie z. B. einem Hardware-Sicherheitsmodul (HSM), aufbewahren, damit Sie das Schlüsselmaterial erneut importieren können, falls Sie es löschen oder wenn es abläuft.

**Sie können multiregionale Schlüssel mit importiertem Schlüsselmaterial erstellen**  
Multi-Region mit importiertem Schlüsselmaterial haben die Eigenschaften von KMS-Schlüsseln mit importiertem Schlüsselmaterial und können zwischen AWS-Regionen interoperieren. Um einen multiregionalen Schlüssel mit importiertem Schlüsselmaterial zu erstellen, müssen Sie dasselbe Schlüsselmaterial in den KMS-Schlüssel und in jeden Replikatschlüssel importieren. Weitere Informationen zum Importieren von Schlüsselmaterialien für Schlüssel mit mehreren Regionen finden Sie unter. [Importieren neuen Schlüsselmaterials](importing-keys-import-key-material.md#import-new-key-material)

**Asymmetrische Schlüssel und HMAC-Schlüssel sind portabel und interoperabel**  
Sie können Ihr asymmetrisches Schlüsselmaterial und Ihr HMAC-Schlüsselmaterial auch außerhalb von verwenden, um mit AWS KMS Schlüsseln AWS zu interagieren, die dasselbe importierte Schlüsselmaterial enthalten.   
Im Gegensatz zum AWS KMS symmetrischen Chiffretext, der untrennbar mit dem im Algorithmus verwendeten KMS-Schlüssel verbunden ist, werden standardmäßige HMAC-Formate und asymmetrische Formate für Verschlüsselung, AWS KMS Signierung und MAC-Generierung verwendet. Dadurch sind die Schlüssel übertragbar und unterstützen herkömmliche Escrow-Key-Szenarien.  
Wenn Ihr KMS-Schlüssel Schlüsselmaterial importiert hat, können Sie das importierte Schlüsselmaterial außerhalb von verwenden, um die folgenden Operationen auszuführen. AWS   
+ HMAC-Schlüssel – Sie können ein HMAC-Tag, das durch den HMAC-KMS-Schlüssel generiert wurde, mit importiertem Schlüsselmaterial überprüfen. Sie können den HMAC-KMS-Schlüssel auch zusammen mit dem importierten Schlüsselmaterial verwenden, um ein HMAC-Tag zu verifizieren, das mit dem Schlüsselmaterial außerhalb von generiert wurde. AWS
+ Asymmetrische Verschlüsselungsschlüssel — Sie können Ihren privaten asymmetrischen Verschlüsselungsschlüssel außerhalb von verwenden, AWS um einen durch den KMS-Schlüssel verschlüsselten Chiffretext mit dem entsprechenden öffentlichen Schlüssel zu entschlüsseln. Sie können Ihren asymmetrischen KMS-Schlüssel auch verwenden, um einen asymmetrischen Chiffretext zu entschlüsseln, der außerhalb von generiert wurde. AWS
+ Asymmetrische Signaturschlüssel — Sie können Ihren asymmetrischen KMS-Schlüssel mit importiertem Schlüsselmaterial verwenden, um digitale Signaturen zu überprüfen, die mit Ihrem privaten Signaturschlüssel außerhalb von generiert wurden. AWS Sie können Ihren asymmetrischen öffentlichen Signaturschlüssel auch außerhalb von verwenden, um Signaturen AWS zu überprüfen, die mit Ihrem asymmetrischen KMS-Schlüssel generiert wurden.
+ Schlüssel für asymmetrische Schlüsselvereinbarungen — Sie können Ihren KMS-Schlüssel für die asymmetrische Schlüsselvereinbarung mit importiertem Schlüsselmaterial verwenden, um gemeinsam genutzte Geheimnisse mit einem Peer außerhalb von abzuleiten. AWS
Wenn Sie dasselbe Schlüsselmaterial in verschiedene KMS-Schlüssel desselben AWS-Region importieren, sind diese Schlüssel ebenfalls interoperabel. Um interoperable KMS-Schlüssel in verschiedenen Sprachen zu erstellen AWS-Regionen, erstellen Sie einen Schlüssel für mehrere Regionen mit importiertem Schlüsselmaterial.  

