Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Einen KMS-Schlüssel erstellen
<a name="create-keys"></a>

Sie können AWS KMS keys in oder mithilfe des AWS-Managementkonsole[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgangs oder der [AWS::KMS::Key AWS CloudFormation Ressource](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) erstellen. Während dieses Vorgangs legen Sie die Schlüsselrichtlinie für den KMS-Schlüssel fest, die Sie jederzeit ändern können. Sie wählen auch die folgenden Werte aus, die den Typ des KMS-Schlüssels definieren, den Sie erstellen. Diese Eigenschaften können nicht geändert werden, nachdem der KMS-Schlüssel erstellt wurde. 

**KMS-Schlüsseltyp**  
*Der Schlüsseltyp* ist eine Eigenschaft, die bestimmt, welcher Typ von kryptografischem Schlüssel erstellt wird. AWS KMS bietet drei Schlüsseltypen zum Schutz von Daten:  
+ Symmetrische Schlüssel nach dem Advanced Encryption Standard (AES)

  256-Bit-Schlüssel, die im Galois Counter Mode (GCM) -Modus von AES verwendet werden, um authentifizierte Daten mit einer Größe von weniger als 4 KB encryption/decryption bereitzustellen. Dies ist der gebräuchlichste Schlüsseltyp und wird verwendet, um andere Datenverschlüsselungsschlüssel zu schützen, die in Ihren Anwendungen verwendet werden, und AWS-Services damit Ihre Daten in Ihrem Namen zu verschlüsseln.
+ RSA-, elliptische Kurve- oder SM2 (nur China Regionen) asymmetrische Schlüssel

  Diese Schlüssel sind in verschiedenen Größen erhältlich und unterstützen viele Algorithmen. Sie können je nach ausgewähltem Algorithmus zur Ver- und Entschlüsselung, zum Signieren und Überprüfen oder zum Ableiten von Operationen mit gemeinsamen Geheimnissen verwendet werden.
+ Symmetrische Schlüssel für die Durchführung von Hash-basierten HMAC-Vorgängen (Message Authentication Codes)

  Bei diesen Schlüsseln handelt es sich um 256-Bit-Schlüssel, die für Signier- und Überprüfungsvorgänge verwendet werden.

  KMS-Schlüssel können nicht im Klartext aus dem Dienst exportiert werden. Sie werden von den vom Dienst verwendeten Hardware-Sicherheitsmodulen (HSMs) generiert und können nur innerhalb dieser verwendet werden. Dies ist die grundlegende Sicherheitseigenschaft, mit der sichergestellt werden AWS KMS soll, dass Schlüssel nicht gefährdet werden.

**Verwendung von Schlüsseln**  
Die *Schlüsselnutzung* ist eine Eigenschaft, die bestimmt, welche kryptografischen Vorgänge der Schlüssel unterstützt. KMS-Schlüssel können eine Schlüsselverwendung von`ENCRYPT_DECRYPT`, `SIGN_VERIFY``GENERATE_VERIFY_MAC`, oder haben`KEY_AGREEMENT`. Jeder KMS-Schlüssel kann nur eine Schlüsselnutzung haben. Dabei werden bewährte Verfahren zur Schlüsselnutzung gemäß der [Sonderveröffentlichung 800-57 des National Institute of Standards and Technology (NIST), Empfehlungen für die Schlüsselverwaltung](https://csrc.nist.gov/pubs/sp/800/57/pt1/r5/final), Abschnitt 5.2, Schlüsselnutzung, eingehalten. Die Verwendung eines KMS-Schlüssels für mehr als eine Art von Operation macht das Produkt beider Operationen anfälliger gegenüber Angriffen.

**Wichtige technische Daten**  
Die *Schlüsselspezifikation* ist eine Eigenschaft, die die kryptografische Konfiguration des KMS-Schlüssels repräsentiert. Die Bedeutung der Schlüsselspezifikation unterscheidet sich vom Schlüsseltyp.  
Bei KMS-Schlüsseln bestimmt die *Schlüsselspezifikation*, ob der KMS-Schlüssel symmetrisch oder asymmetrisch ist. Sie bestimmt auch die Art des Schlüsselmaterials und die unterstützten Algorithmen.  
Die Standardschlüsselspezifikation, [SYMMETRIC\$1DEFAULT](symm-asymm-choose-key-spec.md#symmetric-cmks), steht für einen symmetrischen 256-Bit-Verschlüsselungsschlüssel. Eine ausführliche Beschreibung aller unterstützten Schlüsselspezifikationen finden Sie unter. [Referenz zu wichtigen Spezifikationen](symm-asymm-choose-key-spec.md)

**Herkunft der wichtigsten Materialien**  
*Ursprung des Schlüsselmaterials* ist eine KMS-Schlüssel-Eigenschaft, die die Quelle des Schlüsselmaterials im KMS-Schlüssel identifiziert. Sie wählen den Ursprung des Schlüsselmaterials, wenn Sie den KMS-Schlüssel erstellen. Danach kann er nicht mehr geändert werden. Die Quelle des Schlüsselmaterials wirkt sich auf die Sicherheit, Dauerhaftigkeit, Verfügbarkeit, Latenzzeit und Durchsatzmerkmale des KMS-Schlüssels aus.   
Jeder KMS-Schlüssel enthält in seinen Metadaten einen Verweis auf sein Schlüsselmaterial. Die Herkunft des Schlüsselmaterials des KMS-Schlüssels mit symmetrischer Verschlüsselung kann variieren. Sie können Schlüsselmaterial verwenden, das AWS KMS generiert wird, Schlüsselmaterial, das in einem [benutzerdefinierten Schlüsselspeicher](key-store-overview.md#custom-key-store-overview) generiert wurde, oder [Ihr eigenes Schlüsselmaterial importieren](importing-keys.md).   
Standardmäßig verfügt jeder KMS-Schlüssel über eindeutiges Schlüsselmaterial. Sie können jedoch eine Reihe von [multiregionalen Schlüsseln](multi-region-keys-overview.md) mit demselben Schlüsselmaterial erstellen.  
KMS-Schlüssel können einen der folgenden wichtigen Materialursprungswerte haben:`AWS_KMS`, `EXTERNAL` ([importiertes Schlüsselmaterial](importing-keys.md)), `AWS_CLOUDHSM` ([AWS CloudHSM KMS-Schlüssel in einem Schlüsselspeicher](keystore-cloudhsm.md)) oder `EXTERNAL_KEY_STORE` ([KMS-Schlüssel in einem externen Schlüsselspeicher](keystore-external.md)).

**Topics**
+ [Berechtigungen zum Erstellen von KMS-Schlüsseln](#create-key-permissions)
+ [Wählen Sie aus, welche Art von KMS-Schlüssel erstellt werden soll](#symm-asymm-choose)
+ [Erstellen Sie einen KMS-Schlüssel für die symmetrische Verschlüsselung](create-symmetric-cmk.md)
+ [Erstellen eines asymmetrischen KMS-Schlüssels](asymm-create-key.md)
+ [Erstellen Sie einen HMAC-KMS-Schlüssel](hmac-create-key.md)
+ [Primärschlüssel für mehrere Regionen erstellen](create-primary-keys.md)
+ [Replikatschlüssel für mehrere Regionen erstellen](multi-region-keys-replicate.md)
+ [Erstellen Sie einen KMS-Schlüssel mit importiertem Schlüsselmaterial](importing-keys-conceptual.md)
+ [Einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher erstellen](create-cmk-keystore.md)
+ [Einen KMS-Schlüssel in externen Schlüsselspeichern erstellen](create-xks-keys.md)

## Berechtigungen zum Erstellen von KMS-Schlüsseln
<a name="create-key-permissions"></a>

Um einen KMS-Schlüssel in der Konsole oder mithilfe von zu erstellen APIs, benötigen Sie die folgenden Berechtigungen in einer IAM-Richtlinie. Wenn möglich, verwenden Sie [Bedingungsschlüssel](policy-conditions.md), um die Berechtigungen einzuschränken. Sie können beispielsweise den KeySpec Bedingungsschlüssel [kms:](conditions-kms.md#conditions-kms-key-spec) in einer IAM-Richtlinie verwenden, um es Prinzipalen zu ermöglichen, nur symmetrische Verschlüsselungsschlüssel zu erstellen.

Ein Beispiel für eine IAM-Richtlinie für Prinzipale, die Schlüssel erstellen, finden Sie unter [Einem Benutzer das Erstellen von KMS-Schlüsseln erlauben](customer-managed-policies.md#iam-policy-example-create-key).

**Anmerkung**  
Seien Sie vorsichtig, wenn Sie Prinzipalen die Berechtigung zum Verwalten von Tags und Aliasen erteilen. Wenn Sie einen Tag oder einen Alias ändern, wird dadurch die Berechtigung für den kundenverwalteten Schlüssel erteilt oder verweigert. Details hierzu finden Sie unter [ABAC für AWS KMS](abac.md).
+ [kms: CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) ist erforderlich. 
+ [kms: CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html) ist erforderlich, um einen KMS-Schlüssel in der Konsole zu erstellen, wobei für jeden neuen KMS-Schlüssel ein Alias erforderlich ist.
+ [kms: TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) ist erforderlich, um beim Erstellen des KMS-Schlüssels Tags hinzuzufügen.
+ [iam: CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) ist erforderlich, um Primärschlüssel für mehrere Regionen zu erstellen. Details hierzu finden Sie unter [Steuern Sie den Zugriff auf Schlüssel für mehrere Regionen](multi-region-keys-auth.md).

Die [kms: PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) -Berechtigung ist nicht erforderlich, um den KMS-Schlüssel zu erstellen. Die `kms:CreateKey`-Berechtigung enthält die Berechtigung zum Festlegen der ursprünglichen Schlüsselrichtlinie. Sie müssen diese Berechtigung jedoch der Schlüsselrichtlinie hinzufügen, während Sie den KMS-Schlüssel erstellen, um sicherzustellen, dass Sie den Zugriff auf den KMS-Schlüssel steuern können. Die Alternative besteht darin, den [BypassLockoutSafetyCheck](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html#KMS-CreateKey-request-BypassPolicyLockoutSafetyCheck)Parameter zu verwenden, was nicht empfohlen wird.

KMS-Schlüssel gehören zu dem AWS Konto, in dem sie erstellt wurden. Der IAM-Benutzer, der einen KMS-Schlüssel erstellt, gilt nicht als Schlüsselbesitzer und hat nicht automatisch die Berechtigung, den von ihm erstellten KMS-Schlüssel zu verwenden oder zu verwalten. Wie jeder andere Prinzipal muss der Schlüsselersteller eine Berechtigung über eine Schlüsselrichtlinie, IAM-Richtlinie oder Erteilung erhalten. Prinzipale, die die `kms:CreateKey`-Berechtigung haben, können jedoch die ursprüngliche Schlüsselrichtlinie festlegen und sich selbst die Berechtigung zur Verwendung oder Verwaltung des Schlüssels erteilen.

## Wählen Sie aus, welche Art von KMS-Schlüssel erstellt werden soll
<a name="symm-asymm-choose"></a>

Der Typ des KMS-Schlüssels, den Sie erstellen, hängt weitgehend davon ab, wie Sie den KMS-Schlüssel *verwenden* möchten, von Ihren Sicherheitsanforderungen und Ihren Autorisierungsanforderungen. Der Schlüsseltyp und die Schlüsselverwendung eines KMS-Schlüssels bestimmen, welche kryptografischen Operationen der Schlüssel ausführen kann. Jeder KMS-Schlüssel kann nur eine Schlüsselverwendung haben. Die Verwendung eines KMS-Schlüssels für mehr als eine Art von Operation macht das Produkt aller Operationen anfälliger gegenüber Angriffen.

Verwenden Sie den KeyUsage Bedingungsschlüssel [kms:](conditions-kms.md#conditions-kms-key-usage), damit Prinzipale KMS-Schlüssel nur für eine bestimmte Schlüsselverwendung erstellen können. Sie können mit dem Bedingungsschlüssel `kms:KeyUsage` Prinzipalen auch, basierend auf seiner Schlüsselnutzung, den Aufruf von API-Operationen für einen KMS-Schlüssel gewähren. Beispielsweise können Sie die Berechtigung zum Deaktivieren eines KMS-Schlüssels nur dann zulassen, wenn die Schlüsselnutzung SIGN\$1VERIFY lautet. 

Verwenden Sie die folgende Anleitung, um zu bestimmen, welchen Typ von KMS-Schlüssel Sie für Ihren Anwendungsfall benötigen.

**Verschlüsseln und Entschlüsseln von Daten**  
Verwenden Sie einen [symmetrischen KMS-Schlüssel](symm-asymm-choose-key-spec.md#symmetric-cmks) für die meisten Anwendungsfälle, bei denen Daten verschlüsselt und entschlüsselt werden müssen. Der symmetrische Verschlüsselungsalgorithmus, den AWS KMS verwendet, ist schnell, effizient und gewährleistet die Vertraulichkeit und Authentizität von Daten. Er unterstützt authentifizierte Verschlüsselung mit zusätzlichen authentifizierten Daten (AAD), die als [Verschlüsselungskontext](encrypt_context.md) definiert sind. Bei dieser Art von KMS-Schlüssel müssen sowohl der Absender als auch der Empfänger verschlüsselter Daten über gültige AWS Anmeldeinformationen für den Anruf AWS KMS verfügen.  
Wenn Ihr Anwendungsfall eine Verschlüsselung außerhalb AWS von Benutzern erfordert, die nicht anrufen können AWS KMS, sind [asymmetrische KMS-Schlüssel](symmetric-asymmetric.md) eine gute Wahl. Sie können den öffentlichen Schlüssel des asymmetrischen KMS-Schlüssels verteilen, damit diese Benutzer Daten verschlüsseln können. Ihre Anwendungen, die diese Daten entschlüsseln müssen, können den privaten Schlüssel des asymmetrischen KMS-Schlüssels innerhalb von AWS KMS verwenden.

**Signieren von Nachrichten und Verifizieren von Signaturen**  
Um Nachrichten zu signieren und Signaturen zu überprüfen, müssen Sie einen [asymmetrischen KMS-Schlüssel](symmetric-asymmetric.md) verwenden. Sie können einen KMS-Schlüssel mit einer [Schlüsselspezifikation](symm-asymm-choose-key-spec.md) verwenden, die ein RSA-Schlüsselpaar, ein ECC-Schlüsselpaar (Elliptic Curve), ein ML-DSA-Schlüsselpaar oder ein SM2 key pair (nur Regionen China) darstellt. Die ausgewählte Schlüsselspezifikation wird durch den Signaturalgorithmus bestimmt, den Sie verwenden möchten. Die ECDSA-Signaturalgorithmen, die von ECC-Schlüsselpaaren unterstützt werden, sind den RSA-Signaturalgorithmen vorzuziehen. Verwenden Sie ein ML-DSA-Schlüsselpaar, wenn Sie von RSA- oder ECC-Schlüsseln zu Post-Quantum-Schlüsseln migrieren. Möglicherweise müssen Sie jedoch eine bestimmte Schlüsselspezifikation und einen bestimmten Signaturalgorithmus verwenden, um Benutzer zu unterstützen, die Signaturen außerhalb von AWSüberprüfen.

**Verschlüsseln Sie mit asymmetrischen Schlüsselpaaren**  
Um Daten mit einem asymmetrischen key pair zu verschlüsseln, müssen Sie einen [asymmetrischen KMS-Schlüssel mit einer RSA-Schlüsselspezifikation](symmetric-asymmetric.md) [oder einer SM2 Schlüsselspezifikation](symm-asymm-choose-key-spec.md#key-spec-rsa-encryption) [verwenden (nur Regionen China)](symm-asymm-choose-key-spec.md#key-spec-sm). Um Daten in AWS KMS mit dem öffentlichen Schlüssel eines KMS-Schlüsselpaars zu verschlüsseln, verwenden Sie die [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)-Operation. Sie können [den öffentlichen Schlüssel auch herunterladen und ihn mit den](download-public-key.md) Parteien teilen, die Daten außerhalb von verschlüsseln müssen. AWS KMS  
Wenn Sie den öffentlichen Schlüssel eines asymmetrischen KMS-Schlüssels herunterladen, können Sie ihn außerhalb von AWS KMS verwenden. Er unterliegt jedoch nicht mehr den Sicherheitskontrollen, die den KMS-Schlüssel schützen. AWS KMS Sie können beispielsweise keine AWS KMS Schlüsselrichtlinien oder Zuschüsse verwenden, um die Verwendung des öffentlichen Schlüssels zu kontrollieren. Mit den AWS KMS unterstützten Verschlüsselungsalgorithmen können Sie auch nicht kontrollieren, ob der Schlüssel nur für die Verschlüsselung und Entschlüsselung verwendet wird. Weitere Informationen finden Sie unter [Besondere Überlegungen zum Herunterladen öffentlicher Schlüssel](offline-public-key.md#download-public-key-considerations).  
Um Daten zu entschlüsseln, die mit dem öffentlichen Schlüssel außerhalb von verschlüsselt wurden AWS KMS, rufen Sie den Vorgang [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) auf. Der `Decrypt` Vorgang schlägt fehl, wenn die Daten unter einem öffentlichen Schlüssel aus einem KMS-Schlüssel mit der Schlüsselverwendung von verschlüsselt wurden. `SIGN_VERIFY` Der Vorgang schlägt auch fehl, wenn er mit einem Algorithmus verschlüsselt wurde, der die von Ihnen gewählte Schlüsselspezifikation AWS KMS nicht unterstützt. Weitere Informationen zu wichtigen Spezifikationen und unterstützten Algorithmen finden Sie unter[Referenz zu wichtigen Spezifikationen](symm-asymm-choose-key-spec.md).  
Um diese Fehler zu vermeiden, AWS KMS muss jeder, der einen öffentlichen Schlüssel außerhalb von verwendet, die Schlüsselkonfiguration speichern. Die AWS KMS Konsole und die [GetPublicKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetPublicKey.html)Antwort enthalten die Informationen, die Sie angeben müssen, wenn Sie den öffentlichen Schlüssel teilen.

**Leitet gemeinsame Geheimnisse ab**  
Um gemeinsame Geheimnisse abzuleiten, verwenden Sie einen KMS-Schlüssel mit [elliptischer Kurve nach NIST-Standard](symm-asymm-choose-key-spec.md#key-spec-ecc) oder Schlüsselmaterial [SM2](symm-asymm-choose-key-spec.md#key-spec-sm)(nur Regionen China). AWS KMS verwendet den [Elliptic Curve Cryptography Cofactor Diffie-Hellman Primitive](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-56Ar3.pdf#page=60) (ECDH), um eine wichtige Vereinbarung zwischen zwei Peers herzustellen, indem ein gemeinsames Geheimnis aus ihren öffentlich-privaten Schlüsselpaaren mit elliptischer Kurve abgeleitet wird. Sie können den unverarbeiteten gemeinsamen geheimen Schlüssel, den der [ DeriveSharedSecret](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret.html)Vorgang zurückgibt, verwenden, um einen symmetrischen Schlüssel abzuleiten, der Daten, die zwischen zwei Parteien gesendet werden, ver- und entschlüsseln oder generieren und verifizieren kann. HMACs AWS KMS empfiehlt, dass Sie die [Empfehlungen von NIST zur Schlüsselableitung befolgen, wenn Sie das unformatierte gemeinsame geheime Geheimnis zur Ableitung](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-56Cr2.pdf) eines symmetrischen Schlüssels verwenden.

**Generieren und überprüfen von HMAC-Codes.**  
Verwenden Sie einen HMAC-KMS-Schlüssel, um Hash-basierte Nachrichtenauthentifizierungscodes zu generieren und zu überprüfen. Wenn Sie einen HMAC-Schlüssel erstellen AWS KMS, AWS KMS erstellt und schützt es Ihr Schlüsselmaterial und stellt sicher, dass Sie die richtigen MAC-Algorithmen für Ihren Schlüssel verwenden. HMAC-Codes können auch als Pseudozufallszahlen und in bestimmten Szenarien zum symmetrischen Signieren und Tokenisieren verwendet werden.  
HMAC-KMS-Schlüssel sind symmetrische Schlüssel. Beim Erstellen eines HMAC-KMS-Schlüssels in der AWS KMS -Konsole wählen Sie den Schlüsseltyp `Symmetric`.

**Zusammen mit AWS Diensten verwenden**  <a name="cmks-aws-service"></a>
Informationen zum Erstellen eines KMS-Schlüssels für die Verwendung mit einem [AWS Dienst, der in integriert ist AWS KMS](service-integration.md), finden Sie in der Dokumentation des Dienstes. AWS Dienste, die Ihre Daten verschlüsseln, benötigen einen [symmetrischen KMS-Schlüssel](symm-asymm-choose-key-spec.md#symmetric-cmks).

Zusätzlich zu diesen Überlegungen haben kryptografische Operationen zu KMS-Schlüsseln mit unterschiedlichen Schlüsselspezifikationen unterschiedliche Preise und unterschiedliche Anforderungskontingente. Informationen zu AWS KMS -Preisen erhalten Sie unter [AWS Key Management Service Pricing](https://aws.amazon.com/kms/pricing/) (Preise für WAF). Weitere Informationen zu Anforderungskontingenten finden Sie unter [Anforderungskontingente](requests-per-second.md).

# Erstellen Sie einen KMS-Schlüssel für die symmetrische Verschlüsselung
<a name="create-symmetric-cmk"></a>

In diesem Thema wird erklärt, wie Sie den grundlegenden KMS-Schlüssel erstellen, einen [KMS-Schlüssel mit symmetrischer Verschlüsselung](symm-asymm-choose-key-spec.md#symmetric-cmks) für eine einzelne Region mit Schlüsselmaterial von. AWS KMS Sie können diesen KMS-Schlüssel verwenden, um Ihre Ressourcen in einer AWS-Service zu schützen.

[Sie können KMS-Schlüssel mit symmetrischer Verschlüsselung in der AWS KMS Konsole, mithilfe der [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API oder mithilfe der AWS::KMS::Key CloudFormation Vorlage erstellen.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) 

Die Standard-Schlüsselspezifikation, [SYMMETRIC\$1DEFAULT](symm-asymm-choose-key-spec.md#symmetric-cmks), ist die Schlüsselspezifikation für KMS-Schlüssel mit symmetrischer Verschlüsselung. Wenn Sie in der Konsole den **symmetrischen** Schlüsseltyp und die Verwendung des Schlüssels **Verschlüsseln und Entschlüsseln** auswählen, wird die Schlüsselspezifikation ausgewählt. AWS KMS `SYMMETRIC_DEFAULT` Wenn Sie bei der [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Operation keinen `KeySpec` Wert angeben, wird SYMMETRIC\$1DEFAULT ausgewählt. Wenn Sie keinen Grund haben, eine andere Schlüsselspezifikation zu verwenden, ist SYMMETRIC\$1DEFAULT eine gute Wahl.

Weitere Informationen zu Kontingenten, die für KMS-Schlüssel gelten, finden Sie unter [Kontingente](limits.md).

## Verwenden der Konsole AWS KMS
<a name="create-keys-console"></a>

Sie können das AWS-Managementkonsole zum Erstellen AWS KMS keys (KMS-Schlüssel) verwenden.

**Wichtig**  
Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Alias, in der Beschreibung oder in den Tags auf. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.

1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**.

1. Klicken Sie auf **Create key**.

1. Um einen KMS-Schlüssel mit symmetrischer Verschlüsselung zu erstellen, wählen Sie für **Key type** (Schlüsseltyp) die Option **Symmetric** (Symmetrisch) aus.

1. Unter **Key usage** (Schlüsselverwendung) ist die Option **Encrypt and decrypt** (Verschlüsseln und Entschlüsseln) für Sie ausgewählt.

1. Wählen Sie **Weiter** aus.

1. Geben Sie einen Alias für den Replikatschlüssel ein. Der Aliasname darf nicht mit **aws/** beginnen. Das **aws/** Präfix ist von Amazon Web Services für die Darstellung Von AWS verwaltete Schlüssel in Ihrem Konto reserviert.
**Anmerkung**  
Wenn Sie einen Alias hinzufügen, löschen oder aktualisieren, wird dadurch möglicherweise eine Berechtigung für den KMS-Schlüssel erteilt oder verweigert. Details dazu finden Sie unter [ABAC für AWS KMS](abac.md) und [Verwenden Sie Aliase, um den Zugriff auf KMS-Schlüssel zu steuern](alias-authorization.md).

    Ein Alias ist ein Anzeigename, den Sie verwenden können, um einen KMS-Schlüssel zu identifizieren. Wir empfehlen, dass Sie einen Alias wählen, der auf die Art von Daten, die Sie schützen möchten, oder die Anwendung, die Sie mit dem KMS-Schlüssel verwenden möchten, hindeutet. 

    

    Zum Erstellen eines KMS-Schlüssels in der Konsole benötigen Sie Aliase AWS-Managementkonsole. Sie sind optional, wenn Sie den [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgang verwenden. 

1. (Optional) Geben Sie eine Beschreibung für den KMS-Schlüssel ein.

   Sie können jetzt eine Beschreibung hinzufügen oder sie jederzeit aktualisieren, es sei denn, der [Schlüsselstatus](key-state.md) lautet `Pending Deletion` oder `Pending Replica Deletion`. Um die Beschreibung eines vorhandenen, vom Kunden verwalteten Schlüssels hinzuzufügen, zu ändern oder zu löschen, bearbeiten Sie die Beschreibung auf der Detailseite des KMS-Schlüssels AWS-Managementkonsole oder verwenden Sie den [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)Vorgang.

1. (Optional) Geben Sie einen Tag-Schlüssel und einen optionalen Tag-Wert ein. Wählen Sie **Add tag (Tag hinzufügen)**, wenn Sie mehr als ein Tag zum KMS-Schlüssel hinzufügen möchten.
**Anmerkung**  
Wenn Sie einen KMS-Schlüssel markieren oder entmarkieren, wird dadurch möglicherweise die Berechtigung für den KMS-Schlüssel erteilt oder verweigert. Details dazu finden Sie unter [ABAC für AWS KMS](abac.md) und [Verwenden Sie Tags, um den Zugriff auf KMS-Schlüssel zu steuern](tag-authorization.md).

   Wenn Sie Ihren AWS Ressourcen Tags hinzufügen, AWS wird ein Kostenverteilungsbericht generiert, in dem die Nutzung und die Kosten nach Stichwörtern zusammengefasst sind. Markierungen können auch verwendet werden, um den Zugriff auf einen KMS-Schlüssel zu steuern. Weitere Informationen über das Markieren von KMS-Schlüsseln finden Sie unter [Schlagworte in AWS KMS](tagging-keys.md) und [ABAC für AWS KMS](abac.md). 

1. Wählen Sie **Weiter** aus.

1. Wählen Sie die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel verwalten können.
**Hinweise**  
Diese Schlüsselrichtlinie ermöglicht die AWS-Konto vollständige Kontrolle über diesen KMS-Schlüssel. Kontoadministratoren können damit anderen Prinzipalen mithilfe von IAM-Richtlinien die Berechtigung zum Verwalten des KMS-Schlüssels erteilen. Details hierzu finden Sie unter [Standardschlüsselrichtlinie](key-policy-default.md).  
Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.  
Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter der Anweisungs-ID wichtige Administratoren hinzu`"Allow access for Key Administrators"`. Eine Änderung dieser Anweisungs-ID kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Anweisung vornehmen.