**RSA-Privatschlüssel**
+ AWS KMS erfordert, dass importierte private RSA-Schlüssel Primfaktoren aufweisen, die dem in [FIPS 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf), Abschnitt A. 1.3 beschriebenen Test entsprechen. Andere Software oder Geräte verwenden möglicherweise andere Algorithmen zur Validierung dieser Primfaktoren von privaten RSA-Schlüsseln. In seltenen Fällen werden Schlüssel, die mit anderen Algorithmen validiert wurden, möglicherweise nicht von akzeptiert. AWS KMS

**Symmetrische Verschlüsselungsschlüssel sind nicht portabel oder interoperabel**  
Die daraus resultierenden symmetrischen Chiffretexte sind weder portabel noch interoperabel. AWS KMS AWS KMS veröffentlicht nicht das symmetrische Chiffretext-Format, das für die Portabilität erforderlich ist, und das Format kann sich ohne vorherige Ankündigung ändern.   
+ AWS KMS kann symmetrische Chiffretexte, die Sie außerhalb verschlüsseln, nicht entschlüsseln AWS, selbst wenn Sie importiertes Schlüsselmaterial verwenden. 
+ AWS KMS unterstützt nicht die Entschlüsselung von AWS KMS symmetrischem Chiffretext außerhalb von AWS KMS, selbst wenn der Chiffretext unter einem KMS-Schlüssel mit importiertem Schlüsselmaterial verschlüsselt wurde.
+ KMS-Schlüssel mit demselben importierten Schlüsselmaterial sind nicht interoperabel. Der symmetrische Chiffretext, der Chiffretext AWS KMS generiert, der für jeden KMS-Schlüssel spezifisch ist. Dieses Geheimtextformat garantiert, dass nur der KMS-Schlüssel, der die Daten verschlüsselt hat, diese entschlüsseln kann. 
Außerdem können Sie keine AWS Tools wie die clientseitige Verschlüsselung [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)oder die [clientseitige Amazon S3 S3-Verschlüsselung verwenden, um symmetrische Chiffretexte](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html) zu entschlüsseln AWS KMS .  
Daher können Sie Schlüssel mit importiertem Schlüsselmaterial nicht zur Unterstützung von Schlüsseltreuhandvereinbarungen verwenden, bei denen ein autorisierter Dritter mit eingeschränktem Zugriff auf Schlüsselmaterial bestimmte Chiffretexte außerhalb von entschlüsseln kann. AWS KMS Um die Treuhandfunktion für Schlüssel zu unterstützen, verwenden Sie die [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/java-example-code.html#java-example-multiple-providers), um Ihre Nachricht mit einem Schlüssel zu verschlüsseln, der unabhängig von AWS KMS ist.

# Schützen von importiertem Schlüsselmaterial
<a name="import-keys-protect"></a>

Das Schlüsselmaterial, das Sie importieren, ist während des Transports und im Ruhezustand geschützt. Bevor Sie das Schlüsselmaterial importieren, verschlüsseln (oder „verpacken“) Sie das Schlüsselmaterial mit dem öffentlichen Schlüssel eines RSA-Schlüsselpaars, das in AWS KMS Hardware-Sicherheitsmodulen (HSMs) generiert wurde, die im Rahmen des [FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) Cryptographic Module Validation Program validiert wurden. Sie können das Schlüsselmaterial direkt mit dem öffentlichen Schlüssel zur Verpackung verschlüsseln oder das Schlüsselmaterial mit einem symmetrischen AES-Schlüssel verschlüsseln und anschließend den symmetrischen AES-Schlüssel mit dem öffentlichen RSA-Schlüssel verschlüsseln.