1. (Optional) Um zu verhindern, dass die ausgewählten IAM-Benutzer und -Rollen diesen KMS-Schlüssel löschen, deaktivieren Sie unten auf der Seite im Abschnitt **Key deletion (Schlüssellöschung)** das Kontrollkästchen **Allow key administrators to delete this key (Administratoren erlauben, diesen Schlüssel zu löschen)**.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel für [kryptographische Operationen](kms-cryptography.md#cryptographic-operations) verwenden können
**Hinweise**  
Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.  
Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter den Anweisungskennungen `"Allow use of the key"` und `"Allow attachment of persistent resources"` wichtige Benutzer hinzu. Das Ändern dieser Anweisungskennungen kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Aussage vornehmen.

1. (Optional) Sie können anderen erlauben, diesen KMS-Schlüssel für kryptografische Operationen AWS-Konten zu verwenden. Wählen Sie dazu unten auf der Seite im AWS-Konten Abschnitt **Andere** die Option Weiteres **hinzufügen** aus AWS-Konto und geben Sie die AWS-Konto Identifikationsnummer eines externen Kontos ein. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.
**Anmerkung**  
Um auch Prinzipalen aus den externen Konten Zugriff auf den KMS-Schlüssel zu erlauben, müssen die Administratoren der externen Konten IAM-Richtlinien erstellen, die diese Berechtigungen bereitstellen. Weitere Informationen finden Sie unter [Benutzern in anderen Konten die Verwendung des KMS-Schlüssels erlauben](key-policy-modifying-external-accounts.md).

1. Wählen Sie **Weiter** aus.

1. Lesen Sie die wichtigsten Grundsatzerklärungen für den Schlüssel. Um Änderungen an der wichtigsten Richtlinie vorzunehmen, wählen Sie **Bearbeiten** aus.

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.

1. Wählen Sie **Finish (fertigstellen)** aus, um den KMS-Schlüssel zu erstellen.

## Verwenden der AWS KMS API
<a name="create-keys-api"></a>

Sie können den [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgang verwenden, um alle AWS KMS keys Typen zu erstellen. In diesen Beispielen wird das [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet. Beispiele in verschiedenen Programmiersprachen finden Sie unter [Verwendung `CreateKey` mit einem AWS SDK oder CLI](example_kms_CreateKey_section.md).

**Wichtig**  
Geben Sie keine vertraulichen oder sensiblen Informationen in die Felder `Description` oder `Tags` ein. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben im Klartext vorkommen.

Der folgende Vorgang erstellt einen symmetrischen Verschlüsselungsschlüssel in einer einzelnen Region, der durch Schlüsselmaterial unterstützt wird, das von AWS KMS generiert wurde. Diese Produktion hat keine erforderlichen Parameter. Gegebenenfalls können Sie auch mit dem Parameter `Policy` eine Schlüsselrichtlinie angeben. Sie können die Schlüsselrichtlinie ([PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)) jederzeit ändern und optionale Elemente wie eine [Beschreibung](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) und [Tags](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) hinzufügen. Darüber hinaus können Sie [Asymmetrische Schlüssel](asymm-create-key.md#create-asymmetric-keys-api), [Schlüssel zu mehreren Regionen](create-primary-keys.md), Schlüssel mit [Importiertes Schlüsselmaterial](importing-keys-create-cmk.md#importing-keys-create-cmk-api) und Schlüssel in [Custom Key Store](create-cmk-keystore.md#create-cmk-keystore-api) erstellen. Verwenden Sie den Vorgang, um Datenschlüssel für die clientseitige Verschlüsselung zu erstellen. [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)

Bei `CreateKey` diesem Vorgang können Sie keinen Alias angeben, aber Sie können den [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)Vorgang verwenden, um einen Alias für Ihren neuen KMS-Schlüssel zu erstellen.

Es folgt ein Beispiel für einen Aufruf der Produktion `CreateKey` ohne Parameter. Dieser Befehl verwendet alle Standardwerte. Es erstellt einen KMS-Schlüssel mit symmetrischer Verschlüsselung zum Verschlüsseln und Entschlüsseln mit von AWS KMS generiertem Schlüsselmaterial.

```
$ aws kms create-key
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "MultiRegion": false
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
    }
}
```

Wenn Sie keine Schlüsselrichtlinie für Ihren neuen KMS-Schlüssel angeben, unterscheidet sich die [Standard-Schlüsselrichtlinie](key-policy-default.md), die `CreateKey` verwendet, von der Standard-Schlüsselrichtlinie, die die Konsole anwendet, wenn Sie einen neuen KMS-Schlüssel erstellen. 

Bei diesem Aufruf des [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)Vorgangs wird beispielsweise die geltende Schlüsselrichtlinie zurückgegeben. `CreateKey` Sie gewährt AWS-Konto Zugriff auf den KMS-Schlüssel und ermöglicht das Erstellen von AWS Identity and Access Management (IAM-) Richtlinien für den KMS-Schlüssel. Detaillierte Informationen zu IAM-Richtlinien und Schlüsselrichtlinien für KMS-Schlüssel finden Sie unter [KMS-Schlüsselzugriff und -berechtigungen](control-access.md)

```
$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text
```

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id" : "key-default-1",
  "Statement" : [ {
    "Sid" : "EnableIAMUserPermissions",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : "kms:*",
    "Resource" : "*"
  } ]
}
```

------

# Erstellen eines asymmetrischen KMS-Schlüssels
<a name="asymm-create-key"></a>

[Sie können [asymmetrische KMS-Schlüssel](symmetric-asymmetric.md) in der AWS KMS Konsole, mithilfe der [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API oder mithilfe der AWS::KMS::Key CloudFormation Vorlage erstellen.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) Ein asymmetrischer KMS-Schlüssel stellt ein öffentliches und privates key pair dar, das zum Verschlüsseln, Signieren oder Ableiten gemeinsamer Geheimnisse verwendet werden kann. Der private Schlüssel verbleibt drinnen. AWS KMS Informationen zum Herunterladen des öffentlichen Schlüssels zur Verwendung außerhalb von AWS KMS finden Sie unter[Laden Sie den öffentlichen Schlüssel herunter](download-public-key.md).

Wenn Sie einen asymmetrischen KMS-Schlüssel erstellen, müssen Sie eine Schlüsselspezifikation auswählen. Häufig wird die von Ihnen ausgewählte Schlüsselspezifikation durch gesetzliche, Sicherheits- oder geschäftliche Anforderungen bestimmt. Sie kann auch von der Größe der Nachrichten beeinflusst werden, die Sie verschlüsseln oder signieren müssen. Im Allgemeinen sind längere Verschlüsselungsschlüssel Brute-Force-Angriffen gegenüber weniger anfällig. Eine ausführliche Beschreibung aller unterstützten Schlüsselspezifikationen finden Sie unter. [Referenz zu wichtigen Spezifikationen](symm-asymm-choose-key-spec.md)

AWS Dienste, die in integriert sind, unterstützen AWS KMS keine asymmetrischen KMS-Schlüssel. Wenn Sie einen KMS-Schlüssel erstellen möchten, der Daten verschlüsselt, die Sie in einem AWS Dienst speichern oder verwalten, [erstellen Sie einen KMS-Schlüssel mit symmetrischer Verschlüsselung](create-symmetric-cmk.md). 

Weitere Informationen über die Berechtigungen, die zum Erstellen von KMS-Schlüsseln erforderlich sind, finden Sie unter [Berechtigungen zum Erstellen von KMS-Schlüsseln](create-keys.md#create-key-permissions).

## Verwenden der Konsole AWS KMS
<a name="create-asymmetric-keys-console"></a>

Sie können das verwenden AWS-Managementkonsole , um asymmetrische AWS KMS keys (KMS-Schlüssel) zu erstellen. Jeder asymmetrische KMS-Schlüssel repräsentiert ein Schlüsselpaar aus einem öffentlichen und einem privaten Schlüssel.

**Wichtig**  
Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Alias, in der Beschreibung oder in den Tags auf. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.

1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**.

1. Klicken Sie auf **Create key**.

1. Um einen asymmetrischen KMS-Schlüssel zu erstellen, wählen Sie unter **Key type (Schlüsseltyp)** die Option **Asymmetric (Asymmetrisch)** aus.

1. Um einen asymmetrischen KMS-Schlüssel für die Verschlüsselung öffentlicher Schlüssel zu erstellen, wählen Sie unter **Key usage (Schlüsselnutzung)** **Encrypt and decrypt (Verschlüsseln und Entschlüsseln)** aus. 

   **Um einen asymmetrischen KMS-Schlüssel zum Signieren von Nachrichten und Überprüfen von Signaturen zu erstellen, wählen Sie unter **Schlüsselverwendung** die Option Signieren und überprüfen aus.**

   **Um einen asymmetrischen KMS-Schlüssel zum Ableiten gemeinsamer geheimer Schlüssel zu erstellen, wählen Sie unter **Schlüsselverwendung die Option Schlüsselvereinbarung** aus.**

   Hilfe bei der Auswahl eines Schlüsselnutzungswerts finden Sie unter [Wählen Sie aus, welche Art von KMS-Schlüssel erstellt werden soll](create-keys.md#symm-asymm-choose).

1. Wählen Sie eine Spezifikation (**Key spec (Schlüsselspezifikation)**) für Ihren asymmetrischen KMS-Schlüssel aus. 

1. Wählen Sie **Weiter** aus.

1. Geben Sie einen [Alias](kms-alias.md) für den KMS-Schlüssel ein. Der Aliasname darf nicht mit **aws/** beginnen. Das Präfix **aws/** ist von Amazon Web Services reserviert und steht für Von AWS verwaltete Schlüssel in Ihrem Konto.

   Ein *Alias* ist ein benutzerfreundlicher Name, mit dem Sie den KMS-Schlüssel in der Konsole und in einigen Konsolen identifizieren können. AWS KMS APIs Wir empfehlen, dass Sie einen Alias wählen, der auf die Art von Daten, die Sie schützen möchten, oder die Anwendung, die Sie mit dem KMS-Schlüssel verwenden möchten, hindeutet. 

   Zum Erstellen eines KMS-Schlüssels in der Konsole benötigen Sie Aliase AWS-Managementkonsole. Sie können keinen Alias angeben, wenn Sie den [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgang verwenden, aber Sie können die Konsole oder den [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)Vorgang verwenden, um einen Alias für einen vorhandenen KMS-Schlüssel zu erstellen. Details hierzu finden Sie unter [Aliase in AWS KMS](kms-alias.md).

1. (Optional) Geben Sie eine Beschreibung für den KMS-Schlüssel ein.

   Geben Sie eine Beschreibung ein, die die Art von Daten, die Sie schützen möchten, oder die Anwendung, die Sie mit dem KMS-Schlüssel verwenden möchten, erklärt.

   Sie können jetzt eine Beschreibung hinzufügen oder sie jederzeit aktualisieren, es sei denn, der [Schlüsselstatus](key-state.md) lautet `Pending Deletion` oder `Pending Replica Deletion`. Um die Beschreibung eines vorhandenen, vom Kunden verwalteten Schlüssels hinzuzufügen, zu ändern oder zu löschen, bearbeiten Sie die Beschreibung auf der Detailseite für den KMS-Schlüssel im AWS-Managementkonsole oder verwenden Sie den [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)Vorgang.

1. (Optional) Geben Sie einen Tag-Schlüssel und einen optionalen Tag-Wert ein. Wählen Sie **Add tag (Tag hinzufügen)**, wenn Sie mehr als ein Tag zum KMS-Schlüssel hinzufügen möchten.

   Wenn Sie Ihren AWS Ressourcen Tags hinzufügen, AWS wird ein Kostenverteilungsbericht generiert, in dem die Nutzung und die Kosten nach Stichwörtern zusammengefasst sind. Markierungen können auch verwendet werden, um den Zugriff auf einen KMS-Schlüssel zu steuern. Weitere Informationen über das Markieren von KMS-Schlüsseln finden Sie unter [Schlagworte in AWS KMS](tagging-keys.md) und [ABAC für AWS KMS](abac.md). 

1. Wählen Sie **Weiter** aus.

1. Wählen Sie die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel verwalten können.
**Hinweise**  
Diese Schlüsselrichtlinie ermöglicht die AWS-Konto vollständige Kontrolle über diesen KMS-Schlüssel. Kontoadministratoren können damit anderen Prinzipalen mithilfe von IAM-Richtlinien die Berechtigung zum Verwalten des KMS-Schlüssels erteilen. Details hierzu finden Sie unter [Standardschlüsselrichtlinie](key-policy-default.md).  
Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.  
Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter der Anweisungs-ID wichtige Administratoren hinzu`"Allow access for Key Administrators"`. Eine Änderung dieser Anweisungs-ID kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Anweisung vornehmen.

1. (Optional) Um zu verhindern, dass die ausgewählten IAM-Benutzer und -Rollen diesen KMS-Schlüssel löschen, deaktivieren Sie unten auf der Seite im Abschnitt **Key deletion (Schlüssellöschung)** das Kontrollkästchen **Allow key administrators to delete this key (Administratoren erlauben, diesen Schlüssel zu löschen)**.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel für [kryptographische Operationen](kms-cryptography.md#cryptographic-operations) verwenden können.
**Hinweise**  
Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.  
Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter den Anweisungskennungen `"Allow use of the key"` und `"Allow attachment of persistent resources"` wichtige Benutzer hinzu. Das Ändern dieser Anweisungskennungen kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Aussage vornehmen.

1. (Optional) Sie können anderen erlauben, diesen KMS-Schlüssel für kryptografische Operationen AWS-Konten zu verwenden. Wählen Sie dazu im Abschnitt **Other AWS-Konten(Andere Konten)** unten auf der Seite die Option **Add another AWS-Konto(Weiteres Konto hinzufügen)** und geben Sie die AWS-Konto -ID eines externen Kontos ein. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.
**Anmerkung**  
Um auch Prinzipalen aus den externen Konten Zugriff auf den KMS-Schlüssel zu erlauben, müssen die Administratoren der externen Konten IAM-Richtlinien erstellen, die diese Berechtigungen bereitstellen. Weitere Informationen finden Sie unter [Benutzern in anderen Konten die Verwendung des KMS-Schlüssels erlauben](key-policy-modifying-external-accounts.md).

1. Wählen Sie **Weiter** aus.

1. Lesen Sie die wichtigsten Richtlinienerklärungen für den Schlüssel. Um Änderungen an der wichtigsten Richtlinie vorzunehmen, wählen Sie **Bearbeiten** aus.

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.

1. Wählen Sie **Finish (fertigstellen)** aus, um den KMS-Schlüssel zu erstellen.

## Verwenden der AWS KMS API
<a name="create-asymmetric-keys-api"></a>

Sie können die [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Operation verwenden, um eine Asymmetrie AWS KMS key zu erstellen. Für diese Beispiele wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen. 

Wenn Sie einen asymmetrischen KMS-Schlüssel erstellen, müssen Sie den `KeySpec`-Parameter angeben, der den Typ der von Ihnen erstellten Schlüssel bestimmt. Außerdem müssen Sie den `KeyUsage` Wert ENCRYPT\$1DECRYPT, SIGN\$1VERIFY oder KEY\$1AGREEMENT angeben. Diese Eigenschaften können nicht geändert werden, nachdem der KMS-Schlüssel erstellt wurde.

Bei diesem `CreateKey` Vorgang können Sie keinen Alias angeben, aber Sie können den [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)Vorgang verwenden, um einen Alias für Ihren neuen KMS-Schlüssel zu erstellen.

**Wichtig**  
Geben Sie keine vertraulichen oder sensiblen Informationen in die Felder `Description` oder `Tags` ein. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.

**Erstellen Sie ein asymmetrisches KMS-Schlüsselpaar für die öffentliche Verschlüsselung**  
Im folgenden Beispiel wird die `CreateKey`-Produktion verwendet, um einen asymmetrischen KMS-Schlüssel von 4096-Bit-RSA-Schlüsseln für die Verschlüsselung öffentlicher Schlüssel zu erstellen.

```
$ aws kms create-key --key-spec RSA_4096 --key-usage ENCRYPT_DECRYPT
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1569973196.214,
        "MultiRegion": false,
        "KeySpec": "RSA_4096",
        "CustomerMasterKeySpec": "RSA_4096",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "EncryptionAlgorithms": [
            "RSAES_OAEP_SHA_1",
            "RSAES_OAEP_SHA_256"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}
```

**Erstellen Sie ein asymmetrisches KMS-Schlüsselpaar zum Signieren und Überprüfen**  
Der folgende Beispielbefehl erstellt einen asymmetrischen KMS-Schlüssel, der ein Paar von ECC-Schlüsseln darstellt, die zum Signieren und Überprüfen verwendet werden. Sie können kein Elliptic Curve-Schlüsselpaar für die Verschlüsselung und Entschlüsselung erstellen.

```
$ aws kms create-key --key-spec ECC_NIST_P521 --key-usage SIGN_VERIFY
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1570824817.837,
        "Origin": "AWS_KMS",
        "SigningAlgorithms": [
            "ECDSA_SHA_512"
        ],
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "AWSAccountId": "111122223333",
        "KeySpec": "ECC_NIST_P521",
        "CustomerMasterKeySpec": "ECC_NIST_P521",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Enabled": true,
        "MultiRegion": false,
        "KeyUsage": "SIGN_VERIFY"
    }
}
```

**Erstellen Sie ein asymmetrisches KMS-Schlüsselpaar zum Ableiten gemeinsamer Geheimnisse**  
Der folgende Beispielbefehl erstellt einen asymmetrischen KMS-Schlüssel, der ein Paar von ECDH-Schlüsseln darstellt, die zum Ableiten von gemeinsamen Geheimnissen verwendet werden. Sie können kein Elliptic Curve-Schlüsselpaar für die Verschlüsselung und Entschlüsselung erstellen.

```
$ aws kms create-key --key-spec ECC_NIST_P256 --key-usage KEY_AGREEMENT
{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": "2023-12-27T19:10:15.063000+00:00",
        "Enabled": true,
        "Description": "",
        "KeyUsage": "KEY_AGREEMENT",
        "KeyState": "Enabled",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "ECC_NIST_P256",
        "KeySpec": "ECC_NIST_P256",
        "KeyAgreementAlgorithms": [
            "ECDH"
        ],
        "MultiRegion": false
    }
}
```

# Erstellen Sie einen HMAC-KMS-Schlüssel
<a name="hmac-create-key"></a>

[Sie können HMAC-KMS-Schlüssel in der AWS KMS Konsole, mithilfe der [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API oder mithilfe der AWS::KMS::Key CloudFormation Vorlage erstellen.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html)

Wenn Sie einen HMAC-KMS-Schlüssel erstellen, müssen Sie eine Schlüsselspezifikation auswählen. AWS KMS unterstützt mehrere [Schlüsselspezifikationen für HMAC-KMS-Schlüssel](symm-asymm-choose-key-spec.md#hmac-key-specs). Die von Ihnen ausgewählte Schlüsselspezifikation wird möglicherweise durch gesetzliche, Sicherheits- oder geschäftliche Anforderungen bestimmt. Im Allgemeinen sind längere Schlüssel Brute-Force-Angriffen gegenüber weniger anfällig.

Weitere Informationen über die Berechtigungen, die zum Erstellen von KMS-Schlüsseln erforderlich sind, finden Sie unter [Berechtigungen zum Erstellen von KMS-Schlüsseln](create-keys.md#create-key-permissions).

## Verwenden der Konsole AWS KMS
<a name="create-hmac-key-console"></a>

Sie können den verwenden AWS-Managementkonsole , um HMAC-KMS-Schlüssel zu erstellen. HMAC-KMS-Schlüssel sind symmetrische Schlüssel mit einer Schlüsselverwendung von **Generate and verify MAC** (MAC generieren und überprüfen). Sie können auch multiregionale HMAC-KMS-Schlüssel erstellen. 

1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**.

1. Klicken Sie auf **Create key**.

1. Wählen Sie für **Key type (Schlüsseltyp)** **Symmetric (Symmetrisch)**.

   HMAC-KMS-Schlüssel sind symmetrisch. Sie verwenden denselben Schlüssel, um HMAC-Tags zu generieren und zu überprüfen.

1. Wählen Sie für **Schlüsselverwendung** **Generate and verify MAC** (MAC Generieren und überprüfen) aus.

   MAC generieren und überprüfen ist die einzig gültige Schlüsselverwendung für HMAC-KMS-Schlüssel.
**Anmerkung**  
**Key usage** (Schlüsselverwendung) wird für symmetrische Schlüssel nur angezeigt, wenn HMAC-KMS-Schlüssel in Ihrer ausgewählten Region unterstützt werden.

1. Wählen Sie eine Spezifikation (**Key spec** (Schlüsselspezifikation)) für Ihren HMAC-KMS-Schlüssel aus. 

   Die von Ihnen ausgewählte Schlüsselspezifikation kann möglicherweise durch gesetzliche, Sicherheits- oder geschäftliche Anforderungen bestimmt werden. Im Allgemeinen sind längere Schlüssel sicherer.

1. Um einen [multiregionalen](multi-region-keys-overview.md) *primären* HMAC-Schlüssel zu erstellen, wählen Sie unter **Advanced Options** (Advanced Optionen) **Multi-Region key** (Multiregionaler Schlüssel) aus. Die [freigegebenen Eigenschaften](multi-region-keys-overview.md#mrk-sync-properties), die Sie für diesen KMS-Schlüssel definieren, wie z. B. den Schlüsseltyp und die Schlüsselverwendung, wird mit seinen Replikatschlüsseln geteilt.

   Sie können dieses Verfahren nicht verwenden, um einen Replikatschlüssel zu erstellen. Um einen multiregionalen *Replikat*-HMAC-Schlüssel, befolgen Sie die [Anweisungen zum Erstellen eines Replikatschlüssels](multi-region-keys-replicate.md).

1. Wählen Sie **Weiter** aus.

1. Geben Sie einen [Alias](kms-alias.md) für den KMS-Schlüssel ein. Der Aliasname darf nicht mit **aws/** beginnen. Das Präfix **aws/** ist von Amazon Web Services reserviert und steht für Von AWS verwaltete Schlüssel in Ihrem Konto.

   Wir empfehlen Ihnen, einen Alias zu verwenden, der den KMS-Schlüssel als HMAC-Schlüssel identifiziert, z. B. `HMAC/test-key`. Auf diese Weise können Sie Ihre HMAC-Schlüssel in der AWS KMS Konsole leichter identifizieren, wo Sie Schlüssel nach Tags und Aliasnamen sortieren und filtern können, aber nicht nach Schlüsselspezifikation oder Schlüsselverwendung.

   Zum Erstellen eines KMS-Schlüssels in der Konsole benötigen Sie Aliase AWS-Managementkonsole. Sie können keinen Alias angeben, wenn Sie den [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgang verwenden, aber Sie können die Konsole oder den [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)Vorgang verwenden, um einen Alias für einen vorhandenen KMS-Schlüssel zu erstellen. Details hierzu finden Sie unter [Aliase in AWS KMS](kms-alias.md).

1. (Optional) Geben Sie eine Beschreibung für den KMS-Schlüssel ein.

   Geben Sie eine Beschreibung ein, die die Art von Daten, die Sie schützen möchten, oder die Anwendung, die Sie mit dem KMS-Schlüssel verwenden möchten, erklärt.

   Sie können jetzt eine Beschreibung hinzufügen oder sie jederzeit aktualisieren, es sei denn, der [Schlüsselstatus](key-state.md) lautet `Pending Deletion` oder `Pending Replica Deletion`. Um die Beschreibung eines vorhandenen, vom Kunden verwalteten Schlüssels hinzuzufügen, zu ändern oder zu löschen, bearbeiten Sie die Beschreibung auf der Detailseite für den KMS-Schlüssel AWS-Managementkonsole im AWS-Managementkonsole oder verwenden Sie den [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)Vorgang.

1. (Optional) Geben Sie einen Tag-Schlüssel und einen optionalen Tag-Wert ein. Wählen Sie **Add tag (Tag hinzufügen)**, wenn Sie mehr als ein Tag zum KMS-Schlüssel hinzufügen möchten.

   Erwägen Sie, ein Tag hinzuzufügen, das den Schlüssel als HMAC-Schlüssel identifiziert, z. B. `Type=HMAC`. Auf diese Weise können Sie Ihre HMAC-Schlüssel in der AWS KMS Konsole leichter identifizieren, wo Sie Schlüssel nach Tags und Aliasnamen sortieren und filtern können, aber nicht nach Schlüsselspezifikation oder Schlüsselverwendung.

   Wenn Sie Ihren AWS Ressourcen Tags hinzufügen, wird ein Kostenverteilungsbericht AWS generiert, in dem die Nutzung und die Kosten nach Stichwörtern zusammengefasst sind. Markierungen können auch verwendet werden, um den Zugriff auf einen KMS-Schlüssel zu steuern. Weitere Informationen über das Markieren von KMS-Schlüsseln finden Sie unter [Schlagworte in AWS KMS](tagging-keys.md) und [ABAC für AWS KMS](abac.md). 

1. Wählen Sie **Weiter** aus.

1. Wählen Sie die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel verwalten können.
**Hinweise**  
Diese Schlüsselrichtlinie ermöglicht die AWS-Konto vollständige Kontrolle über diesen KMS-Schlüssel. Kontoadministratoren können damit anderen Prinzipalen mithilfe von IAM-Richtlinien die Berechtigung zum Verwalten des KMS-Schlüssels erteilen. Details hierzu finden Sie unter [Standardschlüsselrichtlinie](key-policy-default.md).  
Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.  
Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter der Anweisungs-ID wichtige Administratoren hinzu`"Allow access for Key Administrators"`. Eine Änderung dieser Anweisungs-ID kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Anweisung vornehmen.

1. (Optional) Um zu verhindern, dass die ausgewählten IAM-Benutzer und -Rollen diesen KMS-Schlüssel löschen, deaktivieren Sie unten auf der Seite im Abschnitt **Key deletion (Schlüssellöschung)** das Kontrollkästchen **Allow key administrators to delete this key (Administratoren erlauben, diesen Schlüssel zu löschen)**.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel für [kryptographische Operationen](kms-cryptography.md#cryptographic-operations) verwenden können.
**Hinweise**  
Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.  
Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter den Anweisungskennungen `"Allow use of the key"` und `"Allow attachment of persistent resources"` wichtige Benutzer hinzu. Das Ändern dieser Anweisungskennungen kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Aussage vornehmen.

1. (Optional) Sie können anderen erlauben, diesen KMS-Schlüssel für kryptografische Operationen AWS-Konten zu verwenden. Wählen Sie dazu im Abschnitt **Other AWS-Konten(Andere Konten)** unten auf der Seite die Option **Add another AWS-Konto(Weiteres Konto hinzufügen)** und geben Sie die AWS-Konto -ID eines externen Kontos ein. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.
**Anmerkung**  
Um auch Prinzipalen aus den externen Konten Zugriff auf den KMS-Schlüssel zu erlauben, müssen die Administratoren der externen Konten IAM-Richtlinien erstellen, die diese Berechtigungen bereitstellen. Weitere Informationen finden Sie unter [Benutzern in anderen Konten die Verwendung des KMS-Schlüssels erlauben](key-policy-modifying-external-accounts.md).

1. Wählen Sie **Weiter** aus.

1. Lesen Sie die wichtigsten Richtlinienerklärungen für den Schlüssel. Um Änderungen an der wichtigsten Richtlinie vorzunehmen, wählen Sie **Bearbeiten** aus.

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.

1. Wählen Sie **Finish** (fertigstellen) aus, um den HMAC-KMS-Schlüssel zu erstellen.

## Verwenden der AWS KMS API
<a name="create-keys-api"></a>

Sie können den [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgang verwenden, um einen HMAC-KMS-Schlüssel zu erstellen. Für diese Beispiele wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen. 

Wenn Sie einen HMAC-KMS-Schlüssel erstellen, müssen Sie den `KeySpec`-Parameter angeben, der den Typ der von Ihnen erstellten KMS-Schlüssel bestimmt. Außerdem müssen Sie einen `KeyUsage`-Wert von GENERATE\$1VERIFY\$1MAC angeben, obwohl es der einzig gültige Wert für die Schlüsselverwendung für HMAC-Schlüssel ist. Um einen [multiregionalen](multi-region-keys-overview.md) HMAC-KMS-Schlüssel zu erstellen, fügen Sie den `MultiRegion`-Parameter mit einem Wert von `true` hinzu. Diese Eigenschaften können nicht geändert werden, nachdem der KMS-Schlüssel erstellt wurde. 

Bei `CreateKey` diesem Vorgang können Sie keinen Alias angeben, aber Sie können den [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)Vorgang verwenden, um einen Alias für Ihren neuen KMS-Schlüssel zu erstellen. Wir empfehlen Ihnen, einen Alias zu verwenden, der den KMS-Schlüssel als HMAC-Schlüssel identifiziert, z. B. `HMAC/test-key`. Auf diese Weise können Sie Ihre HMAC-Schlüssel in der AWS KMS Konsole leichter identifizieren, wo Sie Schlüssel nach Alias sortieren und filtern können, aber nicht nach Schlüsselspezifikation oder Schlüsselverwendung.

Wenn Sie versuchen, einen HMAC-KMS-Schlüssel in einem zu erstellen, AWS-Region in dem HMAC-Schlüssel nicht unterstützt werden, gibt der Vorgang Folgendes zurück `CreateKey` `UnsupportedOperationException`

Im folgenden Beispiel wird die `CreateKey`-Operation zum Erstellen eines 512-Bit-HMAC-KMS-Schlüssels verwendet.

```
$ aws kms create-key --key-spec HMAC_512 --key-usage GENERATE_VERIFY_MAC
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1669973196.214,
        "MultiRegion": false,
        "KeySpec": "HMAC_512",
        "CustomerMasterKeySpec": "HMAC_512",
        "KeyUsage": "GENERATE_VERIFY_MAC",
        "MacAlgorithms": [
            "HMAC_SHA_512"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}
```

# Primärschlüssel für mehrere Regionen erstellen
<a name="create-primary-keys"></a>

Sie können einen [Primärschlüssel für mehrere Regionen](multi-region-keys-overview.md#mrk-primary-key) in der AWS KMS Konsole oder mithilfe der AWS KMS API erstellen. Sie können den Primärschlüssel überall dort erstellen, AWS-Region wo Schlüssel für mehrere Regionen AWS KMS unterstützt werden.

[Um einen Primärschlüssel mit mehreren Regionen zu erstellen, benötigt der Principal [dieselben Berechtigungen wie für](create-keys.md#create-key-permissions) die Erstellung eines beliebigen KMS-Schlüssels, einschließlich der CreateKey kms-Berechtigung in einer IAM-Richtlinie.](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) Der Principal benötigt außerdem die [iam](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html): -Berechtigung. CreateServiceLinkedRole Sie können den MultiRegionKeyType Bedingungsschlüssel [kms:](conditions-kms.md#conditions-kms-multiregion-key-type) verwenden, um die Erlaubnis zum Erstellen von Primärschlüsseln für mehrere Regionen zuzulassen oder zu verweigern.

**Anmerkung**  
Berücksichtigen Sie bei der Erstellung Ihres Primärschlüssels für mehrere Regionen sorgfältig die IAM-Benutzer und -Rollen, die Sie für die Verwaltung und Verwendung des Schlüssels auswählen. IAM-Richtlinien können anderen IAM-Benutzern und -Rollen die erforderlichen Berechtigungen zum Verwalten des KMS-Schlüssels erteilen.  
Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.

## Verwenden der Konsole AWS KMS
<a name="create-primary-console"></a>

Um einen Primärschlüssel für mehrere Regionen in der AWS KMS Konsole zu erstellen, verwenden Sie dasselbe Verfahren, das Sie für die Erstellung eines beliebigen KMS-Schlüssels verwenden würden. Wählen Sie einen multiregionalen Schlüssel unter **Erweiterte Optionen** aus. Vollständige Anweisungen finden Sie unter [Einen KMS-Schlüssel erstellen](create-keys.md).

**Wichtig**  
Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Alias, in der Beschreibung oder in den Tags auf. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.

1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**.

1. Klicken Sie auf **Create key**.

1. Wählen Sie einen [symmetrischen oder asymmetrischen](symmetric-asymmetric.md) Schlüsseltyp. Symmetrische Schlüssel sind die Standardeinstellung.

   Sie können multiregionale symmetrische und asymmetrische Schlüssel, einschließlich multiregionaler HMAC-KMS-Schlüssel, die symmetrisch sind, erstellen. 

1. Wählen Sie Ihre Schlüsselverwendung aus. **Encrypt and decrypt** (Verschlüsseln und Entschlüsseln) ist die Standardeinstellung.

   Weitere Informationen finden Sie unter [Einen KMS-Schlüssel erstellen](create-keys.md), [Erstellen eines asymmetrischen KMS-Schlüssels](asymm-create-key.md) oder [Erstellen Sie einen HMAC-KMS-Schlüssel](hmac-create-key.md).

1. Erweitern Sie **Advanced options (Erweiterte Optionen)**.

1. **Wählen Sie unter **Herkunft des Schlüsselmaterials** die Option KMS aus, damit das Schlüsselmaterial AWS KMS generiert wird, das Ihre Primär- und Replikatschlüssel gemeinsam nutzen.** Wenn Sie [Schlüsselmaterial](importing-keys-create-cmk.md) in die Primär- oder die Replikatschlüssel importieren, wählen Sie **External** (Extern) aus. 

1. Wählen Sie unter **Regionalität die** Option **Multi-Region-Schlüssel** aus.

   Sie können diese Einstellung nicht ändern, nachdem Sie den KMS-Schlüssel erstellt haben. 

1. Geben Sie einen [Alias](kms-alias.md) für den Primärschlüssel ein. 

   Aliasse sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. Sie können Ihrem Primärschlüssel für mehrere Regionen und seinen Replikaten denselben Alias oder verschiedene Aliase zuweisen. AWS KMS synchronisiert die Aliase von Schlüsseln mit mehreren Regionen nicht.
**Anmerkung**  
Wenn Sie einen Alias hinzufügen, löschen oder aktualisieren, wird dadurch möglicherweise eine Berechtigung für den KMS-Schlüssel erteilt oder verweigert. Details dazu finden Sie unter [ABAC für AWS KMS](abac.md) und [Verwenden Sie Aliase, um den Zugriff auf KMS-Schlüssel zu steuern](alias-authorization.md).

1. (Optional) Geben Sie eine Beschreibung für den Primärschlüssel ein.

   Beschreibungen sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. Sie können Ihrem Primärschlüssel mit mehreren Regionen und seinen Replikaten dieselbe oder unterschiedliche Beschreibungen geben. AWS KMS synchronisiert die Schlüsselbeschreibungen von Schlüsseln mit mehreren Regionen nicht.

1. (Optional) Geben Sie einen Tag-Schlüssel und einen optionalen Tag-Wert ein. Wenn Sie dem Primärschlüssel mehrere Tags zuweisen möchten, wählen Sie **Add tag (Tag hinzufügen)** aus.

   Tags sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. Sie können Ihrem multiregionalen Primärschlüssel und seinen Replikaten dieselben Tags oder verschiedene Tags zuweisen. AWS KMS synchronisiert die Tags von multiregionalen Schlüsseln nicht. Sie können die Tags auf KMS-Schlüssel jederzeit ändern.
**Anmerkung**  
Wenn Sie einen KMS-Schlüssel markieren oder entmarkieren, wird dadurch möglicherweise die Berechtigung für den KMS-Schlüssel erteilt oder verweigert. Details dazu finden Sie unter [ABAC für AWS KMS](abac.md) und [Verwenden Sie Tags, um den Zugriff auf KMS-Schlüssel zu steuern](tag-authorization.md).

1. Wählen Sie die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel verwalten können.
**Hinweise**  
Dieser Schritt startet den Prozess zum Erstellen einer [Schlüsselrichtlinie](key-policies.md) für den Primärschlüssel. Schlüsselrichtlinien sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. Sie können Ihrem Primärschlüssel für mehrere Regionen und seinen Replikaten dieselbe Schlüsselrichtlinie oder unterschiedliche Schlüsselrichtlinien zuweisen. AWS KMS synchronisiert nicht die wichtigsten Richtlinien von Schlüsseln für mehrere Regionen. Sie können die Schlüsselrichtlinie eines KMS-Schlüssels jederzeit ändern.
Wenn Sie einen Primärschlüssel für mehrere Regionen erstellen, sollten Sie die von der [Konsole generierte Standardschlüsselrichtlinie](key-policy-default.md) verwenden. Wenn Sie diese Richtlinie ändern, bietet die Konsole keine Schritte zur Auswahl wichtiger Administratoren und Benutzer bei der Erstellung von Replikatschlüsseln und fügt auch keine entsprechenden Richtlinienerklärungen hinzu. Daher müssen Sie diese manuell hinzufügen.
Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter der Statement-ID wichtige Administratoren hinzu`"Allow access for Key Administrators"`. Eine Änderung dieser Anweisungs-ID kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Anweisung vornehmen.

1. (Optional) Um zu verhindern, dass die ausgewählten IAM-Benutzer und -Rollen diesen KMS-Schlüssel löschen, deaktivieren Sie unten auf der Seite im Abschnitt **Key deletion (Schlüssellöschung)** das Kontrollkästchen **Allow key administrators to delete this key (Administratoren erlauben, diesen Schlüssel zu löschen)**.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel für [kryptographische Operationen](kms-cryptography.md#cryptographic-operations) verwenden können.
**Hinweise**  
Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter den Anweisungskennungen `"Allow use of the key"` und `"Allow attachment of persistent resources"` wichtige Benutzer hinzu. Das Ändern dieser Anweisungskennungen kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Aussage vornehmen.

1. (Optional) Sie können anderen erlauben, diesen KMS-Schlüssel für kryptografische Operationen AWS-Konten zu verwenden. Wählen Sie dazu im Abschnitt **Other AWS-Konten(Andere Konten)** unten auf der Seite die Option **Add another AWS-Konto(Weiteres Konto hinzufügen)** und geben Sie die AWS-Konto -ID eines externen Kontos ein. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.
**Anmerkung**  
Um auch Prinzipalen aus den externen Konten Zugriff auf den KMS-Schlüssel zu erlauben, müssen die Administratoren der externen Konten IAM-Richtlinien erstellen, die diese Berechtigungen bereitstellen. Weitere Informationen finden Sie unter [Benutzern in anderen Konten die Verwendung des KMS-Schlüssels erlauben](key-policy-modifying-external-accounts.md).

1. Wählen Sie **Weiter** aus.

1. Lesen Sie die wichtigsten Richtlinienerklärungen für den Schlüssel. Um Änderungen an der wichtigsten Richtlinie vorzunehmen, wählen Sie **Bearbeiten** aus.

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.

1. Wählen Sie **Fertig stellen**, um den Primärschlüssel für mehrere Regionen zu erstellen.

## Verwenden der API AWS KMS
<a name="create-primary-api"></a>

Verwenden Sie den [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgang, um einen Primärschlüssel für mehrere Regionen zu erstellen. Sie müssen außerdem den `MultiRegion`-Parameter mit dem Wert `True` verwenden.

Der folgende Befehl erstellt beispielsweise einen Primärschlüssel für mehrere Regionen im Aufrufer AWS-Region (us-east-1). Er akzeptiert Standardwerte für alle anderen Eigenschaften, einschließlich der Schlüsselrichtlinie. Die Standardwerte für multiregionale Primärschlüssel sind dieselben wie die Standardwerte für alle anderen KMS-Schlüssel, einschließlich der [Standard-Schlüsselrichtlinie](key-policy-default.md). Dieses Verfahren erstellt einen symmetrischen Verschlüsselungsschlüssel, den Standard-KMS-Schlüssel. 

Die Antwort enthält das `MultiRegion`-Element und das `MultiRegionConfiguration`-Element mit typischen Unterelementen und Werten für einen multiregionalen Primärschlüssel ohne Replikatschlüssel. Die [Schlüssel-ID](concepts.md#key-id-key-id) eines multiregionalen Schlüssels beginnt immer mit `mrk-`.

**Wichtig**  
Geben Sie keine vertraulichen oder sensiblen Informationen in die Felder `Description` oder `Tags` ein. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.

```
$ aws kms create-key --multi-region
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1606329032.475,
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": { 
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [ ]
      }
    }
}
```

# Replikatschlüssel für mehrere Regionen erstellen
<a name="multi-region-keys-replicate"></a>

[Sie können einen [Replikatschlüssel für mehrere Regionen](multi-region-keys-overview.md#mrk-primary-key) in der AWS KMS Konsole mithilfe des [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)Vorgangs oder mithilfe einer Vorlage erstellen. AWS::KMS::ReplicaKey CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-replicakey.html) Sie können den [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgang nicht verwenden, um einen Replikatschlüssel zu erstellen.

Sie können diese Verfahren verwenden, um jeden multiregionalen Primärschlüssel zu replizieren, einschließlich ein [KMS-Schlüssel mit symmetrischer Verschlüsselung](symm-asymm-choose-key-spec.md#symmetric-cmks), ein [asymmetrischer KMS-Schlüssel](symmetric-asymmetric.md) oder einen [HMAC-KMS-Schlüssel](hmac.md).

Wenn diese Produktion abgeschlossen ist, verfügt der neue Replikatschlüssel über einen vorübergehenden [Schlüsselstatus](key-state.md) von `Creating`. Dieser Schlüsselstatus ändert sich nach einigen Sekunden, `PendingImport` wenn der Vorgang zum Erstellen des neuen [Replikatschlüssels abgeschlossen ist, zu `Enabled` (oder wenn Sie einen Schlüssel mit mehreren Regionen mit importiertem Schlüsselmaterial](importing-keys.md) erstellen). Während der Schlüsselstatus `Creating` ist, können Sie den Schlüssel verwalten, Sie können ihn jedoch noch nicht in kryptografischen Operationen verwenden. Wenn Sie den Replikatschlüssel programmgesteuert erstellen und verwenden, versuchen Sie es erneut `KMSInvalidStateException` oder rufen Sie ihn auf, um seinen Wert [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)zu überprüfen, bevor Sie ihn verwenden. `KeyState` 

Wenn Sie versehentlich einen Replikatschlüssel löschen, können Sie ihn mit diesem Verfahren neu erstellen. Wenn Sie denselben Primärschlüssel in derselben Region replizieren, hat der neu erstellte Replikatschlüssel dieselben [gemeinsamen Eigenschaften](multi-region-keys-overview.md#mrk-sync-properties) wie der ursprüngliche Replikatschlüssel.

**Wichtig**  
Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Alias, in der Beschreibung oder in den Tags auf. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.

Informationen zur Verwendung einer AWS CloudFormation Vorlage zur Erstellung eines Replikatschlüssels finden Sie [AWS::KMS::ReplicaKey](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-replicakey.html)im *AWS CloudFormation Benutzerhandbuch*.

## Schritt 1: Wählen Sie Replikatregionen
<a name="replica-region"></a>

In der Regel entscheiden Sie sich dafür, einen Schlüssel für mehrere Regionen in eine zu replizieren, die auf Ihrem Geschäftsmodell und Ihren regulatorischen Anforderungen AWS-Region basiert. Sie können beispielsweise einen Schlüssel in Regionen replizieren, in denen Sie Ihre Ressourcen behalten. Oder Sie könnten, um eine Anforderung zur Notfallwiederherstellung zu erfüllen, einen Schlüssel in geografisch entfernte Regionen replizieren. 

Im Folgenden sind die AWS KMS Anforderungen für Replikatregionen aufgeführt. Wenn die ausgewählte Region diese Anforderungen nicht erfüllt, schlagen Versuche, einen Schlüssel zu replizieren, fehl.
+ **Ein verwandter multiregionaler Schlüssel pro Region** – Sie können keinen Replikatschlüssel in derselben Region wie sein Primärschlüssel oder in derselben Region wie ein anderes Replikat des Primärschlüssels erstellen.

  Wenn Sie versuchen, einen Primärschlüssel in einer Region zu replizieren, die bereits über ein Replikat dieses Primärschlüssels verfügt, schlägt der Versuch fehl. Wenn sich der aktuelle Replikationsschlüssel in der Region im [`PendingDeletion`-Schlüsselstatus](key-state.md) befindet, können Sie die [Löschung des Replikationsschlüssels abbrechen](deleting-keys-scheduling-key-deletion.md) oder warten, bis der Replikationsschlüssel gelöscht ist.
+ **Mehrere nicht verwandte multiregionale Schlüssel in derselben Region** – Sie können mehrere nicht verwandte multiregionale Schlüssel in derselben Region haben. Beispielsweise können Sie zwei multiregionale Primärschlüssel in der Region `us-east-1` haben. Jeder Primärschlüssel kann einen Replikatschlüssel in der Region `us-west-2` haben.
+ **Regionen in derselben Partition** – Die Region des Replikatschlüssels muss sich in derselben [AWS -Partition](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) befinden, wie die Region des Primärschlüssels.
+ **Region muss aktiviert sein** – Wenn eine Region [standardmäßig deaktiviert](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) ist, können Sie in dieser Region keine Ressourcen erstellen, bis sie für Ihr AWS-Konto aktiviert ist. 

## Schritt 2: Replikatschlüssel erstellen
<a name="create-replica-keys"></a>

**Anmerkung**  
Berücksichtigen Sie beim Erstellen von Replikatschlüsseln sorgfältig die IAM-Benutzer und -Rollen, die Sie für die Verwaltung und Verwendung des Replikatschlüssels auswählen. IAM-Richtlinien können anderen IAM-Benutzern und -Rollen die erforderlichen Berechtigungen zum Verwalten des KMS-Schlüssels erteilen.  
Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.

### Verwenden der Konsole AWS KMS
<a name="replicate-console"></a>

In der AWS KMS Konsole können Sie im selben Vorgang ein oder mehrere Replikate eines Primärschlüssels für mehrere Regionen erstellen. 

Dieses Verfahren ähnelt dem Erstellen eines einzelregionalen KMS-Schlüssels in der Konsole. Da jedoch ein Replikatschlüssel auf dem Primärschlüssel basiert, wählen Sie keine Werte für [gemeinsam genutzte Eigenschaften](multi-region-keys-overview.md#mrk-sync-properties) aus, z. B. die Schlüsselspezifikation (symmetrisch oder asymmetrisch), die Schlüsselnutzung oder den Schlüsselursprung. 

Sie geben jedoch Eigenschaften an, die nicht freigegeben werden, einschließlich eines Alias, Tags, einer Beschreibung und einer Schlüsselrichtlinie. Die Konsole zeigt die aktuellen Eigenschaftswerte des Primärschlüssels an, Sie können sie jedoch ändern. Auch wenn Sie die Primärschlüsselwerte beibehalten, werden diese Werte AWS KMS nicht synchronisiert.

**Wichtig**  
Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Alias, in der Beschreibung oder in den Tags auf. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.

1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**.

1. Wählen Sie die Schlüssel-ID oder den Alias eines [multiregionalen Primärschlüssels](multi-region-keys-overview.md#mrk-primary-key) aus. Dadurch wird die Seite mit den Schlüsseldetails des KMS-Schlüssels geöffnet.

   Um einen multiregionalen Primärschlüssel zu identifizieren, verwenden Sie das Werkzeugsymbol in der oberen rechten Ecke, um die Spalte **Regionality (Regionalität)** zur Tabelle hinzuzufügen.

1. Wählen Sie die Registerkarte **Regionality (Regionalität)** aus.

1. Unter **Related multi-Region keys (Verwandte multiregionale Schlüssel)** wählen Sie **Create new replica keys (neue Replikatschlüssel erstellen)** aus.

   Der Abschnitt **Related multi-Region keys (Verwandte multiregionale Schlüssel)** zeigt die Region des Primärschlüssels und seiner Replikatschlüssel an. Sie können diese Anzeige verwenden, um die Region für den neuen Replikatschlüssel auszuwählen.

1. Wählen Sie mindestens eine AWS-Regionen aus. Bei diesem Verfahren wird in jedem der ausgewählten Regionen ein Replikatschlüssel erstellt. 

   Das Menü enthält nur Regionen in derselben AWS Partition wie der Primärschlüssel. Regionen, die bereits über einen verwandten multiregionalen Schlüssel verfügen, werden angezeigt, können jedoch nicht ausgewählt werden. Möglicherweise sind Sie nicht berechtigt, einen Schlüssel in alle Regionen im Menü zu replizieren.

   Wenn Sie die Auswahl von Regionen abgeschlossen haben, schließen Sie das Menü. Die ausgewählten Regionen werden angezeigt. Um die Replikation in eine Region abzubrechen, wählen Sie das Kontrollkästchen **X** neben dem Namen der Region.

1. Geben Sie einen [Alias](kms-alias.md) für den Replikatschlüssel ein. 

   Die Konsole zeigt einen der aktuellen Aliasen des Primärschlüssels an, Sie können ihn jedoch ändern. Sie können Ihrem multiregionalen Primärschlüssel und seinen Replikaten denselben Alias oder verschiedene Aliase zuweisen. Aliase sind keine [gemeinsame Eigenschaft](multi-region-keys-overview.md#mrk-sync-properties) von Schlüsseln mit mehreren Regionen. AWS KMS synchronisiert die Aliase von Schlüsseln mit mehreren Regionen nicht.

   Wenn Sie einen Alias hinzufügen, löschen oder aktualisieren, wird dadurch möglicherweise eine Berechtigung für den KMS-Schlüssel erteilt oder verweigert. Details dazu finden Sie unter [ABAC für AWS KMS](abac.md) und [Verwenden Sie Aliase, um den Zugriff auf KMS-Schlüssel zu steuern](alias-authorization.md).

1. (Optional) Geben Sie eine Beschreibung für den Replikatschlüssel ein.

   Die Konsole zeigt die aktuelle Beschreibung des Primärschlüssels an, Sie können sie jedoch ändern. Beschreibungen sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. Sie können Ihrem Primärschlüssel mit mehreren Regionen und seinen Replikaten dieselbe oder unterschiedliche Beschreibungen geben. AWS KMS synchronisiert die Schlüsselbeschreibungen von Schlüsseln mit mehreren Regionen nicht.

1. (Optional) Geben Sie einen Tag-Schlüssel und einen optionalen Tag-Wert ein. Wenn Sie mehrere Tags zum Replikatschlüssel zuweisen möchten, wählen Sie **Add tag (Tag hinzufügen)** aus.

   Die Konsole zeigt die Tags an, die aktuell mit dem Primärschlüssel verknüpft sind, Sie können sie jedoch ändern. Tags sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. Sie können Ihrem Primärschlüssel für mehrere Regionen und seinen Replikaten dieselben oder unterschiedliche Tags zuweisen. AWS KMS synchronisiert die Tags von Schlüsseln mit mehreren Regionen nicht. 

   Wenn Sie einen KMS-Schlüssel markieren oder entmarkieren, wird dadurch möglicherweise die Berechtigung für den KMS-Schlüssel erteilt oder verweigert. Details dazu finden Sie unter [ABAC für AWS KMS](abac.md) und [Verwenden Sie Tags, um den Zugriff auf KMS-Schlüssel zu steuern](tag-authorization.md).

1. Wählen Sie die IAM-Benutzer und -Rollen aus, die den Replikatschlüssel verwalten können.
**Hinweise**  
 Wenn Sie bei der Erstellung Ihres Primärschlüssels für mehrere Regionen die Standardschlüsselrichtlinie geändert haben, fordert Sie die Konsole bei der Erstellung des Replikatschlüssels nicht zur Auswahl von Schlüsseladministratoren oder Schlüsselbenutzern (Schritte 11-15) auf. In diesem Fall müssen Sie der Schlüsselrichtlinie manuell die erforderlichen Berechtigungen für Schlüsseladministratoren und Benutzer hinzufügen, indem Sie im Schritt Schlüsselrichtlinie **bearbeiten** (Schritt 17) die Option **Bearbeiten** auswählen.
Dieser Schritt startet den Prozess zum Erstellen einer [Schlüsselrichtlinie](key-policies.md) für den Replikatschlüssel. Die Konsole zeigt die aktuelle Schlüsselrichtlinie des Primärschlüssels an, Sie können sie jedoch ändern. Schlüsselrichtlinien sind keine gemeinsame Eigenschaft von multiregionalen Schlüsseln. Sie können Ihrem multiregionalen Primärschlüssel und seinen Replikaten die gleiche Schlüsselrichtlinie oder andere Schlüsselrichtlinien zuweisen. Von AWS KMS werden Schlüsselrichtlinien nicht synchronisiert. Sie können die Schlüsselrichtlinie eines jeden KMS-Schlüssels jederzeit ändern.
Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter der Statement-ID wichtige Administratoren hinzu`"Allow access for Key Administrators"`. Eine Änderung dieser Anweisungs-ID kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Anweisung vornehmen.

1. (Optional) Um zu verhindern, dass die ausgewählten IAM-Benutzer und -Rollen diesen KMS-Schlüssel löschen, deaktivieren Sie unten auf der Seite im Abschnitt **Key deletion (Schlüssellöschung)** das Kontrollkästchen **Allow key administrators to delete this key (Administratoren erlauben, diesen Schlüssel zu löschen)**.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel für [kryptographische Operationen](kms-cryptography.md#cryptographic-operations) verwenden können.
**Hinweis**  
Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter den Anweisungskennungen `"Allow use of the key"` und `"Allow attachment of persistent resources"` wichtige Benutzer hinzu. Das Ändern dieser Anweisungskennungen kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Aussage vornehmen.

1. (Optional) Sie können anderen erlauben, diesen KMS-Schlüssel für kryptografische Operationen AWS-Konten zu verwenden. Wählen Sie dazu im Abschnitt **Other AWS-Konten(Andere Konten)** unten auf der Seite die Option **Add another AWS-Konto(Weiteres Konto hinzufügen)** und geben Sie die AWS-Konto -ID eines externen Kontos ein. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.
**Anmerkung**  
Um auch Prinzipalen aus den externen Konten Zugriff auf den KMS-Schlüssel zu erlauben, müssen die Administratoren der externen Konten IAM-Richtlinien erstellen, die diese Berechtigungen bereitstellen. Weitere Informationen finden Sie unter [Benutzern in anderen Konten die Verwendung des KMS-Schlüssels erlauben](key-policy-modifying-external-accounts.md).

1. Wählen Sie **Weiter** aus.

1. Lesen Sie die wichtigsten Richtlinienerklärungen für den Schlüssel. Um Änderungen an der wichtigsten Richtlinie vorzunehmen, wählen Sie **Bearbeiten** aus.

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.

1. Wählen Sie **Fertig stellen**, um den Replikatschlüssel für mehrere Regionen zu erstellen.

### Verwenden der API AWS KMS
<a name="replicate-api"></a>

Verwenden Sie den Vorgang, um einen Replikatschlüssel für mehrere Regionen zu erstellen. [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) Sie können den [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgang nicht verwenden, um einen Replikatschlüssel zu erstellen. Bei dieser Produktion wird jeweils ein Replikatschlüssel erstellt. Die Region, die Sie angeben, muss den [Anforderungen der Region](#replica-region) für Replikatschlüssel entsprechen.

Wenn Sie die `ReplicateKey`-Produktion verwenden, müssen Sie keine Werte für [gemeinsam genutzte Eigenschaften](multi-region-keys-overview.md#mrk-sync-properties) von multiregionalen Schlüsseln angeben. Gemeinsam genutzte Eigenschaftswerte werden aus dem Primärschlüssel kopiert und synchronisiert. Sie können jedoch Werte für nicht freigegebene Eigenschaften angeben. Andernfalls werden die Standardstandardwerte für KMS-Schlüssel AWS KMS angewendet, nicht die Werte des Primärschlüssels.

**Anmerkung**  
Wenn Sie keine Werte für die `Tags` Parameter`Description`, oder angeben`KeyPolicy`, AWS KMS wird der Replikatschlüssel mit einer leeren Zeichenkettenbeschreibung, der [Standardschlüsselrichtlinie](key-policy-default.md) und ohne Tags erstellt.  
Geben Sie keine vertraulichen oder sensiblen Informationen in die Felder `Description` oder `Tags` ein. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.

Beispielsweise erstellt der folgende Befehl einen multiregionalen Replikatschlüssel in der Region Asien-Pazifik (Sydney) (ap-southeast-2). Dieser Replikatschlüssel wird nach dem Primärschlüssel in der Region USA Ost (Nord-Virginia) (us-east-1) modelliert, der durch den Wert des `KeyId`-Parameters identifiziert wird. Dieses Beispiel akzeptiert Standardwerte für alle anderen Eigenschaften, einschließlich der Schlüsselrichtlinie.

Die Antwort beschreibt den neuen Replikatschlüssel. Sie enthält Felder für gemeinsam genutzte Eigenschaften, z. B. `KeyId`, `KeySpec` und `KeyUsage`, und den Ursprung des Schlüsselmaterials (`Origin`). Sie enthält auch Eigenschaften, die unabhängig vom Primärschlüssel sind, z. B. die `Description`, Schlüsselrichtlinie (`ReplicaKeyPolicy`) und Tags (`ReplicaTags`). 

Die Antwort enthält auch den Schlüssel-ARN und die Region des Primärschlüssels und aller seiner Replikatschlüssel, einschließlich des Schlüssels, der gerade in der Region ap-southeast-2 erstellt wurde. In diesem Beispiel zeigt das `ReplicaKey`-Element an, dass dieser Primärschlüssel bereits in der Region Europa (Irland) (eu-west-1) repliziert wurde.