 AWS KMS Entschlüsselt das Schlüsselmaterial nach Erhalt mit dem entsprechenden privaten Schlüssel in einem AWS KMS HSM und verschlüsselt es erneut unter einem symmetrischen AES-Schlüssel, der nur im flüchtigen Speicher des HSM vorhanden ist. Ihr Schlüsselmaterial verlässt zu keiner Zeit Ihr HSM im Klartext. Es wird nur entschlüsselt, während es verwendet wird, und nur innerhalb. AWS KMS HSMs

Die Verwendung Ihres KMS-Schlüssels mit importiertem Schlüsselmaterial hängt ausschließlich von den [Zugriffskontrollrichtlinien](control-access.md) ab, die Sie für den KMS-Schlüssel festlegen. Darüber hinaus können Sie [Aliase](kms-alias.md) und [Tags](tagging-keys.md) verwenden, um den Zugriff auf den KMS-Schlüssel zu identifizieren und zu [kontrollieren](abac.md). Sie können den Schlüssel [aktivieren und deaktivieren](enabling-keys.md), ihn [anzeigen](viewing-keys.md) und [überwachen](monitoring-overview.md), indem Sie Dienste wie AWS CloudTrail verwenden. 

Sie behalten jedoch die einzige ausfallsichere Kopie Ihres Schlüsselmaterials. Im Gegenzug für diese zusätzliche Kontrolle sind Sie für die Haltbarkeit und allgemeine Verfügbarkeit des importierten Schlüsselmaterials verantwortlich. AWS KMS ist darauf ausgelegt, importiertes Schlüsselmaterial hochverfügbar zu halten. Die Haltbarkeit von importiertem Schlüsselmaterial wird jedoch AWS KMS nicht auf dem gleichen Niveau gehalten wie das AWS KMS generierte Schlüsselmaterial.

Dieser Unterschied in der Haltbarkeit ist in den folgenden Fällen von Bedeutung:
+ Wenn Sie [eine Ablaufzeit für Ihr importiertes Schlüsselmaterial festlegen](importing-keys-import-key-material.md#importing-keys-expiration), AWS KMS wird das Schlüsselmaterial nach Ablauf gelöscht. AWS KMS löscht den KMS-Schlüssel oder seine Metadaten nicht. Sie können [einen CloudWatch Amazon-Alarm erstellen](imported-key-material-expiration-alarm.md), der Sie benachrichtigt, wenn importiertes Schlüsselmaterial sich dem Ablaufdatum nähert.

  Sie können kein Schlüsselmaterial löschen, das für einen KMS-Schlüssel AWS KMS generiert wurde, und Sie können nicht festlegen, dass AWS KMS Schlüsselmaterial abläuft.
+ Wenn Sie [importiertes Schlüsselmaterial manuell AWS KMS löschen](importing-keys-delete-key-material.md), wird das Schlüsselmaterial gelöscht, jedoch nicht der KMS-Schlüssel oder seine Metadaten. Im Gegensatz dazu erfordert die [Planung der Schlüssellöschung](deleting-keys.md#deleting-keys-how-it-works) eine Wartezeit von 7 bis 30 Tagen. Danach werden der KMS-Schlüssel, seine Metadaten und sein Schlüsselmaterial AWS KMS dauerhaft gelöscht.
+ Im unwahrscheinlichen Fall bestimmter regionaler Ausfälle, die Auswirkungen haben AWS KMS (z. B. ein vollständiger Stromausfall), AWS KMS kann Ihr importiertes Schlüsselmaterial nicht automatisch wiederhergestellt werden. Der KMS-Schlüssel und seine Metadaten AWS KMS können jedoch wiederhergestellt werden.

Sie *müssen* eine Kopie des importierten Schlüsselmaterials außerhalb eines von AWS Ihnen kontrollierten Systems aufbewahren. Wir empfehlen, eine exportierbare Kopie des importierten Schlüsselmaterials in einem Schlüsselverwaltungssystem, z. B. einem HSM, zu speichern. Als bewährte Methode sollten Sie einen Verweis auf den KMS-Schlüssel-ARN und die von generierte Schlüsselmaterial-ID AWS KMS zusammen mit der exportierbaren Kopie des Schlüsselmaterials speichern. Wenn Ihr importiertes Schlüsselmaterial gelöscht wird oder abläuft, ist der zugehörige KMS-Schlüssel unbrauchbar, bis Sie dasselbe Schlüsselmaterial erneut importieren. Wenn Ihr importiertes Schlüsselmaterial dauerhaft verloren geht, ist jeder unter dem KMS-Schlüssel verschlüsselte Geheimtext nicht wiederherstellbar. 