```
$ aws kms replicate-key \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
    --replica-region ap-southeast-2
{
    "ReplicaKeyMetadata": {
        "MultiRegion": true,
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "REPLICA",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [
                {
                    "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "ap-southeast-2"
                },
                {
                    "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "eu-west-1"
                }
            ]
        },
        "AWSAccountId": "111122223333",
        "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1607472987.918,
        "Description": "",
        "Enabled": true,
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    },
    "ReplicaKeyPolicy": "{\n  \"Version\" : \"2012-10-17\",\n  \"Id\" : \"key-default-1\",...,
    "ReplicaTags": []
}
```

# Erstellen Sie einen KMS-Schlüssel mit importiertem Schlüsselmaterial
<a name="importing-keys-conceptual"></a>

Mit importiertem Schlüsselmaterial können Sie Ihre AWS Ressourcen mit von Ihnen generierten kryptografischen Schlüsseln schützen. Die folgende Übersicht erläutert den Prozess zum Importieren Ihres Schlüsselmaterials in AWS KMS. Weitere Informationen zu den einzelnen Schritten des Prozesses finden Sie in den entsprechenden Themen.

1. [Erstellen eines KMS-Schlüssels ohne Schlüsselmaterial](importing-keys-create-cmk.md) – Der Ursprung muss `EXTERNAL` sein. Ein Schlüsselursprung von `EXTERNAL` weist darauf hin, dass der Schlüssel für importiertes Schlüsselmaterial konzipiert ist und AWS KMS verhindert, dass Schlüsselmaterial für den KMS-Schlüssel generiert wird. In einem späteren Schritt importieren Sie Ihr eigenes Schlüsselmaterial in diesen KMS-Schlüssel.

   Das Schlüsselmaterial, das Sie importieren, muss mit der Schlüsselspezifikation des zugehörigen AWS KMS Schlüssels kompatibel sein. Weitere Informationen zur Kompatibilität finden Sie unter[Anforderungen an importiertes Schlüsselmaterial](#importing-keys-material-requirements).

1. [Herunterladen des öffentlichen Verpackungsschlüssels und Import-Tokens](importing-keys-get-public-key-and-token.md) – Nachdem Sie Schritt 1 abgeschlossen haben, laden Sie einen öffentlichen Verpackungsschlüssel und einen Import-Token herunter. Diese Artikel schützen Ihre wichtigsten Materialien, während sie importiert werden AWS KMS.

   In diesem Schritt wählen Sie den Typ („Schlüsselspezifikation“) des RSA-Verpackungsschlüssels und den Verpackungsalgorithmus, den Sie zur Verschlüsselung Ihrer Daten während der Übertragung an AWS KMS verwenden werden. Sie können jedes Mal, wenn Sie dasselbe Schlüsselmaterial importieren oder erneut importieren, eine andere Verpackungsschlüsselspezifikation und einen anderen Verpackungsschlüsselalgorithmus wählen. 

1. [Verschlüsseln des Schlüsselmaterials](importing-keys-encrypt-key-material.md) – Verwenden Sie den öffentlichen Verpackungsschlüssel, den Sie in Schritt 2 heruntergeladen haben, um das Schlüsselmaterial zu verschlüsseln, das Sie in Ihrem eigenen System erstellt haben.

1. [Importieren von Schlüsselmaterial](importing-keys-import-key-material.md) – Laden Sie das verschlüsselte Schlüsselmaterial, das Sie in Schritt 3 erstellt haben, und das in Schritt 2 heruntergeladene Import-Token hoch.

   In diesem Stadium können Sie [optional eine Ablaufzeit festlegen](importing-keys-import-key-material.md#importing-keys-expiration). Wenn importiertes Schlüsselmaterial abläuft, wird es AWS KMS gelöscht und der KMS-Schlüssel wird unbrauchbar. Wenn Sie den KMS-Schlüssel erneut nutzen möchten, müssen Sie das **gleiche** Schlüsselmaterial erneut importieren.

   Wenn der Importvorgang erfolgreich abgeschlossen wurde, ändert sich der Schlüsselstatus des KMS-Schlüssels von `PendingImport` zu `Enabled`. Sie können Ihren KMS-Schlüssel jetzt in kryptografischen Operationen verwenden.

AWS KMS zeichnet einen Eintrag in Ihrem AWS CloudTrail Protokoll auf, wenn Sie [den KMS-Schlüssel erstellen](ct-createkey.md), [den öffentlichen Schlüssel und das Importtoken herunterladen](ct-getparametersforimport.md) und [das Schlüsselmaterial importieren](ct-importkeymaterial.md). AWS KMS zeichnet auch einen Eintrag auf, wenn Sie importiertes Schlüsselmaterial löschen oder wenn [abgelaufenes Schlüsselmaterial AWS KMS gelöscht wird](ct-deleteexpiredkeymaterial.md). 

## Berechtigungen zum Importieren von Schlüsselmaterial
<a name="importing-keys-permissions"></a>

Um KMS-Schlüssel mit importiertem Schlüsselmaterial zu erstellen und zu verwalten, benötigt der Benutzer die Berechtigung für die Operationen in diesem Prozess. Sie können die `kms:GetParametersForImport`-, `kms:ImportKeyMaterial`-, und`kms:DeleteImportedKeyMaterial`-Berechtigungen in der Schlüsselrichtlinie beim Erstellen des KMS-Schlüssels bereitstellen. In der AWS KMS Konsole werden diese Berechtigungen automatisch für Schlüsseladministratoren hinzugefügt, wenn Sie einen Schlüssel mit einem **externen** Schlüsselmaterial-Ursprung erstellen.

Um KMS-Schlüssel mit importiertem Schlüsselmaterial zu erstellen, benötigt der Prinzipal die folgenden Berechtigungen.
+ [kms: CreateKey](customer-managed-policies.md#iam-policy-example-create-key) (IAM-Richtlinie)
  + Um diese Berechtigung auf KMS-Schlüssel mit importiertem Schlüsselmaterial zu beschränken, verwenden Sie die KeyOrigin Richtlinienbedingung [kms:](conditions-kms.md#conditions-kms-key-origin) mit dem Wert. `EXTERNAL`

    ```
    {
      "Sid": "CreateKMSKeysWithoutKeyMaterial",
      "Effect": "Allow",
      "Resource": "*",
      "Action": "kms:CreateKey",
      "Condition": {
        "StringEquals": {
          "kms:KeyOrigin": "EXTERNAL"
        }
      }
    }
    ```
+ [kms: GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) (Schlüsselrichtlinie oder IAM-Richtlinie)
  + Um diese Berechtigung auf Anfragen zu beschränken, die einen bestimmten Wrapping-Algorithmus und eine bestimmte Wrapping-Schlüsselspezifikation verwenden, verwenden Sie die WrappingKeySpec Richtlinienbedingungen [kms: WrappingAlgorithm](conditions-kms.md#conditions-kms-wrapping-algorithm) und [kms:](conditions-kms.md#conditions-kms-wrapping-key-spec). 
+ [kms: ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html) (Schlüsselrichtlinie oder IAM-Richtlinie)
  + [Verwenden Sie die ValidTo Richtlinienbedingungen kms: und [kms:](conditions-kms.md#conditions-kms-expiration-model), um Schlüsselmaterial, das abläuft, zuzulassen oder zu verbieten ExpirationModel und das Ablaufdatum zu kontrollieren.](conditions-kms.md#conditions-kms-valid-to)

Um importiertes Schlüsselmaterial erneut zu importieren, benötigt der Principal die [Berechtigungen kms: GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) und [kms: ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html).

Um importiertes Schlüsselmaterial zu löschen, benötigt der Principal die [kms: DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html) -Berechtigung.

Um beispielsweise der Beispiel-`KMSAdminRole` die Berechtigung zu erteilen, alle Aspekte eines KMS-Schlüssels mit importiertem Schlüsselmaterial zu verwalten, fügen Sie eine Schlüsselrichtlinienanweisung wie die folgende in die Schlüsselrichtlinie des KMS-Schlüssels ein.

```
{
  "Sid": "Manage KMS keys with imported key material",
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole"
  },
  "Action": [
    "kms:GetParametersForImport",
    "kms:ImportKeyMaterial",
    "kms:DeleteImportedKeyMaterial"
  ]  
}
```

## Anforderungen an importiertes Schlüsselmaterial
<a name="importing-keys-material-requirements"></a>

Das Schlüsselmaterial, das Sie importieren, muss mit der [Schlüsselspezifikation](create-keys.md#key-spec) des zugehörigen KMS-Schlüssels kompatibel sein. Importieren Sie bei asymmetrischen Schlüsselpaaren nur den privaten Schlüssel des Paares. AWS KMS leitet den öffentlichen Schlüssel vom privaten Schlüssel ab.

AWS KMS unterstützt die folgenden Schlüsselspezifikationen für KMS-Schlüssel mit importiertem Schlüsselmaterial.
+ **Schlüssel zur symmetrischen Verschlüsselung**
  + **Wichtige Spezifikationen:**
    + SYMMETRIC\$1DEFAULT.
  + **Voraussetzungen:**
    + 256 Bit (32 Byte) an Binärdaten.
    + In chinesischen Regionen muss es sich um 128 Bit (16 Byte) an Binärdaten handeln.
+ **HMAC-Schlüssel**
  + **Die wichtigsten technischen Daten:**
    + HMAC\$1224
    + HMAC\$1256
    + HMAC\$1384
    + HMAC\$1512
  + **Voraussetzungen:**
    + Das HMAC-Schlüsselmaterial muss [RFC 2104](https://datatracker.ietf.org/doc/html/rfc2104) entsprechen.
    + Die Schlüssellänge muss mindestens der in der Schlüsselspezifikation angegebenen Länge entsprechen. Die maximale Schlüssellänge beträgt 1024 Bit.
    + Wenn Ihr Schlüsselmaterial 1024 Bit überschreitet, können Sie das Schlüsselmaterial hashen und die Hash-Ausgabe importieren. Der Hash-Algorithmus muss mit der Schlüsselspezifikation des HMAC-KMS-Schlüssels übereinstimmen, den Sie erstellen.
  + **Beispiel:**
    + Um 2048 Bit Schlüsselmaterial in einen HMAC\$1256-Schlüssel zu importieren, berechnen Sie zuerst den SHA-256-Hash des 2048-Bit-Schlüsselmaterials und importieren Sie dann die resultierende 256-Bit-Hashausgabe in den KMS-Schlüssel.
  + **Gültige Schlüssellängen:**
    + HMAC\$1224:224—1024 Bit
    + HMAC\$1256:256—1024 Bit
    + HMAC\$1384:384—1024 Bit
    + HMAC\$1512:512—1024 Bit
+ **Asymmetrischer privater RSA-Schlüssel**
  + **Die wichtigsten technischen Daten:**
    + RSA\$12048
    + RSA\$13072
    + RSA\$14096
  + **Voraussetzungen:**
    + Der asymmetrische private RSA-Schlüssel, den Sie importieren, muss Teil eines Schlüsselpaares sein, das [RFC 3447](https://datatracker.ietf.org/doc/html/rfc3447/) entspricht.
    + **Modul**: 2 048 Bit, 3 072 Bit oder 4 096 Bit
    + **Anzahl der Primzahlen**: 2 (RSA-Schlüssel mit mehreren Primzahlen werden nicht unterstützt)
    + [Asymmetrisches Schlüsselmaterial muss im Format Public-Key Cryptography Standards (PKCS) \$18, das RFC 5208 entspricht, BER- oder DER-codiert sein.](https://datatracker.ietf.org/doc/html/rfc5208)
+ **Asymmetrischer privater Schlüssel mit elliptischer Kurve**
  + **Die wichtigsten Spezifikationen:**
    + ECC\$1NIST\$1P256 (secp256r1)
    + ECC\$1NIST\$1P384 (secp384r1)
    + ECC\$1NIST\$1P521 (secp521r1)
    + ECC\$1SECG\$1P256K1 (secp256k1)
    + EDWARDS25519 ECC\$1NIST\$1 (ed25519)
  + **Voraussetzungen:**
    + Der asymmetrische private ECC-Schlüssel, den Sie importieren, muss Teil eines Schlüsselpaares sein, das [RFC 5915](https://datatracker.ietf.org/doc/html/rfc5915/) entspricht.
    + **Kurve:** NIST P-256, NIST P-384, NIST P-521, SECP256k1, NIST Ed25519.
    + Parameter: Nur benannte Kurven (ECC-Schlüssel mit **expliziten Parametern werden abgelehnt**).
    + **Öffentliche Punktkoordinaten:** Können komprimiert, unkomprimiert oder projektiv sein.
    + [Asymmetrisches Schlüsselmaterial muss im Format Public-Key Cryptography Standards (PKCS) \$18, das RFC 5208 entspricht, BER- oder DER-codiert sein.](https://datatracker.ietf.org/doc/html/rfc5208)
+ **ML-DSA-Schlüssel**
  + **Die wichtigsten technischen Daten:**
    + ML\$1DSA\$144
    + ML\$1DSA\$165
    + ML\$1DSA\$187
**Wichtig**  
Das Importieren von ML-DSA-Schlüsseln wird nicht unterstützt.
+ **SM2 asymmetrischer privater Schlüssel** (nur Regionen China)
  + **Voraussetzungen:**
    + Der SM2 asymmetrische private Schlüssel, den Sie importieren, muss Teil eines key pair sein, das 0003 entspricht GM/T .
    + **Kurve:.** SM2
    + **Parameter:** Nur benannte Kurve (SM2 Schlüssel mit expliziten Parametern werden abgelehnt).
    + **Öffentliche Punktkoordinaten:** Können komprimiert, unkomprimiert oder projektiv sein.
    + [Asymmetrisches Schlüsselmaterial muss im Format Public-Key Cryptography Standards (PKCS) \$18, das RFC 5208 entspricht, BER- oder DER-codiert sein.](https://datatracker.ietf.org/doc/html/rfc5208)

# Schritt 1: Erstellen Sie eine AWS KMS key ohne Schlüsselmaterial
<a name="importing-keys-create-cmk"></a>

 AWS KMS Erstellt standardmäßig Schlüsselmaterial für Sie, wenn Sie einen KMS-Schlüssel erstellen. Wenn Sie Ihr eigenes Schlüsselmaterial importieren möchten, können Sie beginnen, indem Sie zunächst einen KMS-Schlüssel ohne Schlüsselmaterial erstellen. Importieren Sie dann das Schlüsselmaterial. Um einen KMS-Schlüssel ohne Schlüsselmaterial zu erstellen, verwenden Sie die AWS KMS Konsole oder den [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgang.

Um einen Schlüssel ohne Schlüsselmaterial zu erstellen, geben Sie einen [Ursprung](create-keys.md#key-origin) von `EXTERNAL` an. Die Herkunftseigenschaft eines KMS-Schlüssels ist unveränderlich. Sobald Sie ihn erstellt haben, können Sie einen KMS-Schlüssel, der für importiertes Schlüsselmaterial entworfen wurde, nicht in einen KMS-Schlüssel mit Schlüsselmaterial aus AWS KMS oder einer anderen Quelle konvertieren.

Der [Schlüsselstatus](key-state.md) eines KMS-Schlüssels mit einem `EXTERNAL`-Ursprung und ohne Schlüsselmaterial ist `PendingImport`. Ein KMS-Schlüssel kann auf unbestimmte Zeit im Status `PendingImport`bleiben. Sie können jedoch einen KMS-Schlüssel im `PendingImport`-Status nicht für kryptografische Operationen verwenden. Wenn Sie Schlüsselmaterial importieren, ändert sich der Schlüsselstatus des KMS-Schlüssels zu `Enabled`, und Sie können ihn für kryptografische Operationen verwenden.

AWS KMS zeichnet ein Ereignis in Ihrem AWS CloudTrail Protokoll auf, wenn Sie [den KMS-Schlüssel erstellen](ct-createkey.md), [den öffentlichen Schlüssel und das Importtoken herunterladen](ct-getparametersforimport.md) und [das Schlüsselmaterial importieren](ct-importkeymaterial.md). AWS KMS zeichnet auch ein CloudTrail Ereignis auf, wenn Sie [importiertes Schlüsselmaterial löschen](ct-deleteimportedkeymaterial.md) oder wenn [abgelaufenes Schlüsselmaterial AWS KMS gelöscht wird](ct-deleteexpiredkeymaterial.md).

**Topics**
+ [Erstellen eines KMS-Schlüssels ohne Schlüsselmaterial (Konsole)](#importing-keys-create-cmk-console)
+ [Einen KMS-Schlüssel ohne Schlüsselmaterial (API) erstellen AWS KMS](#importing-keys-create-cmk-api)

## Erstellen eines KMS-Schlüssels ohne Schlüsselmaterial (Konsole)
<a name="importing-keys-create-cmk-console"></a>

Sie müssen nur einmal einen KMS-Schlüssel für das importierte Schlüsselmaterial anlegen. Sie können dasselbe Schlüsselmaterial so oft wie nötig in den bestehenden KMS-Schlüssel importieren und wieder importieren, aber Sie können kein anderes Schlüsselmaterial in einen KMS-Schlüssel importieren. Details hierzu finden Sie unter [Schritt 2: Herunterladen des öffentlichen Verpackungsschlüssels und des Import-Tokens](importing-keys-get-public-key-and-token.md).

Um vorhandene KMS-Schlüssel mit importiertem Schlüsselmaterial in Ihrer Tabelle mit den vom **Kunden verwalteten Schlüsseln** zu finden, verwenden Sie das Zahnradsymbol in der oberen rechten Ecke, um die Spalte **Origin** (Herkunft) in der Liste der KMS-Schlüssel anzuzeigen. Importierte Schlüssel haben den **Herkunft**-Wert **Extern (Schlüsselmaterial importieren)** erkennbar.

Um einen KMS-Schlüssel mit importiertem Schlüsselmaterial zu erstellen, folgen Sie zunächst den [Anweisungen zum Erstellen eines KMS-Schlüssels Ihres bevorzugten Schlüsseltyps](create-keys.md), mit der folgenden Ausnahme.

Nachdem Sie die Schlüsselnutzung ausgewählt haben, gehen Sie wie folgt vor:

1. Erweitern Sie **Advanced options (Erweiterte Optionen)**.

1. Stellen Sie die **Key material origin** (Herkunft des Schlüsselmaterials) auf **External (Import key material)** (Extern (Schlüsselmaterial importieren)) ein.

1. Aktivieren Sie dann das Kontrollkästchen neben **Mir ist bekannt, dass die Verwendung eines importieren Schlüssel sich auf die Sicherheit und Lebensdauer auswirken kann** um zu bestätigen, dass Sie die Auswirkungen der Verwendung von importiertem Schlüsselmaterial kennen. Weitere Informationen zu diesen Implikationen finden Sie unter [Schützen von importiertem Schlüsselmaterial](import-keys-protect.md).

1. Optional: Um einen [KMS-Schlüssel für mehrere Regionen mit importiertem Schlüsselmaterial](multi-region-keys-overview.md) zu erstellen, wählen Sie unter **Regionalität** die Option **Multi-Region-Schlüssel** aus.

1. Kehren Sie zu den grundlegenden Anweisungen zurück. Die verbleibenden Schritte des grundlegenden Verfahrens sind für alle KMS-Schlüssel dieses Typs identisch. 

Wenn Sie **Fertig stellen** wählen, haben Sie einen KMS-Schlüssel ohne Schlüsselmaterial und mit dem Status ([Schlüsselstatus](key-state.md)) **Ausstehender Import** erstellt. 

Anstatt jedoch zur Tabelle mit vom **Kunden verwalteten Schlüsseln** zurückzukehren, zeigt die Konsole eine Seite an, auf der Sie den öffentlichen Schlüssel herunterladen und das Token importieren können, das Sie für den Import Ihres Schlüsselmaterials benötigen. Sie können jetzt mit dem Download-Schritt fortfahren oder auf **Abbrechen** klicken, um den Vorgang an dieser Stelle zu beenden. Sie können jederzeit zu diesem Download-Schritt zurückkehren.

Danach: [Schritt 2: Herunterladen des öffentlichen Verpackungsschlüssels und des Import-Tokens](importing-keys-get-public-key-and-token.md).

## Einen KMS-Schlüssel ohne Schlüsselmaterial (API) erstellen AWS KMS
<a name="importing-keys-create-cmk-api"></a>

Um mithilfe der [AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) einen KMS-Schlüssel mit symmetrischer Verschlüsselung ohne Schlüsselmaterial zu erstellen, senden Sie eine [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Anfrage, bei der der `Origin` Parameter auf `EXTERNAL` gesetzt ist. Im folgenden Beispiel wird gezeigt, wie Sie dies mit dem [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) durchführen.

```
$ aws kms create-key --origin EXTERNAL
```

Wenn der Befehl erfolgreich ausgeführt wurde, wird eine Ausgabe ähnlich der Folgenden angezeigt. Der AWS KMS Schlüssel `Origin` ist `EXTERNAL` und `KeyState` ist`PendingImport`.

**Tipp**  
Wenn der Befehl nicht erfolgreich ist, wird möglicherweise eine `KMSInvalidStateException` oder eine `NotFoundException` angezeigt. Sie können die Anfrage wiederholen.