**Wichtig**  
Symmetrischen Verschlüsselungsschlüsseln können mehrere Schlüsselmaterialien zugeordnet sein. Der gesamte KMS-Schlüssel wird unbrauchbar, sobald Sie eines dieser Schlüsselmaterialien löschen oder wenn eines dieser Schlüsselmaterialien abläuft (es sei denn, das gelöschte oder ablaufende Schlüsselmaterial ist `PENDING_ROTATION` oder). `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` Sie müssen alle abgelaufenen oder gelöschten Schlüsselmaterialien, die mit einem solchen Schlüssel verknüpft sind, erneut importieren, bevor der Schlüssel für kryptografische Operationen verwendet werden kann. 

# KMS-Schlüssel in einem CloudHSM-Schlüsselspeicher
<a name="manage-cmk-keystore"></a>

Sie können den in einem AWS CloudHSM Schlüsselspeicher erstellen, anzeigen, verwalten, verwenden und das AWS KMS keys Löschen von Dateien planen. Die dafür verwendeten Verfahren ähneln denjenigen für andere KMS-Schlüssel. Der einzige Unterschied besteht darin, dass Sie bei der Erstellung des AWS CloudHSM KMS-Schlüssels einen Schlüsselspeicher angeben. AWS KMS Erstellt dann nicht extrahierbares Schlüsselmaterial für den KMS-Schlüssel im AWS CloudHSM Cluster, der dem AWS CloudHSM Schlüsselspeicher zugeordnet ist. Wenn Sie einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher verwenden, werden die [kryptografischen Operationen](#use-cmk-keystore) HSMs im Cluster ausgeführt.

**Unterstützte Features**  
Zusätzlich zu den in diesem Abschnitt beschriebenen Verfahren können Sie mit KMS-Schlüsseln in einem AWS CloudHSM Schlüsselspeicher wie folgt vorgehen:  
+ Verwenden Sie Schlüsselrichtlinien, IAM-Richtlinien und Erteilungen zur [Autorisierung des Zugriffs](control-access.md) auf die KMS-Schlüssel.
+ [Aktivieren und Deaktivieren](enabling-keys.md) der KMS-Schlüssel. 
+ Zuweisen von [Tags](tagging-keys.md) und Erstellen von [Aliassen](kms-alias.md) und Autorisieren des Zugriffs auf die KMS-Schlüssel mithilfe der attributbasierten Zugriffskontrolle (ABAC)
+ Verwenden Sie die KMS-Schlüssel, um die folgenden kryptografischen Operationen durchzuführen:
  + [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
  + [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
  + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
  + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)
  + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)

  Die Operationen, die asymmetrische Datenschlüsselpaare generieren, [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)und [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html), werden in benutzerdefinierten Schlüsselspeichern *nicht* unterstützt.
+ Verwenden Sie die KMS-Schlüssel mit [AWS -Services, die in AWS KMS integriert werden können](service-integration.md) und kundenverwaltete KMS-Schlüssel unterstützen.
+ Verfolgen Sie die Verwendung Ihrer KMS-Schlüssel in [AWS CloudTrail Protokollen](logging-using-cloudtrail.md) und [ CloudWatch Amazon-Überwachungstools](monitoring-overview.md).

**Nicht unterstützte Funktionen**  
+ AWS CloudHSM Schlüsselspeicher unterstützen nur KMS-Schlüssel mit symmetrischer Verschlüsselung. Sie können keine HMAC-KMS-Schlüssel, asymmetrische KMS-Schlüssel oder asymmetrische Datenschlüsselpaare in einem Schlüsselspeicher erstellen. AWS CloudHSM 
+ Sie können [Schlüsselmaterial nicht in einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher importieren](importing-keys.md). AWS KMS generiert das Schlüsselmaterial für den KMS-Schlüssel im AWS CloudHSM Cluster.
+ Sie können die [automatische Rotation](rotate-keys.md) des Schlüsselmaterials für einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher nicht aktivieren oder deaktivieren.