```
{
    "KeyMetadata": {
        "Origin": "EXTERNAL",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "Enabled": false,
        "MultiRegion": false,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "PendingImport",
        "CreationDate": 1568289600.0,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}
```

Kopieren Sie den Wert `KeyId` für die spätere Verwendung aus der Befehlsausgabe und fahren Sie dann mit [Schritt 2: Herunterladen des öffentlichen Verpackungsschlüssels und des Import-Tokens](importing-keys-get-public-key-and-token.md) fort.

**Anmerkung**  
Dieser Befehl erstellt einen KMS-Schlüssel für die symmetrische Verschlüsselung mit `KeySpec` von `SYMMETRIC_DEFAULT` und `KeyUsage` von `ENCRYPT_DECRYPT`. Sie können die optionalen Parameter `--key-spec` und `--key-usage` verwenden, um einen asymmetrischen oder HMAC-KMS-Schlüssel zu erstellen. Weitere Informationen finden Sie unter dem Vorgang [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html).

# Schritt 2: Herunterladen des öffentlichen Verpackungsschlüssels und des Import-Tokens
<a name="importing-keys-get-public-key-and-token"></a>

Nachdem Sie [ein AWS KMS key Material ohne Schlüssel erstellt](importing-keys-create-cmk.md) haben, laden Sie mithilfe der AWS KMS Konsole oder der [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)API einen öffentlichen Wrapping-Schlüssel und ein Import-Token für diesen KMS-Schlüssel herunter. Der öffentliche Verpackungsschlüssel und das Import-Token bilden einen untrennbaren Satz, der zusammen verwendet werden muss.

Sie werden den öffentlichen Verpackungsschlüssel verwenden, um [Ihr Schlüsselmaterial für den Transport zu verschlüsseln](importing-keys-encrypt-key-material.md). [Bevor Sie ein RSA-Wrapping-Schlüsselpaar herunterladen, wählen Sie die Länge (Schlüsselspezifikation) des RSA-Wrapping-Schlüsselpaars und den Wrapping-Algorithmus aus, mit dem Sie Ihr importiertes Schlüsselmaterial für den Transport in Schritt 3 verschlüsseln werden.](importing-keys-encrypt-key-material.md) AWS KMS unterstützt auch die SM2 Wrapping-Schlüsselspezifikation (nur für China Regionen).

Jeder öffentliche Verpackungsschlüssel und Import-Token-Satz ist 24 Stunden gültig. Wenn Sie sie nicht innerhalb von 24 Stunden nach dem Download verwenden, um Schlüsselmaterial zu importieren, müssen Sie einen neuen Satz herunterladen. Sie können jederzeit neue öffentliche Verpackungsschlüssel herunterladen und Tokensätze importieren. Auf diese Weise können Sie die Länge Ihres RSA-Verpackungsschlüssels („Schlüsselspezifikation“) ändern oder einen verlorenen Satz ersetzen.

Sie können auch einen öffentlichen Verpackungsschlüssel und ein Import-Token-Set herunterladen, um [dasselbe Schlüsselmaterial erneut in einen KMS-Schlüssel zu importieren](importing-keys-import-key-material.md#reimport-key-material). Sie können dies tun, um die Ablaufzeit für das Schlüsselmaterial festzulegen oder zu ändern, oder um abgelaufenes oder gelöschtes Schlüsselmaterial wiederherzustellen. Sie müssen Ihr Schlüsselmaterial bei jedem Import in herunterladen und erneut verschlüsseln. AWS KMS

**Verwendung des öffentlichen Verpackungsschlüssels**  
Der Download beinhaltet einen öffentlichen Schlüssel, der nur für Sie bestimmt ist. AWS-Konto Er wird auch als *öffentlicher* Schlüssel bezeichnet.  
Bevor Sie Schlüsselmaterial importieren, verschlüsseln Sie das Schlüsselmaterial mit dem öffentlichen Wrapping-Schlüssel und laden das verschlüsselte Schlüsselmaterial anschließend in hoch. AWS KMS Beim AWS KMS Empfang Ihres verschlüsselten Schlüsselmaterials entschlüsselt es das Schlüsselmaterial mit dem entsprechenden privaten Schlüssel und verschlüsselt das Schlüsselmaterial anschließend erneut unter einem symmetrischen AES-Schlüssel, alles innerhalb eines AWS KMS Hardware-Sicherheitsmoduls (HSM).

**Nutzen des Import-Tokens**  
Der Download enthält ein Import-Token mit Metadaten, das sicherstellt, dass Ihr Schlüsselmaterial korrekt importiert wird. Wenn Sie Ihr verschlüsseltes Schlüsselmaterial hochladen AWS KMS, müssen Sie dasselbe Import-Token hochladen, das Sie in diesem Schritt heruntergeladen haben.

## Wählen Sie eine Spezifikation für den öffentlichen Verpackungsschlüssel
<a name="select-wrapping-key-spec"></a>

Um Ihr Schlüsselmaterial beim Import zu schützen, verschlüsseln Sie es mit einem öffentlichen Wrapping-Schlüssel, von dem Sie herunterladen AWS KMS, und einem unterstützten [Wrapping-Algorithmus](#select-wrapping-algorithm). Sie wählen eine Schlüsselspezifikation aus, bevor Sie Ihren öffentlichen Verpackungsschlüssel und das Import-Token herunterladen. Alle Wrapping-Schlüsselpaare werden in AWS KMS Hardware-Sicherheitsmodulen (HSMs) generiert. Der private Schlüssel verlässt das HSM niemals im Klartext.

**Die wichtigsten Spezifikationen für das RSA-Wrapping**  
Die *Schlüsselspezifikation* des öffentlichen Verpackungsschlüssels bestimmt die Länge der Schlüssel in dem RSA-Schlüsselpaar, das Ihr Schlüsselmaterial während des Transports zu AWS KMS schützt. Im Allgemeinen empfehlen wir die Verwendung des am längsten umschließenden öffentlichen Verpackungsschlüssels, der praktisch ist. Wir bieten verschiedene öffentliche Schlüsselspezifikationen für die Verpackung an, um eine Vielzahl von HSMs Schlüsselmanagern zu unterstützen.  
AWS KMS unterstützt die folgenden Schlüsselspezifikationen für die RSA-Wrapping-Schlüssel, die für den Import von Schlüsselmaterial aller Art verwendet werden, sofern nicht anders angegeben.   
+ RSA\$14096 (empfohlen)
+ RSA\$13072
+ RSA\$12048
**Anmerkung**  
Die folgende Kombination wird NICHT unterstützt: ECC\$1NIST\$1P521-Schlüsselmaterial, die RSA\$12048-Spezifikation für öffentliche Verpackungsschlüssel und ein RSAES\$1OAEP\$1SHA\$1\$1-Verpackungsalgorithmus.  
Sie können das Schlüsselmaterial von ECC\$1NIST\$1P521 nicht direkt mit einem öffentlichen RSA\$12048-Verpackungsschlüssel verpacken. Verwenden Sie einen größeren Verpackungsschlüssel oder einen RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1\$1-WRAP\$1\$1-Verpackungsalgorithmus.

**SM2 Spezifikationen für die Verpackung des Schlüssels (nur für Regionen in China)**  
AWS KMS unterstützt die folgenden Schlüsselspezifikationen für Wrapping-Schlüssel, die für SM2 den Import von asymmetrischem Schlüsselmaterial verwendet werden.  
+ SM2

## Auswählen des Verpackungsalgorithmus
<a name="select-wrapping-algorithm"></a>

Um Ihr Schlüsselmaterial während des Imports zu schützen, verschlüsseln Sie es mit dem heruntergeladenen öffentlichen Verpackungsschlüssel und einem unterstützten Verpackungsalgorithmus. 

AWS KMS unterstützt mehrere standardmäßige RSA-Wrapping-Algorithmen und einen zweistufigen Hybrid-Wrapping-Algorithmus. Im Allgemeinen empfehlen wir, den sichersten Verpackungsalgorithmus zu verwenden, der mit Ihrem importierten Schlüsselmaterial und den [Verpackungsschlüsselspezifikationen](#select-wrapping-key-spec) kompatibel ist. In der Regel wählen Sie einen Algorithmus aus, der von dem Hardwaresicherheitsmodul (HSM) oder dem Schlüsselverwaltungssystem unterstützt wird, mit dem Ihr Schlüsselmaterial geschützt werden.

In der folgenden Tabelle sind die Verpackungsalgorithmen aufgeführt, die für jeden Typ von Schlüsselmaterial und KMS-Schlüssel unterstützt werden. Die Algorithmen werden in Präferenzreihenfolge aufgeführt.


| Schlüsselmaterial | Unterstützter Verpackungsalgorithmus und -Spezifikation | 
| --- | --- | 
| Schlüssel zur symmetrischen Verschlüsselung 256-Bit-AES-Schlüssel    SM4 128-Bit-Schlüssel (nur Regionen China) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Asymmetrischer privater RSA-Schlüssel  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Asymmetrischer privater Schlüssel mit elliptischer Kurve (ECC)   Sie können die RSAES\$1OAEP\$1SHA\$1\$1-Verpackungsalgorithmen nicht mit der RSA\$12048-Verpackungsschlüsselspezifikation verwenden, um ECC\$1NIST\$1P521-Schlüsselmaterial zu verpacken. |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Asymmetrischer SM2 privater Schlüssel (nur Regionen China) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| HMAC-Schlüssel |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 

**Anmerkung**  
Die Algorithmen `RSA_AES_KEY_WRAP_SHA_256` und `RSA_AES_KEY_WRAP_SHA_1` Wrapping werden in China Regionen nicht unterstützt.
+ `RSA_AES_KEY_WRAP_SHA_256` – Ein zweistufiger Hybrid-Verpackungsalgorithmus, der die Verschlüsselung Ihres Schlüsselmaterials mit einem von Ihnen generierten symmetrischen AES-Schlüssel und die anschließende Verschlüsselung des symmetrischen AES-Schlüssels mit dem heruntergeladenen öffentlichen RSA-Verpackungsschlüssel und dem RSAES\$1OAEP\$1SHA\$1256-Verpackungsalgorithmus kombiniert.

  Für das `RSA_AES_KEY_WRAP_SHA_*` Verpacken von privatem RSA-Schlüsselmaterial ist ein Wrapping-Algorithmus erforderlich, außer in China Regionen, wo Sie den `SM2PKE` Wrapping-Algorithmus verwenden müssen.
+ `RSA_AES_KEY_WRAP_SHA_1` – Ein zweistufiger Hybrid-Verpackungsalgorithmus, der die Verschlüsselung Ihres Schlüsselmaterials mit einem von Ihnen generierten symmetrischen AES-Schlüssel und die anschließende Verschlüsselung des symmetrischen AES-Schlüssels mit dem heruntergeladenen öffentlichen RSA-Verpackungsschlüssel und dem RSAES\$1OAEP\$1SHA\$11-Verpackungsalgorithmus kombiniert.

  Für das `RSA_AES_KEY_WRAP_SHA_*` Verpacken von privatem RSA-Schlüsselmaterial ist ein Wrapping-Algorithmus erforderlich, außer in China Regionen, wo Sie den `SM2PKE` Wrapping-Algorithmus verwenden müssen.
+ `RSAES_OAEP_SHA_256` – Der RSA-Verschlüsselungsalgorithmus mit Optimal Asymmetric Encryption Padding (OAEP) mit der SHA-256-Hash-Funktion.
+ `RSAES_OAEP_SHA_1` – Der RSA-Verschlüsselungsalgorithmus mit Optimal Asymmetric Encryption Padding (OAEP) mit der SHA-1-Hash-Funktion.
+ `RSAES_PKCS1_V1_5`(Veraltet; unterstützt seit dem 10. Oktober 2023 den Wrapping-Algorithmus RSAES\$1 PKCS1 \$1V1\$15 AWS KMS nicht) — Der RSA-Verschlüsselungsalgorithmus mit dem in PKCS \$11 Version 1.5 definierten Auffüllformat.
+ `SM2PKE`(Nur Regionen China) — Ein auf elliptischen Kurven basierender Verschlüsselungsalgorithmus, der von OSCCA in GM/T 0003.4-2012 definiert wurde.

**Topics**
+ [Wählen Sie eine Spezifikation für den öffentlichen Verpackungsschlüssel](#select-wrapping-key-spec)
+ [Auswählen des Verpackungsalgorithmus](#select-wrapping-algorithm)
+ [Herunterladen des öffentlichen Verpackungsschlüssels und Import-Tokens (Konsole)](#importing-keys-get-public-key-and-token-console)
+ [Der öffentliche Schlüssel für die Verpackung und das Import-Token (AWS KMS API) werden heruntergeladen](#importing-keys-get-public-key-and-token-api)

## Herunterladen des öffentlichen Verpackungsschlüssels und Import-Tokens (Konsole)
<a name="importing-keys-get-public-key-and-token-console"></a>

Sie können die AWS KMS Konsole verwenden, um den öffentlichen Schlüssel für die Verpackung herunterzuladen und das Token zu importieren.

1. Wenn Sie gerade die Schritte zum [Erstellen eines KMS-Schlüssel ohne Schlüsselmaterial](importing-keys-create-cmk.md#importing-keys-create-cmk-console) abgeschlossen haben und sich auf der Seite **Download wrapping key and import token (Umhüllungsschlüssel und Import-Token herunterladen)** befinden, fahren Sie gleich mit [Step 10](#id-wrap-step) fort.

1. Melden Sie sich bei der Konsole AWS Key Management Service (AWS KMS) an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**.
**Tipp**  
Sie können Schlüsselmaterial nur in einen KMS-Schlüssel mit dem **Ursprung** **Extern (Schlüsselmaterial importieren)**. Dies bedeutet, dass der KMS-Schlüssel ohne Schlüsselmaterial erstellt wurde. Um die Spalte **Origin (Ursprung)** zu Ihrer Tabelle hinzuzufügen, klicken Sie auf das Symbol „Settings (Einstellungen)“ in der rechten oberen Ecke der Seite (![\[Gear or cog icon representing settings or configuration options.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/console-icon-settings-new.png)). Aktivieren Sie **Origin (Ursprung)** und wählen Sie dann **Confirm (Bestätigen)** aus.

1. Wählen Sie den Alias oder die Schlüssel-ID des KMS-Schlüssels aus, dessen Import ausstehend ist.

1. Erweitern Sie den Bereich **Cryptographic configuration (kryptografische Konfiguration)** und zeigen Sie dessen Werte an. Die Registerkarte wird unter dem Abschnitt **General Configuration (allgemeine Konfiguration)** angezeigt.

   Sie können Schlüsselmaterial nur in KMS-Schlüssel mit dem **Ursprung** **Extern (Schlüsselmaterial importieren)**. Weitere Informationen zum Erstellen von KMS-Schlüsseln mit importiertem Schlüsselmaterial finden Sie unter [Schlüsselmaterial für AWS KMS Schlüssel importieren](importing-keys.md).

1. Wählen Sie je nach Schlüsseltyp die entsprechende Registerkarte aus. 
   + Wählen Sie für asymmetrische Schlüssel und HMAC-Schlüssel die Registerkarte **Schlüsselmaterial**.
   + Wählen Sie für symmetrische Verschlüsselungsschlüssel die Registerkarte **Schlüsselmaterial und Rotationen**.

1. Wählen Sie die Importaktion aus.
   + Wählen Sie für asymmetrische Schlüssel und HMAC-Schlüssel die Option **Schlüsselmaterial importieren** aus.
   + Wählen Sie für symmetrische Verschlüsselungsschlüssel eine der folgenden Optionen:
     + **Importieren Sie das ursprüngliche Schlüsselmaterial** (falls noch kein Schlüsselmaterial importiert wurde)
     + **Neues Schlüsselmaterial importieren** (um neues Material für die Rotation hinzuzufügen)
     + **Schlüsselmaterial erneut importieren** (verfügbar im Menü **Aktionen** in der Tabelle Schlüsselmaterialien)
**Anmerkung**  
Bei Schlüsseln mit mehreren Regionen müssen Sie zuerst das neue Schlüsselmaterial in den primären Regionsschlüssel importieren. Importieren Sie dann dasselbe Schlüsselmaterial in jeden Replikat-Regionsschlüssel.  
Für Primärschlüssel mit mehreren Regionen enthält die Tabelle **Schlüsselmaterialien** eine Spalte mit dem Status des **Replikatimports**, in der der Importstatus für alle Replikatregionen angezeigt wird (z. B. „0 von 3 importiert“). Wählen Sie den Wert für den Status des Replikatimports, um ein Modal zu öffnen, das den Importstatus für jede Replikatregion anzeigt. Das Modal bietet Links zum **Importieren wichtiger Materialien** für Replikatbereiche, in denen das neue Schlüsselmaterial nicht importiert wurde.

1. Wählen Sie unter **Verpackungsschlüssel-Spezifikation auswählen** die Konfiguration für Ihren KMS-Schlüssel aus. Nachdem Sie diesen Schlüssel erstellt haben, können Sie die Schlüsselspezifikationen nicht ändern. 

1. <a name="id-wrap-step"></a>Wählen Sie für **Select wrapping algorithm** die Option aus, die Sie zum Verschlüsseln Ihres Schlüsselmaterials verwenden werden. Weitere Informationen zu den Optionen finden Sie unter [Verpackungsalgorithmus auswählen](#select-wrapping-algorithm).

1. Klicken Sie auf **Herunterladen des öffentlichen Verpackungsschlüssels und Import-Tokens** und speichern Sie dann die Datei. 

   Wenn die Option **Next (Weiter)** vorhanden ist, wählen Sie **Next (Weiter)**, um den Vorgang fortzusetzen. Um später fortzufahren, wählen Sie **Cancel (Abbrechen)**. 

1. Dekomprimieren Sie die `.zip`-Datei, die Sie im vorherigen Schritt gespeichert haben (`Import_Parameters_<key_id>_<timestamp>`).

   Der Ordner enthält die folgenden Dateien:
   + Ein umschließender öffentlicher Schlüssel in eine Datei mit dem Namen`WrappingPublicKey.bin`.
   + Ein Import-Token in einer Datei mit dem Namen `ImportToken.bin`.
   + Eine Textdatei mit dem Namen README.txt. Diese Datei enthält Informationen über den öffentlichen Verpackungsschlüssel, den zu verwendenden Verpackungsschlüssel zum Verschlüsseln Ihres Schlüsselmaterials und das Datum und die Uhrzeit des Ablaufens des öffentlichen Verpackungsschlüssels und des Import-Tokens.

1. Um mit dem Vorgang fortzufahren, nehmen Sie ihn mit dem Schritt [Verschlüsseln Ihres Schlüsselmaterials](importing-keys-encrypt-key-material.md) wieder auf. 

## Der öffentliche Schlüssel für die Verpackung und das Import-Token (AWS KMS API) werden heruntergeladen
<a name="importing-keys-get-public-key-and-token-api"></a>

Verwenden Sie die [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)API, um den öffentlichen Schlüssel herunterzuladen und das Token zu importieren. Geben Sie den KMS-Schlüssel an, der mit dem importierten Schlüsselmaterial verknüpft werden soll. Dieser KMS-Schlüssel muss einen [Urspungs](create-keys.md#key-origin)-Wert von`EXTERNAL` haben.

**Anmerkung**  
Sie können kein Schlüsselmaterial für ML-DSA-KMS-Schlüssel importieren.

In diesem Beispiel werden der `RSA_AES_KEY_WRAP_SHA_256`-Verpackungsalgorithmus, die RSA\$13072-Spezifikation zum Verpacken öffentlicher Schlüssel und ein Beispiel für eine Schlüssel-ID angegeben. Ersetzen Sie diese Beispielwerte durch gültige Werte für Ihren Download. Für die Schlüssel-ID können Sie eine [Schlüssel-ID](concepts.md#key-id-key-id) oder eine [ARN des Schlüssels](concepts.md#key-id-key-ARN) verwenden, aber keinen [Aliasnamen](concepts.md#key-id-alias-name) oder [Alias-ARN](concepts.md#key-id-alias-ARN).

```
$ aws kms get-parameters-for-import \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --wrapping-algorithm RSA_AES_KEY_WRAP_SHA_256 \
    --wrapping-key-spec RSA_3072
```

Wenn der Befehl erfolgreich ausgeführt wurde, wird eine Ausgabe ähnlich der Folgenden angezeigt:

```
{
    "ParametersValidTo": 1568290320.0,
    "PublicKey": "public key (base64 encoded)",
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "ImportToken": "import token (base64 encoded)"
}
```

Um die Daten für den nächsten Schritt vorzubereiten, dekodiert base64 den öffentlichen Schlüssel und das Import-Token und speichert die dekodierten Werte in Dateien.

So dekodieren Sie den öffentlichen Schlüssel und das Import-Token von base64:

1. Kopieren Sie den base64-codierten öffentlichen Schlüssel (*public key (base64 encoded)*in der Beispielausgabe durch), fügen Sie ihn in eine neue Datei ein, und speichern Sie die Datei dann. Geben Sie der Datei einen aussagekräftigen Namen wie `PublicKey.b64`.

1. Verwenden Sie [OpenSSL](https://openssl.org/) für die base64-Entschlüsselung der Inhalte der Datei und speichern Sie die entschlüsselten Daten in einer neuen Datei. Das folgende Beispiel decodiert die Daten in die Datei, die Sie im vorherigen Schritt gespeichert haben (`PublicKey.b64`), und speichert die Ausgabe in einer neuen Datei mit dem Namen `WrappingPublicKey.bin`.

   ```
   $ openssl enc -d -base64 -A -in PublicKey.b64 -out WrappingPublicKey.bin
   ```

1. Kopieren Sie das Base64-kodierte Import-Token (*import token (base64 encoded)*in der Beispielausgabe durch), fügen Sie es in eine neue Datei ein, und speichern Sie dann die Datei. Geben Sie der Datei einen aussagekräftigen Namen, wie z. B. `importtoken.b64`.

1. Verwenden Sie [OpenSSL](https://openssl.org/) für die base64-Entschlüsselung der Inhalte der Datei und speichern Sie die entschlüsselten Daten in einer neuen Datei. Das folgende Beispiel decodiert die Daten in die Datei, die Sie im vorherigen Schritt gespeichert haben (`ImportToken.b64`), und speichert die Ausgabe in einer neuen Datei mit dem Namen `ImportToken.bin`.

   ```
   $ openssl enc -d -base64 -A -in importtoken.b64 -out ImportToken.bin
   ```

Fahren Sie mit [Schritt 3: Verschlüsselung des Schlüsselmaterials](importing-keys-encrypt-key-material.md) fort.

# Schritt 3: Verschlüsselung des Schlüsselmaterials
<a name="importing-keys-encrypt-key-material"></a>

Nachdem Sie [den öffentlichen Schlüssel und das Import-Token heruntergeladen haben](importing-keys-get-public-key-and-token.md), verschlüsseln Sie Ihr Schlüsselmaterial mit dem öffentlichen Schlüssel, den Sie heruntergeladen haben und dem von Ihnen angegebenen Verpackungsalgorithmus. Wenn Sie den öffentlichen Schlüssel oder das Import-Token ersetzen oder den Verpackungsalgorithmus ändern müssen, müssen Sie einen neuen öffentlichen Schlüssel und Import-Token herunterladen. Hinweise zu den AWS KMS unterstützten öffentlichen Schlüsseln und Wrapping-Algorithmen finden Sie unter [Wählen Sie eine Spezifikation für den öffentlichen Verpackungsschlüssel](importing-keys-get-public-key-and-token.md#select-wrapping-key-spec) und[Auswählen des Verpackungsalgorithmus](importing-keys-get-public-key-and-token.md#select-wrapping-algorithm).

Das Schlüsselmaterial muss im Binärformat vorliegen. Weitere Informationen hierzu finden Sie unter [Anforderungen an importiertes Schlüsselmaterial](importing-keys-conceptual.md#importing-keys-material-requirements).

**Anmerkung**  
Verschlüsseln und importieren Sie bei asymmetrischen Schlüsselpaaren nur den privaten Schlüssel. AWS KMS leitet den öffentlichen Schlüssel vom privaten Schlüssel ab.  
Die folgende Kombination wird NICHT unterstützt: ECC\$1NIST\$1P521-Schlüsselmaterial, die RSA\$12048-Spezifikation für öffentliche Verpackungsschlüssel und ein RSAES\$1OAEP\$1SHA\$1\$1-Verpackungsalgorithmus.  
Sie können das Schlüsselmaterial von ECC\$1NIST\$1P521 nicht direkt mit einem öffentlichen RSA\$12048-Verpackungsschlüssel verpacken. Verwenden Sie einen größeren Verpackungsschlüssel oder einen RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1\$1-WRAP\$1\$1-Verpackungsalgorithmus.  
Die Wrapping-Algorithmen RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 und RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 werden in China Regionen nicht unterstützt.

In der Regel verschlüsseln Sie das Schlüsselmaterial, wenn Sie es aus dem Hardwaresicherheitsmodul (HSM) oder Schlüsselverwaltungssystem exportieren. Weitere Informationen zum Exportieren von Schlüsselmaterial im Binärformat finden Sie in der Dokumentation zum HSM oder Schlüsselverwaltungssystem. Sie können sich auch den folgenden Abschnitt ansehen, der eine Machbarkeitsnachweis-Demonstration unter Verwendung von OpenSSL enthält.

Verwenden Sie beim Verschlüsseln Ihres Schlüsselmaterials den gleichen Verpackungsalgorithmus, den Sie beim [Herunterladen des öffentlichen Schlüssels und Import-Tokens](importing-keys-get-public-key-and-token.md) angegeben haben. Den von Ihnen angegebenen Wrapping-Algorithmus finden Sie im Protokollereignis für die zugehörige Anfrage. CloudTrail [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)

## Generieren Sie Schlüsselmaterial für Tests
<a name="importing-keys-example-key-material"></a>

Die folgenden OpenSSL-Befehle generieren Schlüsselmaterial für jeden unterstützten Typ zum Testen. Diese Beispiele dienen nur zu Test- und proof-of-concept Demonstrationszwecken. Verwenden Sie für Produktionssysteme eine sicherere Methode zur Generierung Ihres Schlüsselmaterials, z. B. ein Hardware-Sicherheitsmodul oder ein Schlüsselverwaltungssystem.

Um die privaten Schlüssel von asymmetrischen Schlüsselpaaren in das DER-kodierte Format zu konvertieren, leiten Sie den Befehl zur Erzeugung von Schlüsselmaterial an den folgenden `openssl pkcs8`-Befehl weiter. Der `topk8`-Parameter weist OpenSSL an, einen privaten Schlüssel als Eingabe zu verwenden und einen PKCS-\$18-formatierten Schlüssel zurückzugeben. (Das Standardverhalten ist das Gegenteil.) 

```
openssl pkcs8 -topk8 -outform der -nocrypt
```

Die folgenden Befehle erzeugen Testschlüsselmaterial für jeden der unterstützten Schlüsseltypen.
+ Symmetrischer Verschlüsselungsschlüssel (32 Bytes)

  Dieser Befehl erzeugt einen symmetrischen 256-Bit-Schlüssel (32-Byte-Zufallszeichenfolge) und speichert ihn in der Datei `PlaintextKeyMaterial.bin`. Sie müssen dieses Schlüsselmaterial nicht verschlüsseln. 

  ```
  openssl rand -out PlaintextKeyMaterial.bin 32
  ```

  Nur in chinesischen Regionen müssen Sie einen symmetrischen 128-Bit-Schlüssel (16-Byte-Zufallszeichenfolge) generieren.

  ```
  openssl rand -out PlaintextKeyMaterial.bin 16
  ```
+ HMAC-Schlüssel

  Dieser Befehl generiert eine zufällige Byte-Zeichenfolge der angegebenen Größe. Sie müssen dieses Schlüsselmaterial nicht verschlüsseln. 

  Die Länge Ihres HMAC-Schlüssels muss der Länge entsprechen, die in der Schlüsselspezifikation des KMS-Schlüssels definiert ist. Wenn der KMS-Schlüssel beispielsweise HMAC\$1384 lautet, müssen Sie einen 384-Bit-Schlüssel (48 Byte) importieren.