**Verwendung von KMS-Schlüsseln in einem AWS CloudHSM Schlüsselspeicher**  
Wenn Sie Ihren KMS-Schlüssel in einer Anfrage verwenden, identifizieren Sie den KMS-Schlüssel anhand seiner ID oder seines Alias. Sie müssen den AWS CloudHSM Schlüsselspeicher oder den AWS CloudHSM Cluster nicht angeben. Die Antwort enthält die gleichen Felder, die auch für alle anderen KMS-Schlüssel mit symmetrischer Verschlüsselung zurückgegeben werden.  
Wenn Sie jedoch einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher verwenden, wird der kryptografische Vorgang vollständig innerhalb des AWS CloudHSM Clusters ausgeführt, der dem AWS CloudHSM Schlüsselspeicher zugeordnet ist. Die Produktion verwendet das Schlüsselmaterial im Cluster, das dem ausgewählten KMS-Schlüssel zugeordnet ist.  
Damit dies möglich ist, sind die folgenden Bedingungen erforderlich.  
+ Der [Schlüsselstatus](key-state.md) des KMS-Schlüssels muss `Enabled` lauten. Um den Schlüsselstatus zu ermitteln, verwenden Sie das **Statusfeld** in der [AWS KMS Konsole](finding-keys.md#viewing-console-details) oder das `KeyState` Feld in der [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Antwort.
+ Der AWS CloudHSM Schlüsselspeicher muss mit seinem AWS CloudHSM Cluster verbunden sein. Sein **Status** muss in der [AWS KMS Konsole](view-keystore.md) oder `ConnectionState` in der [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Antwort stehen`CONNECTED`.
+ Der AWS CloudHSM Cluster, der dem benutzerdefinierten Schlüsselspeicher zugeordnet ist, muss mindestens ein aktives HSM enthalten. Verwenden Sie die Konsole, die [AWS KMS Konsole](view-keystore.md) oder HSMs den [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)Vorgang, um die Anzahl der AWS CloudHSM aktiven Benutzer im Cluster zu ermitteln.
+ Der AWS CloudHSM Cluster muss das Schlüsselmaterial für den KMS-Schlüssel enthalten. Wenn das Schlüsselmaterial aus dem Cluster gelöscht wurden oder ein HSM aus einer Sicherung erstellt wurde, in der die Schlüsselinformationen nicht enthalten waren, schlägt die kryptografische Produktion fehl.
Wenn diese Bedingungen nicht erfüllt sind, schlägt der kryptografische Vorgang fehl und es wird eine `KMSInvalidStateException` Ausnahme AWS KMS zurückgegeben. In der Regel müssen Sie nur die Verbindung zum [AWS CloudHSM Schlüsselspeicher erneut herstellen](connect-keystore.md). Weitere Informationen finden Sie unter [Beheben eines fehlerhaften KMS-Schlüssels](fix-keystore.md#fix-cmk-failed).  
Beachten Sie bei der Verwendung der KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher, dass sich die KMS-Schlüssel in jedem AWS CloudHSM Schlüsselspeicher ein [benutzerdefiniertes Schlüsselspeicher-Anforderungskontingent](requests-per-second.md#rps-key-stores) für kryptografische Operationen teilen. Wenn Sie das Kontingent überschreiten, wird a AWS KMS `ThrottlingException` zurückgegeben. Wenn der AWS CloudHSM Cluster, der dem AWS CloudHSM Schlüsselspeicher zugeordnet ist, zahlreiche Befehle verarbeitet, auch solche, die nichts mit dem AWS CloudHSM Schlüsselspeicher zu tun haben, erhalten Sie möglicherweise eine noch geringere Rate. `ThrottlingException` Wenn Sie eine `ThrottlingException` für eine Anforderung erhalten, verringern Sie Ihre Anforderungsrate und führen Sie die Befehle erneut aus. Details zum Anforderungskontingent für benutzerdefinierte Schlüsselspeicher finden Sie unter [Anforderungskontingente für benutzerdefinierte Schlüsselspeicher](requests-per-second.md#rps-key-stores).

**Weitere Informationen**  
+ Weitere Informationen zu AWS CloudHSM Schlüsselspeichern finden Sie unter[AWS CloudHSM wichtige Geschäfte](keystore-cloudhsm.md).
+ Informationen zum Erstellen von KMS-Schlüsseln in einem AWS CloudHSM Schlüsselspeicher finden Sie unter[Einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher erstellen](create-cmk-keystore.md).
+ Informationen zum Identifizieren und Anzeigen von KMS-Schlüsseln in einem AWS CloudHSM Schlüsselspeicher finden Sie unter[Identifizieren Sie KMS-Schlüssel in AWS CloudHSM Schlüsselspeichern](identify-key-types.md#identify-key-hsm-keystore).
+ Informationen zu KMS-Schlüsseln und Schlüsselmaterial in einem AWS CloudHSM Schlüsselspeicher finden Sie unter[Suchen Sie KMS-Schlüssel und Schlüsselmaterial in einem AWS CloudHSM Schlüsselspeicher](find-key-material.md).
+ Informationen zu besonderen Überlegungen beim Löschen von KMS-Schlüsseln in einem AWS CloudHSM Schlüsselspeicher finden Sie unter [Löschen von KMS-Schlüsseln aus einem AWS CloudHSM Schlüsselspeicher](deleting-keys.md#delete-cmk-keystore).

# KMS-Schlüssel in externen Schlüsselspeichern
<a name="keystore-external-key-manage"></a>

Zum Erstellen, Anzeigen, Verwalten, Verwenden und Planen der Löschung von KMS-Schlüsseln in einem externen Schlüsselspeicher verwenden Sie ganz ähnliche Verfahren wie für andere KMS-Schlüssel. Wenn Sie jedoch einen KMS-Schlüssel in einem externen Schlüsselspeicher erstellen, geben Sie einen [externen Schlüsselspeicher](keystore-external.md#concept-external-key-store) und einen [externen Schlüssel](keystore-external.md#concept-external-key) an. Wenn Sie einen KMS-Schlüssel in einem externen Schlüsselspeicher verwenden, werden die [Ver- und Entschlüsselungsvorgänge](keystore-external.md#xks-how-it-works) von Ihrem externen Schlüsselmanager unter Verwendung des angegebenen externen Schlüssels durchgeführt. 

AWS KMS kann keine kryptografischen Schlüssel in Ihrem externen Schlüsselmanager erstellen, anzeigen, aktualisieren oder löschen. AWS KMS greift niemals direkt auf Ihren externen Schlüsselmanager oder einen externen Schlüssel zu. Alle Anforderungen für kryptografische Vorgänge werden vom [Proxy Ihres externen Schlüsselspeichers](keystore-external.md#concept-xks-proxy) vermittelt. Zur Verwendung eines KMS-Schlüssels in einem externen Schlüsselspeicher muss der externe Schlüsselspeicher, der den KMS-Schlüssel hostet, mit seinem externen Schlüsselspeicher-Proxy [verbunden](xks-connect-disconnect.md) sein.

**Unterstützte Features**  
Neben den in diesem Abschnitt beschriebenen Verfahren können Sie mit KMS-Schlüsseln in einem externen Schlüsselspeicher folgende Aktionen ausführen:   
+ Verwenden von [Schlüsselrichtlinien](key-policies.md), [IAM-Richtlinien](iam-policies.md) und [Erteilungen](grants.md) zur Steuerung des Zugriffs auf die KMS-Schlüssel
+ [Aktivieren und Deaktivieren](enabling-keys.md) der KMS-Schlüssel. Diese Aktionen wirken sich nicht auf den externen Schlüssel in Ihrem externen Schlüsselmanager aus.
+ Zuweisen von [Tags](tagging-keys.md) und Erstellen von [Aliassen](kms-alias.md) und Autorisieren des Zugriffs auf die KMS-Schlüssel mithilfe der [attributbasierten Zugriffskontrolle](abac.md) (ABAC)
+ Verwenden Sie die KMS-Schlüssel, um die folgenden kryptografischen Operationen durchzuführen:
  + [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
  + [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
  + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
  + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)
  + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)