  ```
  openssl rand -out HMAC_224_PlaintextKey.bin 28
  
  openssl rand -out HMAC_256_PlaintextKey.bin 32
  
  openssl rand -out HMAC_384_PlaintextKey.bin 48
  
  openssl rand -out HMAC_512_PlaintextKey.bin 64
  ```
+ RSA-Privatschlüssel

  ```
  openssl genpkey -algorithm rsa -pkeyopt rsa_keygen_bits:2048 | openssl pkcs8 -topk8 -outform der -nocrypt > RSA_2048_PrivateKey.der
  
  openssl genpkey -algorithm rsa -pkeyopt rsa_keygen_bits:3072 | openssl pkcs8 -topk8 -outform der -nocrypt > RSA_3072_PrivateKey.der
  
  openssl genpkey -algorithm rsa -pkeyopt rsa_keygen_bits:4096 | openssl pkcs8 -topk8 -outform der -nocrypt > RSA_4096_PrivateKey.der
  ```
+ ECC-Privatschlüssel

  ```
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-256 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_NIST_P256_PrivateKey.der
  
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-384 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_NIST_P384_PrivateKey.der
  
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-521 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_NIST_P521_PrivateKey.der
  
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:secp256k1 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_SECG_P256K1_PrivateKey.der
  ```
+ SM2 private Schlüssel (nur Regionen China)

  ```
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:sm2 | openssl pkcs8 -topk8 -outform der -nocrypt > SM2_PrivateKey.der
  ```

## Beispiele für die Verschlüsselung von Schlüsselmaterial mit OpenSSL
<a name="importing-keys-encrypt-key-material-openssl"></a>

Die folgenden Beispiele zeigen, wie Sie [OpenSSL](https://openssl.org/) verwenden, um Ihr Schlüsselmaterial mit dem öffentlichen Schlüssel zu verschlüsseln, den Sie heruntergeladen haben. Um Ihr Schlüsselmaterial mit einem SM2 öffentlichen Schlüssel zu verschlüsseln (nur Regionen China), verwenden Sie die [`SM2OfflineOperationHelper`Klasse](offline-operations.md#key-spec-sm-offline-helper). Weitere Informationen zu den wichtigsten Materialtypen, die jeder Wrapping-Algorithmus unterstützt, finden Sie unter[Auswählen des Verpackungsalgorithmus](importing-keys-get-public-key-and-token.md#select-wrapping-algorithm).

**Wichtig**  
Diese Beispiele dienen nur zur Demonstration des Konzepts. Verwenden Sie bei Produktionssystemen eine sicherere Methode (beispielsweise ein kommerzielles HSM oder Schlüsselverwaltungssystem), um Ihr Schlüsselmaterial zu generieren und zu speichern.  
Die folgende Kombination wird NICHT unterstützt: ECC\$1NIST\$1P521-Schlüsselmaterial, die RSA\$12048-Spezifikation für öffentliche Verpackungsschlüssel und ein RSAES\$1OAEP\$1SHA\$1\$1-Verpackungsalgorithmus.  
Sie können das Schlüsselmaterial von ECC\$1NIST\$1P521 nicht direkt mit einem öffentlichen RSA\$12048-Verpackungsschlüssel verpacken. Verwenden Sie einen größeren Verpackungsschlüssel oder einen RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1\$1-WRAP\$1\$1-Verpackungsalgorithmus.

------
#### [ RSAES\$1OAEP\$1SHA\$11 ]

AWS KMS unterstützt RSAES\$1OAEP\$1SHA\$11 für symmetrische Verschlüsselungsschlüssel (SYMMETRIC\$1DEFAULT), private Schlüssel mit elliptischen Kurven (ECC), private Schlüssel und HMAC-Schlüssel. SM2 

RSAES\$1OAEP\$1SHA\$11 wird für private RSA-Schlüssel nicht unterstützt. Außerdem können Sie einen öffentlichen RSA\$12048-Verpackungsschlüssel nicht mit einem RSAES\$1OAEP\$1SHA\$1\$1-Verpackungsalgorithmus verwenden, um einen privaten ECC\$1NIST\$1P521 (secp521r1)-Schlüssel zu verpacken. Sie müssen einen größeren öffentlichen Verpackungsschlüssel oder einen RSA\$1AES\$1KEY\$1WRAP-Verpackungsalgorithmus verwenden.

Im folgenden Beispiel wird Ihr Schlüsselmaterial mit dem [öffentlichen Schlüssel, den Sie heruntergeladen haben, und dem Verpackungsalgorithmus RSAES\$1OAEP\$1SHA\$11](importing-keys-get-public-key-and-token.md) verschlüsselt und in der Datei `EncryptedKeyMaterial.bin` gespeichert. 

In diesem Beispiel:
+ *`WrappingPublicKey.bin`* ist die Datei, die den heruntergeladenen öffentlichen Verpackungsschlüssel enthält. 
+ *`PlaintextKeyMaterial.bin`* ist die Datei, die das Schlüsselmaterial enthält, das Sie verschlüsseln, z. B. `PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin` oder `ECC_NIST_P521_PrivateKey.der`.

```
$ openssl pkeyutl \
    -encrypt \
    -in PlaintextKeyMaterial.bin \
    -out EncryptedKeyMaterial.bin \
    -inkey WrappingPublicKey.bin \
    -keyform DER \
    -pubin \
    -pkeyopt rsa_padding_mode:oaep \
    -pkeyopt rsa_oaep_md:sha1
```

------
#### [ RSAES\$1OAEP\$1SHA\$1256 ]

AWS KMS unterstützt RSAES\$1OAEP\$1SHA\$1256 für symmetrische Verschlüsselungsschlüssel (SYMMETRIC\$1DEFAULT), private Schlüssel mit elliptischen Kurven (ECC), private Schlüssel und HMAC-Schlüssel. SM2 

RSAES\$1OAEP\$1SHA\$1256 wird für private RSA-Schlüssel nicht unterstützt. Außerdem können Sie einen öffentlichen RSA\$12048-Verpackungsschlüssel nicht mit einem RSAES\$1OAEP\$1SHA\$1\$1-Verpackungsalgorithmus verwenden, um einen privaten ECC\$1NIST\$1P521 (secp521r1)-Schlüssel zu verpacken. Sie müssen einen größeren öffentlichen Schlüssel oder einen RSA\$1AES\$1KEY\$1WRAP-Verpackungsalgorithmus verwenden.

Im folgenden Beispiel wird Schlüsselmaterial mit dem [öffentlichen Schlüssel, den Sie heruntergeladen haben, und dem Verpackungsalgorithmus RSAES\$1OAEP\$1SHA\$1256](importing-keys-get-public-key-and-token.md) verschlüsselt und in der Datei `EncryptedKeyMaterial.bin` gespeichert. 

In diesem Beispiel:
+ *`WrappingPublicKey.bin`* ist die Datei, die den heruntergeladenen öffentlichen Verpackungsschlüssel enthält. Wenn Sie den öffentlichen Schlüssel über die Konsole heruntergeladen haben, hat diese Datei den Namen `wrappingKey_KMS key_key_ID_timestamp` (z. B. `wrappingKey_f44c4e20-f83c-48f4-adc6-a1ef38829760_0809092909`). 
+ *`PlaintextKeyMaterial.bin`* ist die Datei, die das Schlüsselmaterial enthält, das Sie verschlüsseln, z. B. `PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin` oder `ECC_NIST_P521_PrivateKey.der`.