  Die Operationen, die asymmetrische Datenschlüsselpaare generieren, [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)und [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html), werden in benutzerdefinierten Schlüsselspeichern *nicht* unterstützt.
+ Verwenden der KMS-Schlüssel mit [AWS-Services -Services, die in AWS KMS integriert werden können](https://aws.amazon.com/kms/features/#AWS_Service_Integration) und Unterstützen von [kundenverwalteten KMS-Schlüsseln](concepts.md#customer-mgn-key)

**Nicht unterstützte Funktionen**  
+ Externe Schlüsselspeicher unterstützen nur [KMS-Schlüssel mit symmetrischer Verschlüsselung](symm-asymm-choose-key-spec.md#symmetric-cmks). Sie können keine HMAC-KMS-Schlüssel oder asymmetrische KMS-Schlüssel in einem externen Schlüsselspeicher erstellen.
+ [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)und [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)werden für KMS-Schlüssel in einem externen Schlüsselspeicher nicht unterstützt.
+ Sie können keine [AWS::KMS::Key CloudFormation Vorlage](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) verwenden, um einen externen Schlüsselspeicher oder einen KMS-Schlüssel in einem externen Schlüsselspeicher zu erstellen.
+ [Multiregionale Schlüssel](multi-region-keys-overview.md) werden in einem externen Schlüsselspeicher nicht unterstützt.
+ KMS-Schlüssel mit [importiertem Schlüsselmaterial](importing-keys.md) werden in einem externen Schlüsselspeicher nicht unterstützt.
+ [Automatische Schlüsselrotation](rotate-keys.md) wird für KMS-Schlüssel in einen externen Schlüsselspeicher nicht unterstützt.

**KMS-Schlüssel in einem externen Schlüsselspeicher verwenden**  
Wenn Sie Ihren KMS-Schlüssel in einer Anforderung verwenden, identifizieren Sie den KMS-Schlüssel durch [Schlüssel-ID, Schlüssel-ARN, Alias oder Alias-ARN](concepts.md#key-id). Sie müssen den externen Schlüsselspeicher nicht angeben. Die Antwort enthält die gleichen Felder, die auch für alle anderen KMS-Schlüssel mit symmetrischer Verschlüsselung zurückgegeben werden. Wenn Sie jedoch einen KMS-Schlüssel in einem externen Schlüsselspeicher verwenden, werden die Ver- und Entschlüsselungsvorgänge von Ihrem externen Schlüsselmanager unter Verwendung des externen Schlüssels ausgeführt, der dem KMS-Schlüssel zugeordnet ist.  
[Um sicherzustellen, dass Chiffretext, der mit einem KMS-Schlüssel in einem externen Schlüsselspeicher verschlüsselt wurde, mindestens so sicher ist wie jeder Chiffretext, der mit einem Standard-KMS-Schlüssel verschlüsselt wurde, AWS KMS verwendet doppelte Verschlüsselung.](keystore-external.md#concept-double-encryption) Daten werden zunächst mithilfe von Schlüsselmaterial verschlüsselt. AWS KMS AWS KMS Dann werden sie von Ihrem externen Schlüsselmanager mit dem externen Schlüssel für den KMS-Schlüssel verschlüsselt. Um doppelt verschlüsselten Geheimtext zu entschlüsseln, wird der Geheimtext zunächst von Ihrem externen Schlüsselmanager mit dem externen Schlüssel für den KMS-Schlüssel entschlüsselt. Anschließend werden sie AWS KMS unter Verwendung des AWS KMS Schlüsselmaterials für den KMS-Schlüssel entschlüsselt.  
Damit dies möglich ist, sind die folgenden Bedingungen erforderlich.  
+ Der [Schlüsselstatus](key-state.md) des KMS-Schlüssels muss `Enabled` lauten. Den Status des Schlüssels finden Sie im Feld **Status** für vom Kunden verwaltete Schlüssel, die [AWS KMS Konsole](finding-keys.md#viewing-console-details) oder das `KeyState` Feld in der [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Antwort.
+ Der externe Schlüsselspeicher, der den KMS-Schlüssel hostet, muss mit seinem [externen Schlüsselspeicher-Proxy](keystore-external.md#concept-xks-proxy) verbunden sein, d. h. der [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) des externen Schlüsselspeichers muss `CONNECTED` sein. 