```
$ openssl pkeyutl \
    -encrypt \
    -in PlaintextKeyMaterial.bin \
    -out EncryptedKeyMaterial.bin \
    -inkey WrappingPublicKey.bin \
    -keyform DER \
    -pubin \
    -pkeyopt rsa_padding_mode:oaep \
    -pkeyopt rsa_oaep_md:sha256 \
    -pkeyopt rsa_mgf1_md:sha256
```

------
#### [ RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 ]

Der Verpackungsalgorithmus RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 umfasst zwei Verschlüsselungsoperationen.

1. Verpacken Sie Ihr Schlüsselmaterial mit einem von Ihnen generierten symmetrischen AES-Schlüssel und einem symmetrischen AES-Verpackungsalgorithmus.

1. Verschlüsseln Sie den symmetrischen AES-Schlüssel, den Sie verwendet haben, mit dem öffentlichen Schlüssel, den Sie heruntergeladen haben, und dem RSAES\$1OAEP\$1SHA\$11-Verpackungsalgorithmus.

Der Verpackungsalgorithmus RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 erfordert OpenSSL Version 3. *x* oder später.

1. 

**Generieren Sie einen symmetrischen 256-Bit-AES-Schlüssel für die Verschlüsselung**

   Dieser Befehl generiert einen symmetrischen AES-Verpackungsschlüssel, der aus 256 zufälligen Bits besteht, und speichert ihn in der Datei `aes-key.bin`

   ```
   # Generate a 32-byte AES symmetric encryption key
   $ openssl rand -out aes-key.bin 32
   ```

1. 

**Verschlüsseln Sie Ihr Schlüsselmaterial mit dem symmetrischen AES-Verschlüsselungsschlüssel**

   Dieser Befehl verschlüsselt Ihr Schlüsselmaterial mit dem symmetrischen AES-Verschlüsselungsschlüssel und speichert das verschlüsselte Schlüsselmaterial in der Datei `key-material-wrapped.bin`.

   In diesem Beispielbefehl:
   + *`PlaintextKeyMaterial.bin`* ist die Datei, die das Schlüsselmaterial enthält, das Sie importieren, z. B. `PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin`, `RSA_3072_PrivateKey.der` oder `ECC_NIST_P521_PrivateKey.der`.
   + *`aes-key.bin`* ist die Datei, die den symmetrischen 256-Bit-AES-Verschlüsselungsschlüssel enthält, den Sie mit dem vorherigen Befehl erzeugt haben.

   ```
   # Encrypt your key material with the AES symmetric encryption key
   $ openssl enc -id-aes256-wrap-pad \
           -K "$(xxd -p < aes-key.bin | tr -d '\n')" \
           -iv A65959A6 \
           -in PlaintextKeyMaterial.bin \
           -out key-material-wrapped.bin
   ```

1. 

**Verschlüsseln Sie Ihren symmetrischen AES-Verschlüsselungsschlüssel mit dem öffentlichen Schlüssel**

   Dieser Befehl verschlüsselt Ihren symmetrischen AES-Verschlüsselungsschlüssel mit dem öffentlichen Schlüssel, den Sie heruntergeladen haben, und dem RSAES\$1OAEP\$1SHA\$11-Verpackungsalgorithmus, DER-kodiert ihn und speichert ihn in der Datei `aes-key-wrapped.bin`. 

   In diesem Beispielbefehl:
   + *`WrappingPublicKey.bin`* ist die Datei, die den heruntergeladenen öffentlichen Verpackungsschlüssel enthält. Wenn Sie den öffentlichen Schlüssel über die Konsole heruntergeladen haben, hat diese Datei den Namen `wrappingKey_KMS key_key_ID_timestamp` (z. B. `wrappingKey_f44c4e20-f83c-48f4-adc6-a1ef38829760_0809092909`
   + *`aes-key.bin`* ist die Datei, die den symmetrischen 256-Bit-AES-Verschlüsselungsschlüssel enthält, den Sie im ersten Befehl in dieser Beispielsequenz generiert haben.

   ```
   # Encrypt your AES symmetric encryption key with the downloaded public key
   $ openssl pkeyutl \
       -encrypt \
       -in aes-key.bin \
       -out aes-key-wrapped.bin \
       -inkey WrappingPublicKey.bin \
       -keyform DER \
       -pubin \
       -pkeyopt rsa_padding_mode:oaep \
       -pkeyopt rsa_oaep_md:sha1 \
       -pkeyopt rsa_mgf1_md:sha1
   ```

1. 

**Generieren Sie die zu importierende Datei**

   Verketten Sie die Datei mit dem verschlüsselten Schlüsselmaterial und die Datei mit dem verschlüsselten AES-Schlüssel. Speichern Sie sie in der `EncryptedKeyMaterial.bin`-Datei, die Sie in [Schritt 4: Importieren des Schlüsselmaterials](importing-keys-import-key-material.md) importieren werden.

   In diesem Beispielbefehl:
   + *`key-material-wrapped.bin`* ist die Datei, die das verschlüsselte Schlüsselmaterial enthält.
   + *`aes-key-wrapped.bin`* ist die Datei, die den verschlüsselten AES-Verschlüsselungsschlüssel enthält.

   ```
   # Combine the encrypted AES key and encrypted key material in a file
   $ cat aes-key-wrapped.bin key-material-wrapped.bin > EncryptedKeyMaterial.bin
   ```

------
#### [ RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 ]

Der Verpackungsalgorithmus RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 umfasst zwei Verschlüsselungsoperationen.

1. Verpacken Sie Ihr Schlüsselmaterial mit einem von Ihnen generierten symmetrischen AES-Schlüssel und einem symmetrischen AES-Verpackungsalgorithmus.

1. Verschlüsseln Sie den symmetrischen AES-Schlüssel, den Sie verwendet haben, mit dem öffentlichen Schlüssel, den Sie heruntergeladen haben, und dem RSAES\$1OAEP\$1SHA\$1256-Verpackungsalgorithmus.

Der Verpackungsalgorithmus RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 erfordert OpenSSL Version 3. *x* oder später.

1. 

**Generieren Sie einen symmetrischen 256-Bit-AES-Schlüssel für die Verschlüsselung**

   Dieser Befehl generiert einen symmetrischen AES-Verpackungsschlüssel, der aus 256 zufälligen Bits besteht, und speichert ihn in der Datei `aes-key.bin`

   ```
   # Generate a 32-byte AES symmetric encryption key
   $ openssl rand -out aes-key.bin 32
   ```

1. 

**Verschlüsseln Sie Ihr Schlüsselmaterial mit dem symmetrischen AES-Verschlüsselungsschlüssel**

   Dieser Befehl verschlüsselt Ihr Schlüsselmaterial mit dem symmetrischen AES-Verschlüsselungsschlüssel und speichert das verschlüsselte Schlüsselmaterial in der Datei `key-material-wrapped.bin`.

   In diesem Beispielbefehl:
   + *`PlaintextKeyMaterial.bin`* ist die Datei, die das Schlüsselmaterial enthält, das Sie importieren, z. B. `PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin`, `RSA_3072_PrivateKey.der` oder `ECC_NIST_P521_PrivateKey.der`.
   + *`aes-key.bin`* ist die Datei, die den symmetrischen 256-Bit-AES-Verschlüsselungsschlüssel enthält, den Sie mit dem vorherigen Befehl erzeugt haben.

   ```
   # Encrypt your key material with the AES symmetric encryption key
   $ openssl enc -id-aes256-wrap-pad \
           -K "$(xxd -p < aes-key.bin | tr -d '\n')" \
           -iv A65959A6 \
           -in PlaintextKeyMaterial.bin \
           -out key-material-wrapped.bin
   ```

1. 

**Verschlüsseln Sie Ihren symmetrischen AES-Verschlüsselungsschlüssel mit dem öffentlichen Schlüssel**

   Dieser Befehl verschlüsselt Ihren symmetrischen AES-Verschlüsselungsschlüssel mit dem öffentlichen Schlüssel, den Sie heruntergeladen haben, und dem RSAES\$1OAEP\$1SHA\$1256-Verpackungsalgorithmus, DER-kodiert ihn und speichert ihn in der Datei `aes-key-wrapped.bin`. 

   In diesem Beispielbefehl:
   + *`WrappingPublicKey.bin`* ist die Datei, die den heruntergeladenen öffentlichen Verpackungsschlüssel enthält. Wenn Sie den öffentlichen Schlüssel über die Konsole heruntergeladen haben, hat diese Datei den Namen `wrappingKey_KMS key_key_ID_timestamp` (z. B. `wrappingKey_f44c4e20-f83c-48f4-adc6-a1ef38829760_0809092909`
   + *`aes-key.bin`* ist die Datei, die den symmetrischen 256-Bit-AES-Verschlüsselungsschlüssel enthält, den Sie im ersten Befehl in dieser Beispielsequenz generiert haben.

   ```
   # Encrypt your AES symmetric encryption key with the downloaded public key
   $ openssl pkeyutl \
       -encrypt \
       -in aes-key.bin \
       -out aes-key-wrapped.bin \
       -inkey WrappingPublicKey.bin \
       -keyform DER \
       -pubin \
       -pkeyopt rsa_padding_mode:oaep \
       -pkeyopt rsa_oaep_md:sha256 \
       -pkeyopt rsa_mgf1_md:sha256
   ```

1. 

**Generieren Sie die zu importierende Datei**

   Verketten Sie die Datei mit dem verschlüsselten Schlüsselmaterial und die Datei mit dem verschlüsselten AES-Schlüssel. Speichern Sie sie in der `EncryptedKeyMaterial.bin`-Datei, die Sie in [Schritt 4: Importieren des Schlüsselmaterials](importing-keys-import-key-material.md) importieren werden.

   In diesem Beispielbefehl:
   + *`key-material-wrapped.bin`* ist die Datei, die das verschlüsselte Schlüsselmaterial enthält.
   + *`aes-key-wrapped.bin`* ist die Datei, die den verschlüsselten AES-Verschlüsselungsschlüssel enthält.

   ```
   # Combine the encrypted AES key and encrypted key material in a file
   $ cat aes-key-wrapped.bin key-material-wrapped.bin > EncryptedKeyMaterial.bin
   ```

------

Fahren Sie mit [Schritt 4: Importieren des Schlüsselmaterials](importing-keys-import-key-material.md) fort.

# Schritt 4: Importieren des Schlüsselmaterials
<a name="importing-keys-import-key-material"></a>

Nachdem Sie Ihr [Schlüsselmaterial verschlüsselt](importing-keys-encrypt-key-material.md) haben, können Sie das Schlüsselmaterial importieren, um es mit einem AWS KMS key zu verwenden. Um Schlüsselmaterial zu importieren, laden Sie das verschlüsselte Schlüsselmaterial aus [Schritt 3: Verschlüsselung des Schlüsselmaterials](importing-keys-encrypt-key-material.md) und den Import-Token, den Sie von [Schritt 2: Herunterladen des öffentlichen Verpackungsschlüssels und des Import-Tokens](importing-keys-get-public-key-and-token.md) heruntergeladen haben, hoch. Sie müssen das Schlüsselmaterial in den gleichen KMS-Schlüssel importieren, den Sie auch beim [Herunterladen des öffentlichen Schlüssels und Import-Tokens](importing-keys-get-public-key-and-token.md) angegeben haben. Wenn Schlüsselmaterial erfolgreich importiert wird, ändert sich der [Schlüsselstatus](key-state.md) des KMS-Schlüssels auf `Enabled`, und Sie können den KMS-Schlüssel in kryptografischen Operationen verwenden.

Wenn Sie Schlüsselmaterial importieren, können Sie [ein optionales Ablaufdatum für das Schlüsselmaterial festlegen](#importing-keys-expiration). Wenn das Schlüsselmaterial abgelaufen ist, löscht AWS KMS das Schlüsselmaterial und der KMS-Schlüssel kann nicht mehr verwendet werden. Nachdem Sie Ihr Schlüsselmaterial importiert haben, können Sie das Ablaufdatum für den aktuellen Import nicht mehr festlegen, ändern oder stornieren. Um diese Werte zu ändern, müssen Sie dasselbe [Schlüsselmaterial erneut importieren](#reimport-key-material).

Bei allen KMS-Schlüsseln mit `EXTERNAL` Ursprung wird das erste Schlüsselmaterial, das in sie importiert wurde, aktuell und dauerhaft mit ihnen verknüpft. Symmetrische Verschlüsselungsschlüssel mit `EXTERNAL` Ursprung unterstützen die Rotation nach Bedarf. Sie können importierten Schlüsseln, die die Rotation bei Bedarf unterstützen, mehrere Schlüsselmaterialien zuordnen. Das Verfahren zum Importieren von neuem Schlüsselmaterial unterscheidet sich für Schlüssel mit einer Region und Schlüssel mit mehreren Regionen, wie im Abschnitt [Neues Schlüsselmaterial importieren](#import-new-key-material) beschrieben. Sie müssen den `importType` Parameter für die [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)Aktion auf `NEW_KEY_MATERIAL` festlegen, um neues Schlüsselmaterial einem KMS-Schlüssel zuzuordnen. Der Standardwert des optionalen `ImportType` Parameters ist`EXISTING_KEY_MATERIAL`. Wenn Sie den `ImportType` Parameter weglassen oder als angeben`EXISTING_KEY_MATERIAL`, müssen Sie ein Schlüsselmaterial importieren, das zuvor dem KMS-Schlüssel zugeordnet war.

Bei asymmetrischen Schlüsseln oder HMAC-KMS-Schlüsseln mit `EXTERNAL` Ursprung kann dem Schlüssel immer nur ein Schlüsselmaterial zugeordnet werden. AWS KMS lehnt [ ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)API-Anfragen mit dem `ImportType` Parameter ab.

Wenn alle Schlüsselmaterialien importiert werden, die dauerhaft mit einem KMS-Schlüssel verknüpft sind, steht der KMS-Schlüssel für kryptografische Operationen zur Verfügung. Wenn eines dieser Schlüsselmaterialien gelöscht wird oder abläuft, ändert sich der Status des KMS-Schlüssels `PendingImport` und der Schlüssel ist für kryptografische Operationen unbrauchbar.

Um Schlüsselmaterial zu importieren, können Sie die [AWS KMS Konsole oder die [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)API](#importing-keys-import-key-material-console) verwenden. Sie können die API direkt verwenden, indem Sie HTTP-Anfragen stellen oder ein [AWS SDKs](https://aws.amazon.com/tools/#sdk), [AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/)oder verwenden [AWS -Tools für PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/).

Wenn Sie das Schlüsselmaterial importieren, wird Ihrem AWS CloudTrail Protokoll ein [ImportKeyMaterialEintrag](ct-importkeymaterial.md) hinzugefügt, um den `ImportKeyMaterial` Vorgang aufzuzeichnen. Der CloudTrail Eintrag ist derselbe, unabhängig davon, ob Sie die AWS KMS Konsole oder die AWS KMS API verwenden.

## Festlegen einer Ablaufzeit (optional)
<a name="importing-keys-expiration"></a>

Wenn Sie das Schlüsselmaterial für Ihren KMS-Schlüssel importieren, können Sie optional ein Ablaufdatum und eine Ablaufzeit für das Schlüsselmaterial von bis zu 365 Tagen ab dem Importdatum festlegen. Wenn importiertes Schlüsselmaterial abläuft, AWS KMS wird es gelöscht. Diese Aktion ändert den [Status des KMS-Schlüssels](key-state.md#key-state-table) zu `PendingImport`, wodurch verhindert wird, dass er in kryptografischen Operationen verwendet wird. Wenn Sie den KMS-Schlüssel verwenden möchten, müssen Sie [das Schlüsselmaterial erneut importieren](#reimport-key-material). 

Wenn Sie sicherstellen, dass importiertes Schlüsselmaterial häufig abläuft, können Sie zwar die gesetzlichen Anforderungen erfüllen, jedoch birgt dies ein zusätzliches Risiko für Daten, die unter dem KMS-Schlüssel verschlüsselt sind. Solange Sie keine Kopie des ursprünglichen Schlüsselmaterials neu importieren, ist ein KMS-Schlüssel mit abgelaufenem Schlüsselmaterial unbrauchbar, und alle unter dem KMS-Schlüssel verschlüsselten Daten sind unzugänglich. Wenn Sie das Schlüsselmaterial aus irgendeinem Grund, einschließlich des Verlusts Ihrer Kopie des ursprünglichen Schlüsselmaterials, nicht erneut importieren, ist der KMS-Schlüssel dauerhaft unbrauchbar, und die unter dem KMS-Schlüssel verschlüsselten Daten sind nicht wiederherstellbar. 

Um dieses Risiko zu minimieren, sollten Sie sicherstellen, dass auf Ihre Kopie des importierten Schlüsselmaterials zugegriffen werden kann, und ein System einrichten, das das Schlüsselmaterial löscht und erneut importiert, bevor es abläuft und Ihre Arbeitslast unterbricht. AWS Wir empfehlen Ihnen, [einen Alarm für den Ablauf Ihres importierten Schlüsselmaterials einzustellen](imported-key-material-expiration-alarm.md), der Ihnen genügend Zeit gibt, das Schlüsselmaterial vor Ablauf erneut zu importieren. Sie können Ihre CloudTrail Protokolle auch verwenden, um Vorgänge zu überprüfen, bei denen Schlüsselmaterial [importiert (und erneut importiert) und importiertes Schlüsselmaterial](ct-importkeymaterial.md) [gelöscht](ct-deleteimportedkeymaterial.md) wird, sowie den AWS KMS Vorgang zum [Löschen](ct-deleteexpiredkeymaterial.md) abgelaufener Schlüsselmaterialien.

AWS KMS Das gelöschte Schlüsselmaterial kann nicht wiederhergestellt, wiederhergestellt oder reproduziert werden. Anstatt eine Ablaufzeit festzulegen, können Sie das importierte Schlüsselmaterial programmgesteuert [löschen](importing-keys-delete-key-material.md) und in regelmäßigen Abständen [erneut importieren](#reimport-key-material). Die Anforderungen für die Beibehaltung einer Kopie des ursprünglichen Schlüsselmaterials sind jedoch dieselben.

Sie legen fest, ob und wann importiertes Schlüsselmaterial abläuft, wenn Sie das Schlüsselmaterial importieren. Sie können das Ablaufdatum jedoch ein- und ausschalten oder eine neue Ablaufzeit festlegen, indem Sie das Schlüsselmaterial erneut importieren. Verwenden Sie den `ExpirationModel` Parameter von [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html), um den Ablauf ein- (`KEY_MATERIAL_EXPIRES`) und auszuschalten (`KEY_MATERIAL_DOES_NOT_EXPIRE`), und den `ValidTo` Parameter, um die Ablaufzeit festzulegen. Der maximale Zeitraum beträgt 365 Tage ab dem Import der Daten. Es gibt kein Minimum, aber der Zeitpunkt muss in der Zukunft liegen.

## Geben Sie die Beschreibung des wichtigsten Materials ein
<a name="set-key-material-description"></a>

Symmetrischen Verschlüsselungsschlüsseln mit `EXTERNAL` Ursprung können mehrere Schlüsselmaterialien zugeordnet sein. Sie können eine optionale Beschreibung des Schlüsselmaterials angeben, wenn Sie Schlüsselmaterial in solche Schlüssel importieren. Anhand der Beschreibung kann nachverfolgt werden, wo das entsprechende Schlüsselmaterial dauerhaft draußen AWS KMS aufbewahrt wird. 

Bei Schlüsseln mit mehreren Regionen können Sie die Beschreibung des Schlüsselmaterials nur für den primären Regionsschlüssel festlegen oder ändern. AWS KMS überträgt die Beschreibung des Schlüsselmaterials automatisch auf die Regionsschlüssel der Replikate.

## Importieren neuen Schlüsselmaterials
<a name="import-new-key-material"></a>

Um bei Bedarf einen KMS-Schlüssel mit symmetrischer Verschlüsselung und importiertem Schlüsselmaterial zu rotieren, müssen Sie zunächst neues Schlüsselmaterial importieren, das dem Schlüssel noch nicht zugeordnet war.
+ **Schlüssel für einzelne Regionen**
  + Verwenden Sie den [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)Vorgang, bei dem der `ImportType` Parameter auf gesetzt ist`NEW_KEY_MATERIAL`, um diese Aufgabe auszuführen. Dieses Schlüsselmaterial ist dem Schlüssel erst dann dauerhaft zugeordnet, wenn Sie die [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)Operation ausführen oder den Schlüssel in der drehen AWS-Managementkonsole. Bis dahin befindet sich dieses Schlüsselmaterial im `PENDING_ROTATION` Zustand. Ein KMS-Schlüssel kann zu jedem Zeitpunkt höchstens ein Schlüsselmaterial im `PENDING_ROTATION` Status haben. Ein Schlüsselmaterial im `PENDING_ROTATION` Status kann gelöscht werden, ohne dass die Verwendbarkeit des Schlüssels bei kryptografischen Vorgängen beeinträchtigt wird.
+ **Multiregionale Schlüssel**
  + Um Schlüsselmaterial in einen Schlüssel mit mehreren Regionen zu importieren, müssen Sie das neue Schlüsselmaterial zuerst in den primären Regionsschlüssel importieren. Sie können neue Schlüsselmaterialien nicht direkt in replizierte Regionsschlüssel importieren. Nachdem Sie neues Schlüsselmaterial in den primären Regionsschlüssel importiert haben, können Sie dieselben Schlüsselmaterialien in die Regionsschlüssel des Replikats importieren.
  + Verwenden Sie die [https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)Operation, bei der der `ImportType` Parameter **NEW\$1KEY\$1MATERIAL** für den primären Regionsschlüssel auf gesetzt ist, um diese Aufgabe auszuführen. Verwenden Sie für den Replikat-Regionsschlüssel den **EXISTING\$1KEY\$1MATERIAL** Parameter for `ImportType` für den `ImportKeyMaterial` Vorgang.
  + Das Schlüsselmaterial für multiregionale Schlüssel mit symmetrischer Verschlüsselung muss in alle Regionsschlüssel und primären Regionsschlüssel des Replikats importiert werden, bevor der Status des Schlüsselmaterials in den Status wechselt. `PENDING_ROTATION` Bis dahin hat das neue Schlüsselmaterial folgenden Status: `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` Ein KMS-Schlüssel kann zu einem beliebigen Zeitpunkt höchstens ein Schlüsselmaterial im `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` Status `PENDING_ROTATION` oder Status haben (siehe `KeyMaterialState` Beschreibung unter [RotationsListEntry](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotationsListEntry.html)). Ein Schlüsselmaterial im `PENDING_ROTATION` Status `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` oder ist nicht dauerhaft mit dem Schlüssel verknüpft und kann gelöscht werden, ohne dass die Verwendbarkeit des Schlüssels bei kryptografischen Vorgängen beeinträchtigt wird. 

## Schlüsselmaterial erneut importieren
<a name="reimport-key-material"></a>

Wenn Sie einen KMS-Schlüssel mit importiertem Schlüsselmaterial verwalten, müssen Sie das Schlüsselmaterial möglicherweise erneut importieren. Sie können das Schlüsselmaterial erneut importieren, um ablaufendes odergelöschtes Schlüsselmaterial zu ersetzen oder um das Ablaufmodell oder das Ablaufdatum des Schlüsselmaterials zu ändern.

Sie können Schlüsselmaterial jederzeit nach einem beliebigen Zeitplan, der Ihren Sicherheitsanforderungen entspricht, wieder importieren. Sie müssen nicht warten, bis das Schlüsselmaterial seine Ablaufzeit erreicht oder fast erreicht hat.

Das Verfahren zum erneuten Importieren von Schlüsselmaterial entspricht dem Verfahren, das Sie für den ersten Import des Schlüsselmaterials verwenden, mit den folgenden Ausnahmen.
+ Verwenden Sie einen vorhandenen KMS-Schlüssel, anstatt einen neuen KMS-Schlüssel zu erstellen. Sie können [Schritt 1](importing-keys-create-cmk.md) des Importvorgangs überspringen.
+ Wenn Sie Schlüsselmaterial erneut importieren, können Sie das Ablaufmodell und das Ablaufdatum ändern. Bei symmetrischen Verschlüsselungsschlüsseln können Sie auch die Beschreibung des Schlüsselmaterials ändern.

  Bei Schlüsseln mit mehreren Regionen können Sie die Beschreibung des Schlüsselmaterials nur für den primären Regionsschlüssel festlegen oder ändern. AWS KMS überträgt die Beschreibung des Schlüsselmaterials automatisch auf die Regionsschlüssel der Replikate.

Jedes Mal, wenn Sie Schlüsselmaterial in einen KMS-Schlüssel importieren, müssen Sie [einen neuen Verpackungsschlüssel und ein Import-Token](importing-keys-get-public-key-and-token.md) für den KMS-Schlüssel herunterladen und verwenden. Das Verpackungsverfahren hat keine Auswirkungen auf den Inhalt des Schlüsselmaterials. Sie können also unterschiedliche öffentliche Verpackungsschlüssel und unterschiedliche Verpackungsalgorithmen verwenden, um das gleiche Schlüsselmaterial zu importieren.

## Importieren von Schlüsselmaterial (Konsole)
<a name="importing-keys-import-key-material-console"></a>

Sie können das verwenden, um AWS-Managementkonsole Schlüsselmaterial zu importieren.

1. Wenn Sie sich auf der Seite **Ihr verpacktes Schlüsselmaterial hochladen** befinden, fahren Sie mit [Step 10](#id-key-materials-step) fort.

1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**.

1. Wählen Sie die Schlüssel-ID oder den Alias des KMS-Schlüssels, für den Sie den öffentlichen Schlüssel und das Import-Token heruntergeladen haben.

1. Erweitern Sie den Bereich **Cryptographic configuration (kryptografische Konfiguration)** und zeigen Sie dessen Werte an. Die Registerkarten befinden sich auf der Detailseite für einen KMS-Schlüssel unter dem Abschnitt **General configuration (allgemeine Konfiguration)**.

   Sie können Schlüsselmaterial nur in KMS-Schlüssel mit dem **Ursprung** **Extern (Schlüsselmaterial importieren)**. Weitere Informationen zum Erstellen eines KMS-Schlüssels mit importiertem Schlüsselmaterial finden Sie unter [Schlüsselmaterial für AWS KMS Schlüssel importieren](importing-keys.md).

1. Wählen Sie je nach Schlüsseltyp die entsprechende Registerkarte aus.
   + Wählen Sie für asymmetrische Schlüssel und HMAC-Schlüssel die Registerkarte **Schlüsselmaterial**.
   + Wählen Sie für symmetrische Verschlüsselungsschlüssel die Registerkarte **Schlüsselmaterial und Rotationen**.

1. Wählen Sie die Importaktion aus.
   + Wählen Sie für asymmetrische Schlüssel und HMAC-Schlüssel die Option **Schlüsselmaterial importieren** aus.
   + Wählen Sie für symmetrische Verschlüsselungsschlüssel eine der folgenden Optionen:
     + **Importieren Sie das ursprüngliche Schlüsselmaterial** (falls noch kein Schlüsselmaterial importiert wurde)
     + **Neues Schlüsselmaterial importieren** (um neues Material für die Rotation hinzuzufügen)
     + **Schlüsselmaterial erneut importieren** (verfügbar im Menü **Aktionen** in der Tabelle mit Schlüsselmaterialien)
**Anmerkung**  
Bei Schlüsseln mit mehreren Regionen müssen Sie zuerst das neue Schlüsselmaterial in den primären Regionsschlüssel importieren. Importieren Sie dann dasselbe Schlüsselmaterial in jeden Replikat-Regionsschlüssel.  
Für Primärschlüssel mit mehreren Regionen enthält die Tabelle **Schlüsselmaterialien** eine Spalte mit dem Status des **Replikatimports**, in der der Importstatus für alle Replikatregionen angezeigt wird (z. B. „0 von 3 importiert“). Wählen Sie den Wert für den Status des Replikatimports, um ein Modal zu öffnen, das den Importstatus für jede Replikatregion anzeigt. Das Modal bietet Links zum **Importieren wichtiger Materialien** für Replikatbereiche, in denen das neue Schlüsselmaterial nicht importiert wurde.

1. Wenn Sie das Schlüsselmaterial und Import-Token heruntergeladen haben und das Schlüsselmaterial verschlüsselt haben, wählen Sie **Weiter**.
**Anmerkung**  
Bei Schlüsseln mit mehreren Regionen müssen Sie zuerst das neue Schlüsselmaterial in den primären Regionsschlüssel importieren. Anschließend können Sie dasselbe Schlüsselmaterial in die Regionsschlüssel des Replikats importieren.

1. <a name="id-key-materials-step"></a>Gehen Sie im Abschnitt **Verschlüsseltes Schlüsselmaterial und Import-Token** wie folgt vor.

   1. Wählen Sie unter **Verpacktes Schlüsselmaterial** **Datei auswählen** aus. Laden Sie dann die Datei hoch, die das durch den Umhüllungsschlüssel geschützte Schlüsselmaterial enthält. 

   1. Wählen Sie unter **Token importieren** die Option **Datei wählen**. Laden Sie die [heruntergeladene](importing-keys-get-public-key-and-token.md#importing-keys-get-public-key-and-token-console) Datei mit dem Import-Token hoch.

1. Wählen Sie im Bereich **Expiration option (Ablaufoption)** aus, ob das Schlüsselmaterial abläuft. Um ein Ablaufdatum und eine Uhrzeit festzulegen, wählen Sie **Key material expires (Schlüsselmaterial läuft ab)** und wählen Sie dann Datum und Uhrzeit über das Kalendersteuerelement aus. Sie können ein Datum angeben, das bis zu 365 Tage nach dem aktuellen Datum und der aktuellen Uhrzeit liegt.

1. Bei symmetrischen Verschlüsselungsschlüsseln können Sie optional eine Beschreibung für das zu importierende Schlüsselmaterial angeben. 

1. Wählen Sie **Schlüsselmaterial importieren** aus.

## Schlüsselmaterial importieren (AWS KMS API)
<a name="importing-keys-import-key-material-api"></a>

Verwenden Sie den [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)Vorgang, um Schlüsselmaterial zu importieren. Für die folgenden Beispiele wird die [AWS CLI](https://aws.amazon.com/cli/)verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.

Zur Verwendung dieses Beispiels gehen Sie wie folgt vor:

1. Ersetzen Sie `1234abcd-12ab-34cd-56ef-1234567890ab` durch eine Schlüssel-ID des KMS-Schlüssels, den Sie beim Herunterladen des öffentlichen Schlüssels und des Import-Tokens angegeben haben. Verwenden Sie zum Identifizieren des KMS-Schlüssels seine [Schlüssel-ID](concepts.md#key-id-key-id) oder den [Schlüssel-ARN](concepts.md#key-id-key-ARN). Sie können für diese Operation keinen [Alias-Namen](concepts.md#key-id-alias-name) oder [Alias-ARN](concepts.md#key-id-alias-ARN) verwenden.

1. Ersetzen Sie `EncryptedKeyMaterial.bin` durch den Namen der Datei, die das verschlüsselten Schlüsselmaterial enthält.

1. Ersetzen Sie `ImportToken.bin` durch den Namen der Datei, die den Import-Token enthält.

1. Wenn das importierte Schlüsselmaterial ablaufen soll, setzen Sie den Wert für den `expiration-model`-Parameter auf den Standardwert zurück, `KEY_MATERIAL_EXPIRES`, oder lassen Sie den `expiration-model`-Parameter weg. Ersetzen Sie dann den Wert des `valid-to`-Parameters mit dem Datum und der Uhrzeit, zu der das Schlüsselmaterial ablaufen soll. Datum und Uhrzeit können bis zu 365 Tage ab dem Zeitpunkt der Anfrage betragen. 

   ```
   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_EXPIRES \
       --valid-to 2023-06-17T12:00:00-08:00
   ```

   Wenn das importierte Schlüsselmaterial nicht ablaufen soll, setzen Sie den Wert für den `expiration-model`-Parameter auf`KEY_MATERIAL_DOES_NOT_EXPIRE` und lassen Sie den `valid-to`-Parameter aus dem Befehl weg.

   ```
   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_DOES_NOT_EXPIRE
   ```

1. Wenn Sie neues Schlüsselmaterial importieren möchten, das zuvor nicht mit dem KMS-Schlüssel verknüpft war, legen Sie den `ImportType` Parameter auf fest`NEW_KEY_MATERIAL`. Diese Option kann nur mit symmetrischen Verschlüsselungsschlüsseln verwendet werden. Für diese Schlüssel können Sie im folgenden Befehlszeilenbeispiel auch den optionalen `KeyMaterialDescription` Parameter verwenden, um eine Beschreibung für das importierte Schlüsselmaterial festzulegen: 

   ```
   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_EXPIRES \
       --valid-to 2023-06-17T12:00:00-08:00 \
       --import-type NEW_KEY_MATERIAL \
       --key-material-description "Q2 2025 Rotation"
   ```

1. Bei Schlüsseln mit mehreren Regionen können Sie die Beschreibung des Schlüsselmaterials nur für den primären Regionsschlüssel festlegen oder ändern. AWS KMS überträgt die Beschreibung des Schlüsselmaterials automatisch auf die Regionsschlüssel der Replikate.

**Tipp**  
Wenn der Befehl nicht erfolgreich ist, wird möglicherweise eine `KMSInvalidStateException` oder eine `NotFoundException` angezeigt. Sie können die Anfrage wiederholen.

# Einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher erstellen
<a name="create-cmk-keystore"></a>

Nachdem Sie einen AWS CloudHSM Schlüsselspeicher erstellt haben, können Sie ihn AWS KMS keys in Ihrem Schlüsselspeicher erstellen. Es muss sich um [KMS-Schlüssel mit symmetrischer Verschlüsselung](symm-asymm-choose-key-spec.md#symmetric-cmks) und AWS KMS generiertem Schlüsselmaterial handeln. Sie können [asymmetrische KMS-Schlüssel](symmetric-asymmetric.md), [HMAC-KMS-Schlüssel](hmac.md) oder KMS-Schlüssel mit [importiertem Schlüsselmaterial](importing-keys.md) nicht in einem benutzerdefinierten Schlüsselspeicher erstellen. Außerdem können Sie auch keine KMS-Schlüssel mit symmetrischer Verschlüsselung in einem benutzerdefinierten Schlüsselspeicher verwenden, um asymmetrische Datenschlüsselpaare zu generieren. KMS kann nicht IPv6 mit AWS CloudHSM Schlüsselspeichern kommunizieren.

Um einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher zu erstellen, muss der AWS CloudHSM Schlüsselspeicher mit [dem zugehörigen AWS CloudHSM Cluster verbunden](connect-keystore.md) sein und der Cluster muss mindestens zwei aktive Mitglieder HSMs in unterschiedlichen Availability Zones enthalten. Den Verbindungsstatus und die Anzahl der HSMs Verbindungen finden Sie auf der [Seite mit den AWS CloudHSM Schlüsselspeichern](view-keystore.md#view-keystore-console) in der AWS-Managementkonsole. Wenn Sie die API-Operationen verwenden, verwenden Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang, um zu überprüfen, ob der AWS CloudHSM Schlüsselspeicher verbunden ist. Verwenden Sie den AWS CloudHSM [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)Vorgang, um die Anzahl der aktiven Personen HSMs im Cluster und deren Availability Zones zu überprüfen.

Wenn Sie einen KMS-Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher erstellen, AWS KMS wird der KMS-Schlüssel in erstellt AWS KMS. Es erstellt jedoch das Schlüsselmaterial für den KMS-Schlüssel im zugehörigen AWS CloudHSM Cluster. Insbesondere AWS KMS meldet es sich als die von [Ihnen erstellte `kmsuser` CU beim](create-keystore.md#before-keystore) Cluster an. Anschließend erstellt AWS KMS einen persistenten, nicht extrahierbaren, symmetrischen 256-Bit-AES-Schlüssel (Advanced Encryption Standard) in dem Cluster und legt den Wert für das [Schlüsselbezeichnungsattribut](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-attributes.html), das nur innerhalb des Clusters sichtbar ist, auf den Amazon-Ressourcenname (ARN) des KMS-Schlüssel fest.

Wenn der Befehl erfolgreich ausgeführt wurde, lautet der [Schlüsselstatus](key-state.md) des neuen KMS-Schlüssels `Enabled` und der Ursprung `AWS_CLOUDHSM`. Der Ursprung eines KMS-Schlüssels kann nicht mehr geändert werden, nachdem Sie ihn erstellt haben. Wenn Sie einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher in der AWS KMS Konsole oder mithilfe des [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Vorgangs anzeigen, können Sie typische Eigenschaften wie die Schlüssel-ID, den Schlüsselstatus und das Erstellungsdatum sehen. Daneben können Sie aber auch die ID des benutzerdefinierten Schlüsselspeichers sowie (optional) die AWS CloudHSM -Cluster-ID. 

Wenn Ihr Versuch, einen KMS-Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher zu erstellen, fehlschlägt, können Sie anhand der Fehlermeldung die Ursache ermitteln. Dies kann darauf hindeuten, dass der AWS CloudHSM Schlüsselspeicher nicht verbunden ist (`CustomKeyStoreInvalidStateException`) oder HSMs dass der zugehörige AWS CloudHSM Cluster nicht über die beiden aktiven Elemente verfügt, die für diesen Vorgang erforderlich sind (`CloudHsmClusterInvalidConfigurationException`). Weitere Informationen dazu finden Sie unter [Fehlerbehebung für einen Custom Key Store](fix-keystore.md).

Ein Beispiel für das AWS CloudTrail Protokoll des Vorgangs, der einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher erstellt, finden Sie unter[CreateKey](ct-createkey.md).

## Erstellen Sie einen neuen KMS-Schlüssel in Ihrem CloudHSM-Schlüsselspeicher
<a name="create-key-keystore"></a>

Sie können einen KMS-Schlüssel mit symmetrischer Verschlüsselung in Ihrem AWS CloudHSM Schlüsselspeicher in der AWS KMS Konsole oder mithilfe des Vorgangs erstellen. [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)

### Mithilfe der Konsole AWS KMS
<a name="create-cmk-keystore-console"></a>

Gehen Sie wie folgt vor, um einen KMS-Schlüssel mit symmetrischer Verschlüsselung in einem AWS CloudHSM Schlüsselspeicher zu erstellen. 

**Anmerkung**  
Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Alias, in der Beschreibung oder in den Tags auf. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.

1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**.

1. Klicken Sie auf **Create key**.

1. Wählen Sie **Symmetric (Symmetrisch)**.

1. Unter **Key usage** (Schlüsselverwendung) ist die Option **Encrypt and decrypt** (Verschlüsseln und Entschlüsseln) für Sie ausgewählt. Ändern Sie dies nicht. 

1. Wählen Sie **Advanced options (Erweiterte Optionen)** aus.

1. Wählen Sie unter **Ursprung des Schlüsselmaterials** die Option **AWS CloudHSM -Schlüsselspeicher** aus.

   Sie können keinen Schlüssel für mehrere Regionen in einem Schlüsselspeicher erstellen. AWS CloudHSM 

1. Wählen Sie **Weiter** aus.

1. Wählen Sie einen AWS CloudHSM Schlüsselspeicher für Ihren neuen KMS-Schlüssel aus. Um einen neuen AWS CloudHSM Schlüsselspeicher zu erstellen, wählen Sie **Benutzerdefinierten Schlüsselspeicher erstellen**.

   Der AWS CloudHSM Schlüsselspeicher, den Sie auswählen, muss den Status **Verbunden** haben. Der zugehörige AWS CloudHSM Cluster muss aktiv sein und mindestens zwei aktive Cluster HSMs in unterschiedlichen Availability Zones enthalten. 

   Hilfe zum Herstellen einer Verbindung mit einem AWS CloudHSM Schlüsselspeicher finden Sie unter[Verbindung zu einem AWS CloudHSM Schlüsselspeicher trennen](connect-keystore.md). Hilfe zum Hinzufügen HSMs finden Sie unter [Hinzufügen eines HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm) im *AWS CloudHSM Benutzerhandbuch*.

1. Wählen Sie **Weiter** aus.

1. Geben Sie einen Alias und eine optionale Beschreibung für den KMS-Schlüssel ein.

1. (Optional). Fügen Sie auf der Seite **Add Tags (Tags hinzufügen)** Tags hinzu, um Ihre KMS-Schlüssel identifizieren zu können und sie zu kategorisieren.

   Wenn Sie Ihren AWS Ressourcen Tags hinzufügen, AWS wird ein Kostenverteilungsbericht generiert, in dem die Nutzung und die Kosten nach Stichwörtern zusammengefasst sind. Markierungen können auch verwendet werden, um den Zugriff auf einen KMS-Schlüssel zu steuern. Weitere Informationen über das Markieren von KMS-Schlüsseln finden Sie unter [Schlagworte in AWS KMS](tagging-keys.md) und [ABAC für AWS KMS](abac.md). 

1. Wählen Sie **Weiter** aus.

1. Sie können im Abschnitt **Key administrators (Schlüsseladministratoren)** die IAM-Benutzer und -Rollen auswählen, die den KMS-Schlüssel verwalten dürfen. Weitere Informationen finden Sie unter [Erlaubt Schlüsseladministratoren die Verwaltung des KMS-Schlüssels](key-policy-default.md#key-policy-default-allow-administrators).
**Hinweise**  
Daneben können IAM-Benutzer und -Rollen die erforderlichen Berechtigungen zur Verwendung des KMS-Schlüssel auch über IAM-Richtlinien erhalten.  
Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.  
Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter der Anweisungs-ID `"Allow access for Key Administrators"` wichtige Administratoren hinzu. Eine Änderung dieser Anweisungs-ID kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Anweisung vornehmen.

1. (Optional) Um zu verhindern, dass diese Schlüsseladministratoren diesen KMS-Schlüssel löschen, deaktivieren Sie das Kontrollkästchen unten auf der Seite neben **Allow key administrators to delete this key (Administratoren erlauben, diesen Schlüssel zu löschen)**.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie im Abschnitt **Dieses Konto** die IAM-Benutzer und -Rollen aus AWS-Konto , die den KMS-Schlüssel für [kryptografische](kms-cryptography.md#cryptographic-operations) Operationen verwenden können. Weitere Informationen finden Sie unter [Erlaubt Schlüsselbenutzern die Verwendung des KMS-Schlüssels](key-policy-default.md#key-policy-default-allow-users).
**Hinweise**  
Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.  
Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter den Anweisungskennungen `"Allow use of the key"` und Schlüsselbenutzer hinzu. `"Allow attachment of persistent resources"` Das Ändern dieser Anweisungskennungen kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Aussage vornehmen.

1. (Optional) Sie können anderen erlauben, diesen KMS-Schlüssel für kryptografische Operationen AWS-Konten zu verwenden. Wählen Sie dazu unten auf der Seite im AWS-Konten Abschnitt **Andere** die Option Weiteres **hinzufügen** aus AWS-Konto und geben Sie die AWS-Konto ID eines externen Kontos ein. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.
**Anmerkung**  
Administratoren der anderen AWS-Konten müssen ebenfalls Zugriff auf den KMS-Schlüssel gewähren, indem sie IAM-Richtlinien für ihre Benutzer erstellen. Weitere Informationen finden Sie unter [Benutzern in anderen Konten die Verwendung des KMS-Schlüssels erlauben](key-policy-modifying-external-accounts.md).

1. Wählen Sie **Weiter** aus.

1. Lesen Sie die wichtigsten Richtlinienerklärungen für den Schlüssel. Um Änderungen an der wichtigsten Richtlinie vorzunehmen, wählen Sie **Bearbeiten** aus.

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.

1. Wählen Sie danach **Finish** (Fertigstellen) aus.

Wenn der Vorgang erfolgreich ist, wird auf dem Display der neue KMS-Schlüssel in dem von Ihnen ausgewählten AWS CloudHSM Schlüsselspeicher angezeigt. Wenn Sie den Namen oder Alias des neuen KMS-Schlüssels auswählen, werden auf der zugehörigen Detailseite auf der Registerkarte **Kryptografische Konfiguration** der Ursprung des KMS-Schlüssels (**AWS CloudHSM**), der Name, die ID und der Typ des benutzerdefinierten Schlüsselspeichers sowie die ID des AWS CloudHSM Clusters angezeigt. Wenn der Vorgang fehlschlägt, wird unter eine Fehlermeldung mit einer Beschreibung des Fehlers angezeigt.

**Tipp**  
Sie können die KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher leichter identifizieren, wenn Sie auf der Seite **Customer managed keys (kundenverwaltete Schlüssel)** festlegen, dass die Spalte **Custom key store ID (ID des benutzerdefinierten Schlüsselspeichers)** angezeigt wird. Klicken Sie auf das Zahnradsymbol rechts oben und wählen Sie dann **Custom key store ID (ID des benutzerdefinierten Schlüsselspeichers)** aus. Details hierzu finden Sie unter [Passen Sie Ihre Konsolenansicht an](viewing-console-customize.md).

### Verwenden der API AWS KMS
<a name="create-cmk-keystore-api"></a>

Verwenden Sie den [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgang, um einen neuen AWS KMS key ( AWS CloudHSM KMS-Schlüssel) in Ihrem Schlüsselspeicher zu erstellen. Verwenden Sie den Parameter `CustomKeyStoreId`, um den benutzerdefinierten Schlüsselspeicher zu identifizieren und den `Origin`-Wert auf `AWS_CLOUDHSM` festzulegen. 

Gegebenenfalls können Sie auch mit dem Parameter `Policy` eine Schlüsselrichtlinie angeben. Sie können die Schlüsselrichtlinie ([PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)) jederzeit ändern und optionale Elemente wie eine [Beschreibung](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) und [Tags](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) hinzufügen.

Für diese Beispiele wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen. 

Das folgende Beispiel beginnt mit einem Aufruf des [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgangs, um zu überprüfen, ob der AWS CloudHSM Schlüsselspeicher mit dem zugehörigen AWS CloudHSM Cluster verbunden ist. Diese Produktion gibt standardmäßig alle benutzerdefinierten Schlüsselspeicher innerhalb des Kontos und der Region zurück. Um nur einen bestimmten AWS CloudHSM Schlüsselspeicher zu beschreiben, verwenden Sie dessen `CustomKeyStoreName` Parameter `CustomKeyStoreId` oder (aber nicht beide).

Wenn Sie diesen Befehl ausführen, denken Sie daran, die ID des benutzerdefinierten Schlüsselspeichers in dem Beispiel durch eine gültige ID zu ersetzen.

**Anmerkung**  
Geben Sie keine vertraulichen oder sensiblen Informationen in die Felder `Description` oder `Tags` ein. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben im Klartext vorkommen.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS CloudHSM key store",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}
```

Der nächste Beispielbefehl verwendet den [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)Vorgang, um zu überprüfen, ob der AWS CloudHSM Cluster, der dem `ExampleKeyStore` (cluster-1a23b4cdefg) zugeordnet ist, mindestens zwei aktive Cluster hat. HSMs Wenn der Cluster weniger als zwei hat, schlägt der Vorgang fehl. HSMs `CreateKey`

```
$ aws cloudhsmv2 describe-clusters
{
    "Clusters": [
        {
            "SubnetMapping": {
               ...
            },
            "CreateTimestamp": 1507133412.351,
            "ClusterId": "cluster-1a23b4cdefg",
            "SecurityGroup": "sg-865af2fb",
            "HsmType": "hsm1.medium",
            "VpcId": "vpc-1a2b3c4d",
            "BackupPolicy": "DEFAULT",
            "Certificates": {
                "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n"
            },
            "Hsms": [
                {
                    "AvailabilityZone": "us-west-2a",
                    "EniIp": "10.0.1.11",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-a6b10bd1",
                    "HsmId": "hsm-abcdefghijk",
                    "State": "ACTIVE"
                },
                {
                    "AvailabilityZone": "us-west-2b",
                    "EniIp": "10.0.0.2",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-b6b10bd2",
                    "HsmId": "hsm-zyxwvutsrqp",
                    "State": "ACTIVE"
                },
            ],
            "State": "ACTIVE"
        }
    ]
}
```

In diesem Beispielbefehl wird der [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgang verwendet, um einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher zu erstellen. Um einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher zu erstellen, müssen Sie die benutzerdefinierte Schlüsselspeicher-ID des AWS CloudHSM Schlüsselspeichers und den `Origin` Wert angeben`AWS_CLOUDHSM`.

Die Antwort umfasst die IDs des benutzerdefinierten Schlüsselspeichers und des AWS CloudHSM Clusters. 