  Sie können den Verbindungsstatus auf der Seite **Externe Schlüsselspeicher** in der AWS KMS Konsole oder in der [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Antwort einsehen. Der Verbindungsstatus des externen Schlüsselspeicher wird auch auf der Detailseite für den KMS-Schlüssel in der AWS KMS -Konsole angezeigt. Wählen Sie auf der Detailseite die Registerkarte **Cryptographic configuration** (Kryptografische Konfiguration) und sehen Sie im Feld **Connection state** (Verbindungsstatus) im Abschnitt **Custom key store** (Benutzerdefinierter Schlüsselspeicher) nach.

  Wenn der Verbindungsstatus `DISCONNECTED` ist, müssen Sie zuerst eine Verbindung herstellen. Wenn der Verbindungsstatus `FAILED` lautet, müssen Sie das Problem lösen, den externen Schlüsselspeicher trennen und ihn dann verbinden. Detaillierte Anweisungen finden Sie unter [Externe Schlüsselspeicher Connect und trennen](xks-connect-disconnect.md).
+ Der Proxy des externen Schlüsselspeichers muss in der Lage sein, den externen Schlüssel zu finden. 
+ Der externe Schlüssel muss aktiviert sein und er muss die Verschlüsselung und Entschlüsselung durchführen. 

  Der Status des externen Schlüssels ist unabhängig von Änderungen des [Schlüsselstatus](key-state.md) des KMS-Schlüssels, einschließlich der Aktivierung und Deaktivierung des KMS-Schlüssels, und wird von diesen nicht beeinflusst. Ebenso ändert das Deaktivieren oder Löschen des externen Schlüssels nicht den Schlüsselstatus des KMS-Schlüssels, aber kryptografische Vorgänge, die den zugehörigen KMS-Schlüssel verwenden, schlagen fehl.
Wenn diese Bedingungen nicht erfüllt sind, schlägt der kryptografische Vorgang fehl und es wird eine `KMSInvalidStateException` Ausnahme AWS KMS zurückgegeben. Möglicherweise müssen Sie [den externen Schlüsselspeicher erneut verbinden](xks-connect-disconnect.md) oder Tools Ihres externen Schlüsselmanagers verwenden, um Ihren externen Schlüssel neu zu konfigurieren oder zu reparieren. Weitere Informationen finden Sie unter [Fehlerbehebung bei externen Schlüsselspeichern](xks-troubleshooting.md).  
Bei der Verwendung von KMS-Schlüsseln in einem externen Schlüsselspeicher ist zu beachten, dass die KMS-Schlüssel in jedem externen Schlüsselspeicher gemeinsam ein [Anforderungskontingent für benutzerdefinierte Schlüsselspeicher](requests-per-second.md#rps-key-stores) für kryptografische Vorgänge nutzen. Wenn Sie das Kontingent überschreiten, wird a AWS KMS `ThrottlingException` zurückgegeben. Details zum Anforderungskontingent für benutzerdefinierte Schlüsselspeicher finden Sie unter [Anforderungskontingente für benutzerdefinierte Schlüsselspeicher](requests-per-second.md#rps-key-stores).

**Weitere Informationen**  
+ Weitere Informationen zu externen Schlüsselspeichern finden Sie unter[Externe Schlüsselspeicher](keystore-external.md).
+ Weitere Informationen über Schlüsselmaterial in externen Schlüsselspeichern finden Sie unter[Externer Schlüssel](keystore-external.md#concept-external-key).
+ Informationen zum Erstellen von KMS-Schlüsseln in einem externen Schlüsselspeicher finden Sie unter[Einen KMS-Schlüssel in externen Schlüsselspeichern erstellen](create-xks-keys.md).
+ Informationen zum Identifizieren und Anzeigen von KMS-Schlüsseln in einem externen Schlüsselspeicher finden Sie unter[Identifizieren Sie KMS-Schlüssel in externen Schlüsselspeichern](identify-key-types.md#view-xks-key).
+ Informationen zu besonderen Überlegungen beim Löschen von KMS-Schlüsseln in einem externen Schlüsselspeicher finden Sie unter [Löschen von KMS-Schlüsseln aus einem externen Schlüsselspeicher](deleting-keys.md#delete-xks-key).