Wenn Sie diesen Befehl ausführen, denken Sie daran, die ID des benutzerdefinierten Schlüsselspeichers in dem Beispiel durch eine gültige ID zu ersetzen.

```
$ aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-id cks-1234567890abcdef0
{
  "KeyMetadata": {
    "AWSAccountId": "111122223333",
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "CreationDate": 1.499288695918E9,
    "Description": "Example key",
    "Enabled": true,
    "MultiRegion": false,
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",    
    "Origin": "AWS_CLOUDHSM"
    "CloudHsmClusterId": "cluster-1a23b4cdefg",
    "CustomKeyStoreId": "cks-1234567890abcdef0"
    "KeySpec": "SYMMETRIC_DEFAULT",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "EncryptionAlgorithms": [
        "SYMMETRIC_DEFAULT"
    ]
  }
}
```

# Einen KMS-Schlüssel in externen Schlüsselspeichern erstellen
<a name="create-xks-keys"></a>

Nachdem Sie Ihren externen Schlüsselspeicher [erstellt](create-xks-keystore.md) und [verbunden](xks-connect-disconnect.md) haben, können Sie ihn AWS KMS keys in Ihrem Schlüsselspeicher erstellen. Dabei muss es sich um [KMS-Schlüssel mit symmetrischer Verschlüsselung](symm-asymm-choose-key-spec.md#symmetric-cmks) mit dem Ursprungswert **External key store** (Externer Schlüsselspeicher) (`EXTERNAL_KEY_STORE`) handeln. Sie können [asymmetrische KMS-Schlüssel](symmetric-asymmetric.md), [HMAC-KMS-Schlüssel](hmac.md) oder KMS-Schlüssel mit [importiertem Schlüsselmaterial](importing-keys.md) nicht in einem benutzerdefinierten Schlüsselspeicher erstellen. Außerdem können Sie auch keine KMS-Schlüssel mit symmetrischer Verschlüsselung in einem benutzerdefinierten Schlüsselspeicher verwenden, um asymmetrische Datenschlüsselpaare zu generieren.

Ein KMS-Schlüssel in einem externen Schlüsselspeicher hat möglicherweise eine schlechtere Latenz, Haltbarkeit und Verfügbarkeit als ein Standard-KMS-Schlüssel, da er von Komponenten abhängt, die sich außerhalb von AWS befinden. Bevor Sie einen KMS-Schlüssel in einem externen Schlüsselspeicher erstellen oder verwenden, prüfen Sie, ob Sie einen Schlüssel mit den Eigenschaften eines externen Schlüsselspeichers benötigen.

**Anmerkung**  
Einige externe Schlüsselmanager bieten eine einfachere Methode zum Erstellen von KMS-Schlüsseln in einem externen Schlüsselspeicher. Weitere Informationen finden Sie in der Dokumentation zum externen Schlüsselmanager.

Zum Erstellen eines KMS-Schlüssels in Ihrem externen Schlüsselspeicher müssen Sie Folgendes angeben:
+ Die ID Ihres externen Schlüsselspeichers.
+ Externer Schlüsselspeicher (`EXTERNAL_KEY_STORE`) als [Herkunft des Schlüsselmaterials](create-keys.md#key-origin).
+ Die ID eines vorhandenen [externen Schlüssels](keystore-external.md#concept-external-key) im [externen Schlüsselmanager](keystore-external.md#concept-ekm), der Ihrem externen Schlüsselspeicher zugeordnet ist. Dieser externe Schlüssel dient als Schlüsselmaterial für den KMS-Schlüssel. Sie können die ID des externen Schlüssels nicht mehr ändern, nachdem Sie den KMS-Schlüssel erstellt haben.

  AWS KMS stellt Ihrem externen Schlüsselspeicher-Proxy bei Anfragen für Verschlüsselungs- und Entschlüsselungsvorgänge die externe Schlüssel-ID zur Verfügung. AWS KMS kann nicht direkt auf Ihren externen Schlüsselmanager oder einen seiner kryptografischen Schlüssel zugreifen.

Neben dem externen Schlüssel enthält ein KMS-Schlüssel in einem externen Schlüsselspeicher auch AWS KMS Schlüsselmaterial. Alle mit dem KMS-Schlüssel verschlüsselten Daten werden zuerst AWS KMS mit dem Schlüsselmaterial des AWS KMS Schlüssels und dann von Ihrem externen Schlüsselmanager mit Ihrem externen Schlüssel verschlüsselt. Dieser Prozess der [doppelten Verschlüsselung](keystore-external.md#concept-double-encryption) sorgt dafür, dass der durch einen KMS-Schlüssel in einem externen Schlüsselspeicher geschützte Geheimtext mindestens so stark ist wie nur durch AWS KMS geschützter Geheimtext. Details hierzu finden Sie unter [Funktionsweise externer Schlüsselspeicher](keystore-external.md#xks-how-it-works).

Wenn der `CreateKey`-Vorgang erfolgreich ist, lautet der [Schlüsselstatus](key-state.md) des neuen KMS-Schlüssels `Enabled`. Wenn Sie [einen KMS-Schlüssel in einem externen Schlüsselspeicher anzeigen](identify-key-types.md#view-xks-key), können Sie typische Eigenschaften wie die Schlüssel-ID, die [Schlüsselspezifikation](create-keys.md#key-spec), die [Schlüsselnutzung](create-keys.md#key-usage), den [Schlüsselstatus](key-state.md) und das Erstellungsdatum sehen. Sie können aber auch die ID und den [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) des externen Schlüsselspeichers sowie die ID des externen Schlüssels sehen.

Wenn Ihr Versuch, einen KMS-Schlüssel in Ihrem externen Schlüsselspeicher zu erstellen, fehlschlägt, ermitteln Sie die Ursache anhand der Fehlermeldung. Sie kann darauf hinweisen, dass der externe Schlüsselspeicher nicht verbunden ist (`CustomKeyStoreInvalidStateException`), dass der Proxy Ihres externen Schlüsselspeichers keinen externen Schlüssel mit der angegebenen externen Schlüssel-ID finden kann (`XksKeyNotFoundException`) oder dass der externe Schlüssel bereits mit einem KMS-Schlüssel im selben externen Schlüsselspeicher verknüpft ist (`XksKeyAlreadyInUseException`).

Ein Beispiel für das AWS CloudTrail Protokoll des Vorgangs, bei dem ein KMS-Schlüssel in einem externen Schlüsselspeicher erstellt wird, finden Sie unter[CreateKey](ct-createkey.md).

**Topics**
+ [Anforderungen an einen KMS-Schlüssel in einem externen Schlüsselspeicher](#xks-key-requirements)
+ [Erstellen Sie einen neuen KMS-Schlüssel in Ihrem externen Schlüsselspeicher](#create-key-xks)

## Anforderungen an einen KMS-Schlüssel in einem externen Schlüsselspeicher
<a name="xks-key-requirements"></a>

Zum Erstellen eines KMS-Schlüssels in einem externen Schlüsselspeicher sind die folgenden Eigenschaften des externen Schlüsselspeichers, des KMS-Schlüssels und des externen Schlüssels, der als externes kryptografisches Schlüsselmaterial für den KMS-Schlüssel dient, erforderlich.

**Anforderungen an einen externen Schlüsselspeicher**
+ Muss mit seinem externen Schlüsselspeicher-Proxy verbunden sein.

  Informationen zum [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) Ihres externen Schlüsselspeichers finden Sie unter [Externe Schlüsselspeicher anzeigen](view-xks-keystore.md). Informationen zum Verbinden Ihres externen Schlüsselspeichers finden Sie unter [Externe Schlüsselspeicher Connect und trennen](xks-connect-disconnect.md). 

**Anforderungen an KMS-Schlüssel**

Diese Eigenschaften können nach dem Erstellen des KMS-Schlüssels nicht mehr geändert werden.
+ Schlüsselspezifikation: SYMMMETRIC\$1DEFAULT
+ Schlüsselnutzung: ENCRYPT\$1DECRYPT
+ Schlüsselmaterialursprung: EXTERNAL\$1KEY\$1STORE
+ Multi-Region: FALSE

**Anforderungen an externe Schlüssel**
+ Kryptografischer 256-Bit-AES-Schlüssel (256 zufällige Bits). Die `KeySpec` des externen Schlüssels muss `AES_256` sein.
+ Aktiviert und zur Verwendung verfügbar. Die `Status` des externen Schlüssels muss `ENABLED` sein.
+ Konfiguriert für Verschlüsselung und Entschlüsselung. Die `KeyUsage` des externen Schlüssels muss `ENCRYPT` und `DECRYPT` enthalten.
+ Wird nur mit diesem KMS-Schlüssel verwendet. Jeder `KMS key` in einem externen Schlüsselspeicher muss mit einem anderen externen Schlüssel verbunden sein.

  AWS KMS empfiehlt außerdem, den externen Schlüssel ausschließlich für den externen Schlüsselspeicher zu verwenden. Diese Einschränkung macht es einfacher, Probleme mit dem Schlüssel zu erkennen und zu beheben.
+ Zugriff durch den [Proxy des externen Schlüsselspeichers](keystore-external.md#concept-xks-proxy) für den externen Schlüsselspeicher möglich.

  Wenn der Proxy des externen Schlüsselspeichers den Schlüssel mit der angegebenen externen Schlüssel-ID nicht finden kann, schlägt der Vorgang `CreateKey` fehl.
+ Kann den zu erwartenden Datenverkehr verarbeiten, den Ihre Verwendung von AWS-Services generiert. AWS KMS empfiehlt, externe Schlüssel für die Verarbeitung von bis zu 1800 Anfragen pro Sekunde vorzubereiten.

## Erstellen Sie einen neuen KMS-Schlüssel in Ihrem externen Schlüsselspeicher
<a name="create-key-xks"></a>

Sie können einen neuen KMS-Schlüssel in Ihrem externen Schlüsselspeicher in der AWS KMS Konsole oder mithilfe des [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgangs erstellen.

### Mithilfe der AWS KMS Konsole
<a name="create-xks-key-console"></a>

Es gibt zwei Möglichkeiten, einen KMS-Schlüssel in einem externen Schlüsselspeicher zu erstellen.
+ Methode 1 (empfohlen): Wählen Sie einen externen Schlüsselspeicher und erstellen Sie dann einen KMS-Schlüssel in diesem externen Schlüsselspeicher.
+ Methode 2: Erstellen Sie einen KMS-Schlüssel und geben Sie dann an, dass er sich in einem externen Schlüsselspeicher befindet.

Wenn Sie Methode 1 verwenden, bei der Sie Ihren externen Schlüsselspeicher auswählen, bevor Sie Ihren Schlüssel erstellen, AWS KMS wählt er alle erforderlichen KMS-Schlüsseleigenschaften für Sie aus und gibt die ID Ihres externen Schlüsselspeichers ein. Diese Methode vermeidet Fehler, die Ihnen bei der Erstellung Ihres KMS-Schlüssels unterlaufen könnten.

**Anmerkung**  
Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Alias, in der Beschreibung oder in den Tags auf. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.

**Methode 1 (empfohlen): Starten in Ihrem externen Schlüsselspeicher**

Um diese Methode zu verwenden, wählen Sie Ihren externen Schlüsselspeicher und erstellen dann einen KMS-Schlüssel. Die AWS KMS Konsole wählt alle erforderlichen Eigenschaften für Sie aus und gibt die ID Ihres externen Schlüsselspeichers ein. Diese Methode vermeidet viele Fehler, die Ihnen bei der Erstellung Ihres KMS-Schlüssels unterlaufen könnten.

1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Wählen Sie im Navigationsbereich **Custom key stores** (Benutzerdefinierte Schlüsselspeicher), **External key stores** (Externe Schlüsselspeicher) aus.

1. Wählen Sie den Namen Ihres externen Schlüsselspeichers aus.

1. Wählen Sie oben rechts die Option **Create a KMS key in this key store** (Erstellen eines KMS-Schlüssels in diesem Schlüsselspeicher) aus.

   Wenn der externe Schlüsselspeicher *nicht* verbunden ist, werden Sie aufgefordert, ihn zu verbinden. Wenn der Verbindungsversuch fehlschlägt, müssen Sie das Problem lösen und den externen Schlüsselspeicher verbinden, bevor Sie darin einen neuen KMS-Schlüssel erstellen können.

   Wenn der externe Schlüsselspeicher verbunden ist, werden Sie zur Seite **Customer managed keys** (Kundenverwaltete Schlüssel) weitergeleitet, auf der Sie einen Schlüssel erstellen können. Die erforderlichen **Schlüsselkonfigurationswerte** wurden bereits für Sie ausgewählt. Außerdem ist die benutzerdefinierte Schlüsselspeicher-ID Ihres externen Schlüsselspeichers ausgefüllt, Sie können diese aber ändern.

1. Geben Sie die Schlüssel-ID eines [externen Schlüssels](keystore-external.md#concept-external-key) in Ihren [externen Schlüsselmanager](keystore-external.md#concept-ekm) ein. Dieser externe Schlüssel muss [die Anforderungen für die Verwendung mit einem KMS-Schlüssel erfüllen](#xks-key-requirements). Sie können diesen Wert nach der Erstellung des KMS-Schlüssels nicht mehr ändern.

   Wenn der externe Schlüssel mehrere hat IDs, geben Sie die Schlüssel-ID ein, die der externe Schlüsselspeicher-Proxy zur Identifizierung des externen Schlüssels verwendet. 

1. Bestätigen Sie, dass Sie beabsichtigen, einen KMS-Schlüssel im angegebenen externen Schlüsselspeicher zu erstellen.

1. Wählen Sie **Weiter** aus.

   Der Rest dieses Verfahrens entspricht dem [Erstellen eines Standard-KMS-Schlüssels](create-keys.md). 

1. Geben Sie einen Alias (erforderlich) und eine Beschreibung (optional) für den KMS-Schlüssel ein.

1. (Optional). Fügen Sie auf der Seite **Add Tags (Tags hinzufügen)** Tags hinzu, um Ihre KMS-Schlüssel identifizieren zu können und sie zu kategorisieren.

   Wenn Sie Ihren AWS Ressourcen Tags hinzufügen, AWS wird ein Kostenverteilungsbericht generiert, in dem die Nutzung und die Kosten nach Stichwörtern zusammengefasst sind. Markierungen können auch verwendet werden, um den Zugriff auf einen KMS-Schlüssel zu steuern. Weitere Informationen über das Markieren von KMS-Schlüsseln finden Sie unter [Schlagworte in AWS KMS](tagging-keys.md) und [ABAC für AWS KMS](abac.md). 

1. Wählen Sie **Weiter** aus.

1. Sie können im Abschnitt **Key administrators (Schlüsseladministratoren)** die IAM-Benutzer und -Rollen auswählen, die den KMS-Schlüssel verwalten dürfen. Weitere Informationen finden Sie unter [Erlaubt Schlüsseladministratoren die Verwaltung des KMS-Schlüssels](key-policy-default.md#key-policy-default-allow-administrators).
**Anmerkung**  
Daneben können IAM-Benutzer und -Rollen die erforderlichen Berechtigungen zur Verwendung des KMS-Schlüssel auch über IAM-Richtlinien erhalten.  
Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.

1. (Optional) Um zu verhindern, dass diese Schlüsseladministratoren diesen KMS-Schlüssel löschen, deaktivieren Sie das Kontrollkästchen **Allow key administrators to delete this key** (Ermöglicht Schlüsseladministratoren das Löschen dieses Schlüssels).

   Das Löschen eines KMS-Schlüssels ist ein endgültiger und irreversibler Vorgang, der dazu führen kann, dass Geheimtext nicht wiederhergestellt werden kann. Sie können einen symmetrischen KMS-Schlüssel in einem externen Schlüsselspeicher nicht wiederherstellen, selbst wenn Sie über das externe Schlüsselmaterial verfügen. Das Löschen eines KMS-Schlüssels hat jedoch keine Auswirkungen auf den zugehörigen externen Schlüssel. Informationen zum Löschen eines KMS-Schlüssels aus einem externen Schlüsselspeicher finden Sie unter [Besondere Überlegungen zum Löschen von Schlüsseln](deleting-keys.md#special-considerations-delete).

1. Wählen Sie **Weiter** aus.

1. Wählen Sie im Abschnitt **Dieses Konto** die IAM-Benutzer und Rollen aus, AWS-Konto die den KMS-Schlüssel für [kryptografische](kms-cryptography.md#cryptographic-operations) Operationen verwenden können. Weitere Informationen finden Sie unter [Erlaubt Schlüsselbenutzern die Verwendung des KMS-Schlüssels](key-policy-default.md#key-policy-default-allow-users).
**Anmerkung**  
Daneben können IAM-Benutzer und -Rollen die erforderlichen Berechtigungen zur Verwendung des KMS-Schlüssels auch über IAM-Richtlinien erhalten.  
Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.

1. (Optional) Sie können anderen erlauben, diesen KMS-Schlüssel für kryptografische Operationen AWS-Konten zu verwenden. Wählen Sie dazu unten auf der Seite im AWS-Konten Abschnitt **Andere** die Option Weiteres **hinzufügen** aus AWS-Konto und geben Sie die AWS-Konto ID eines externen Kontos ein. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.
**Anmerkung**  
Administratoren der anderen AWS-Konten müssen ebenfalls Zugriff auf den KMS-Schlüssel gewähren, indem sie IAM-Richtlinien für ihre Benutzer erstellen. Weitere Informationen finden Sie unter [Benutzern in anderen Konten die Verwendung des KMS-Schlüssels erlauben](key-policy-modifying-external-accounts.md).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.

1. Wählen Sie danach **Finish** (Fertigstellen) aus.

**Methode 2: Starten in kundenverwalteten Schlüsseln**

Dieses Verfahren entspricht dem Verfahren zur Erstellung eines symmetrischen Verschlüsselungsschlüssels mit AWS KMS Schlüsselmaterial. In diesem Verfahren geben Sie jedoch die benutzerdefinierte Schlüsselspeicher-ID des externen Schlüsselspeichers und die Schlüssel-ID des externen Schlüssels an. Sie müssen auch die [erforderlichen Eigenschaftswerte](#xks-key-requirements) für einen KMS-Schlüssel in einem externen Schlüsselspeicher angeben, z. B. die Schlüsselspezifikation und die Schlüsselnutzung.

1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**.

1. Klicken Sie auf **Create key**.

1. Wählen Sie **Symmetric (Symmetrisch)**.

1. Unter **Key usage** (Schlüsselverwendung) ist die Option **Encrypt and decrypt** (Verschlüsseln und Entschlüsseln) für Sie ausgewählt. Ändern Sie dies nicht. 

1. Wählen Sie **Advanced options (Erweiterte Optionen)** aus.

1. Wählen Sie unter **Key material origin** (Schlüsselmaterialursprung) die Option **External key store** (Externer Schlüsselspeicher) aus.

1. Bestätigen Sie, dass Sie beabsichtigen, einen KMS-Schlüssel im angegebenen externen Schlüsselspeicher zu erstellen.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie die Zeile, die den externen Schlüsselspeicher für den neuen KMS-Schlüssel darstellt. 

   Sie können keinen getrennten externen Schlüsselspeicher auswählen. Zum Verbinden eines nicht verbundenen Schlüsselspeichers wählen Sie den Namen des Schlüsselspeichers und dann unter **Key store actions** (Schlüsselspeicheraktionen) die Option **Connect** (Verbinden) aus. Details hierzu finden Sie unter [Mithilfe der Konsole AWS KMS](about-xks-connecting.md#connect-xks-console).

1. Geben Sie die Schlüssel-ID eines [externen Schlüssels](keystore-external.md#concept-external-key) in Ihren [externen Schlüsselmanager](keystore-external.md#concept-ekm) ein. Dieser externe Schlüssel muss [die Anforderungen für die Verwendung mit einem KMS-Schlüssel erfüllen](#xks-key-requirements). Sie können diesen Wert nach der Erstellung des KMS-Schlüssels nicht mehr ändern.

   Wenn der externe Schlüssel mehrere hat IDs, geben Sie die Schlüssel-ID ein, die der externe Schlüsselspeicher-Proxy zur Identifizierung des externen Schlüssels verwendet. 

1. Wählen Sie **Weiter** aus.

   Der Rest dieses Verfahrens entspricht dem [Erstellen eines Standard-KMS-Schlüssels](create-keys.md). 

1. Geben Sie einen Alias und eine optionale Beschreibung für den KMS-Schlüssel ein.

1. (Optional). Fügen Sie auf der Seite **Add Tags (Tags hinzufügen)** Tags hinzu, um Ihre KMS-Schlüssel identifizieren zu können und sie zu kategorisieren.

   Wenn Sie Ihren AWS Ressourcen Tags hinzufügen, AWS wird ein Kostenverteilungsbericht generiert, in dem die Nutzung und die Kosten nach Stichwörtern zusammengefasst sind. Markierungen können auch verwendet werden, um den Zugriff auf einen KMS-Schlüssel zu steuern. Weitere Informationen über das Markieren von KMS-Schlüsseln finden Sie unter [Schlagworte in AWS KMS](tagging-keys.md) und [ABAC für AWS KMS](abac.md). 

1. Wählen Sie **Weiter** aus.

1. Sie können im Abschnitt **Key administrators (Schlüsseladministratoren)** die IAM-Benutzer und -Rollen auswählen, die den KMS-Schlüssel verwalten dürfen. Weitere Informationen finden Sie unter [Erlaubt Schlüsseladministratoren die Verwaltung des KMS-Schlüssels](key-policy-default.md#key-policy-default-allow-administrators).
**Anmerkung**  
Daneben können IAM-Benutzer und -Rollen die erforderlichen Berechtigungen zur Verwendung des KMS-Schlüssel auch über IAM-Richtlinien erhalten.

1. (Optional) Um zu verhindern, dass diese Schlüsseladministratoren diesen KMS-Schlüssel löschen, deaktivieren Sie das Kontrollkästchen **Allow key administrators to delete this key** (Ermöglicht Schlüsseladministratoren das Löschen dieses Schlüssels).

   Das Löschen eines KMS-Schlüssels ist ein endgültiger und irreversibler Vorgang, der dazu führen kann, dass Geheimtext nicht wiederhergestellt werden kann. Sie können einen symmetrischen KMS-Schlüssel in einem externen Schlüsselspeicher nicht wiederherstellen, selbst wenn Sie über das externe Schlüsselmaterial verfügen. Das Löschen eines KMS-Schlüssels hat jedoch keine Auswirkungen auf den zugehörigen externen Schlüssel. Informationen zum Löschen eines KMS-Schlüssels aus einem externen Schlüsselspeicher finden Sie unter [Lösche eine AWS KMS key](deleting-keys.md).

1. Wählen Sie **Weiter** aus.

1. Wählen Sie im Abschnitt **Dieses Konto** die IAM-Benutzer und Rollen aus, AWS-Konto die den KMS-Schlüssel für [kryptografische](kms-cryptography.md#cryptographic-operations) Operationen verwenden können. Weitere Informationen finden Sie unter [Erlaubt Schlüsselbenutzern die Verwendung des KMS-Schlüssels](key-policy-default.md#key-policy-default-allow-users).
**Anmerkung**  
Daneben können IAM-Benutzer und -Rollen die erforderlichen Berechtigungen zur Verwendung des KMS-Schlüssels auch über IAM-Richtlinien erhalten.

1. (Optional) Sie können anderen erlauben, diesen KMS-Schlüssel für kryptografische Operationen AWS-Konten zu verwenden. Wählen Sie dazu unten auf der Seite im AWS-Konten Abschnitt **Andere** die Option Weiteres **hinzufügen** aus AWS-Konto und geben Sie die AWS-Konto ID eines externen Kontos ein. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.
**Anmerkung**  
Administratoren der anderen AWS-Konten müssen ebenfalls Zugriff auf den KMS-Schlüssel gewähren, indem sie IAM-Richtlinien für ihre Benutzer erstellen. Weitere Informationen finden Sie unter [Benutzern in anderen Konten die Verwendung des KMS-Schlüssels erlauben](key-policy-modifying-external-accounts.md).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.

1. Wählen Sie danach **Finish** (Fertigstellen) aus.

Wenn der Vorgang erfolgreich abgeschlossen wird, wird der neue KMS-Schlüssel in dem ausgewählten externen Schlüsselspeicher angezeigt. Wenn Sie den Namen oder Alias des neuen KMS-Schlüssels auswählen, werden auf der Registerkarte **Cryptographic configuration** (Kryptografische Konfiguration) auf der Detailseite der Ursprung des KMS-Schlüssels (**Externer Schlüsselspeicher**), der Name, die ID und der Typ des benutzerdefinierten Schlüsselspeichers sowie die ID, die Schlüsselnutzung und der Status des externen Schlüssels angezeigt. Wenn der Vorgang fehlschlägt, wird unter eine Fehlermeldung mit einer Beschreibung des Fehlers angezeigt. Informationen finden Sie unter [Fehlerbehebung bei externen Schlüsselspeichern](xks-troubleshooting.md).

**Tipp**  
Um die Identifizierung von KMS-Schlüsseln in einem benutzerdefinierten Schlüsselspeicher zu erleichtern, fügen Sie auf der Seite **Customer managed keys** (Kundenverwaltete Schlüssel) die Spalten **Origin** (Urspring) und **Custom key store ID** (ID des benutzerdefinierten Schlüsselspeichers) zur Anzeige hinzu. Zum Ändern der Tabellenfelder wählen Sie das Zahnradsymbol rechts oben auf der Seite aus. Details hierzu finden Sie unter [Passen Sie Ihre Konsolenansicht an](viewing-console-customize.md).

### Verwenden der API AWS KMS
<a name="create-xks-key-api"></a>

Verwenden Sie den [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgang, um einen neuen KMS-Schlüssel in einem externen Schlüsselspeicher zu erstellen. Die folgenden Parameter sind erforderlich:
+ Der `Origin`-Wert muss `EXTERNAL_KEY_STORE` lauten.
+ Der `CustomKeyStoreId`-Parameter identifiziert Ihren externen Schlüsselspeicher. Der [`ConnectionState`](xks-connect-disconnect.md#xks-connection-state) des angegebenen externen Schlüsselspeichers muss `CONNECTED` sein. Verwenden Sie den `DescribeCustomKeyStores`-Vorgang um die `CustomKeyStoreId` und den `ConnectionState` zu ermitteln.
+ Der `XksKeyId`-Parameter identifiziert den externen Schlüssel. Dieser externe Schlüssel muss die [Anforderungen](#xks-key-requirements) für die Zuordnung zu einem KMS-Schlüssel erfüllen. 

Sie können auch jeden der optionalen Parameter des `CreateKey`-Vorgangs verwenden, z. B. die `Policy`- oder [Tags](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)-Parameter.

**Anmerkung**  
Geben Sie keine vertraulichen oder sensiblen Informationen in die Felder `Description` oder `Tags` ein. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.

Für diese Beispiele wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen. 

In diesem Beispielbefehl wird der [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgang verwendet, um einen KMS-Schlüssel in einem externen Schlüsselspeicher zu erstellen. Die Antwort umfasst die Eigenschaften der KMS-Schlüssel, die ID des externen Schlüsselspeichers sowie ID, Nutzung und Status des externen Schlüssels.

Wenn Sie diesen Befehl ausführen, denken Sie daran, die ID des benutzerdefinierten Schlüsselspeichers in dem Beispiel durch eine gültige ID zu ersetzen.

```
$ aws kms create-key --origin EXTERNAL_KEY_STORE --custom-key-store-id cks-1234567890abcdef0 --xks-key-id bb8562717f809024
{
  "KeyMetadata": {
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "AWSAccountId": "111122223333",
    "CreationDate": "2022-12-02T07:48:55-07:00",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "CustomKeyStoreId": "cks-1234567890abcdef0",
    "Description": "",
    "Enabled": true,
    "EncryptionAlgorithms": [
      "SYMMETRIC_DEFAULT"
    ],
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeySpec": "SYMMETRIC_DEFAULT",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "MultiRegion": false,
    "Origin": "EXTERNAL_KEY_STORE",
    "XksKeyConfiguration": {
      "Id": "bb8562717f809024"
    }
  }
}
```