Erstellen Sie einen KMS-Schlüssel für die symmetrische Verschlüsselung - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie einen KMS-Schlüssel für die symmetrische Verschlüsselung

In diesem Thema wird erklärt, wie Sie den grundlegenden KMS-Schlüssel erstellen, einen KMS-Schlüssel mit symmetrischer Verschlüsselung für eine einzelne Region mit Schlüsselmaterial von. AWS KMS Sie können diesen KMS-Schlüssel verwenden, um Ihre Ressourcen in einer AWS-Service zu schützen.

Sie können KMS-Schlüssel mit symmetrischer Verschlüsselung in der AWS KMS Konsole, mithilfe der CreateKeyAPI oder mithilfe der AWS::KMS::Key AWS CloudFormation Vorlage erstellen.

Die Standard-Schlüsselspezifikation, SYMMETRIC_DEFAULT, ist die Schlüsselspezifikation für KMS-Schlüssel mit symmetrischer Verschlüsselung. Wenn Sie in der Konsole den symmetrischen Schlüsseltyp und die Verwendung des Schlüssels Verschlüsseln und Entschlüsseln auswählen, wird die Schlüsselspezifikation ausgewählt. AWS KMS SYMMETRIC_DEFAULT Wenn Sie bei der CreateKeyOperation keinen KeySpec Wert angeben, wird SYMMETRIC_DEFAULT ausgewählt. Wenn Sie keinen Grund haben, eine andere Schlüsselspezifikation zu verwenden, ist SYMMETRIC_DEFAULT eine gute Wahl.

Weitere Informationen zu Kontingenten, die für KMS-Schlüssel gelten, finden Sie unter Kontingente.

Sie können das AWS Management Console zum Erstellen AWS KMS keys (KMS-Schlüssel) verwenden.

Wichtig

Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Alias, in der Beschreibung oder in den Tags auf. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.

  1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  4. Klicken Sie auf Create key.

  5. Um einen KMS-Schlüssel mit symmetrischer Verschlüsselung zu erstellen, wählen Sie für Key type (Schlüsseltyp) die Option Symmetric (Symmetrisch) aus.

  6. Unter Key usage (Schlüsselverwendung) ist die Option Encrypt and decrypt (Verschlüsseln und Entschlüsseln) für Sie ausgewählt.

  7. Wählen Sie Weiter.

  8. Geben Sie einen Alias für den Replikatschlüssel ein. Der Aliasname darf nicht mit aws/ beginnen. Das aws/ Präfix ist von Amazon Web Services für die Darstellung Von AWS verwaltete Schlüssel in Ihrem Konto reserviert.

    Anmerkung

    Wenn Sie einen Alias hinzufügen, löschen oder aktualisieren, wird dadurch möglicherweise eine Berechtigung für den KMS-Schlüssel erteilt oder verweigert. Details dazu finden Sie unter ABAC für AWS KMS und Verwenden Sie Aliase, um den Zugriff auf KMS-Schlüssel zu steuern.

    Ein Alias ist ein Anzeigename, den Sie verwenden können, um einen KMS-Schlüssel zu identifizieren. Wir empfehlen, dass Sie einen Alias wählen, der auf die Art von Daten, die Sie schützen möchten, oder die Anwendung, die Sie mit dem KMS-Schlüssel verwenden möchten, hindeutet.

    Zum Erstellen eines KMS-Schlüssels in der Konsole benötigen Sie Aliase AWS Management Console. Sie sind optional, wenn Sie den CreateKeyVorgang verwenden.

  9. (Optional) Geben Sie eine Beschreibung für den KMS-Schlüssel ein.

    Sie können jetzt eine Beschreibung hinzufügen oder sie jederzeit aktualisieren, es sei denn, der Schlüsselstatus lautet Pending Deletion oder Pending Replica Deletion. Um die Beschreibung eines vorhandenen, vom Kunden verwalteten Schlüssels hinzuzufügen, zu ändern oder zu löschen, bearbeiten Sie die Beschreibung auf der Detailseite des KMS-Schlüssels AWS Management Console oder verwenden Sie den UpdateKeyDescriptionVorgang.

  10. (Optional) Geben Sie einen Tag-Schlüssel und einen optionalen Tag-Wert ein. Wählen Sie Add tag (Tag hinzufügen), wenn Sie mehr als ein Tag zum KMS-Schlüssel hinzufügen möchten.

    Anmerkung

    Wenn Sie einen KMS-Schlüssel markieren oder entmarkieren, wird dadurch möglicherweise die Berechtigung für den KMS-Schlüssel erteilt oder verweigert. Details dazu finden Sie unter ABAC für AWS KMS und Verwenden Sie Tags, um den Zugriff auf KMS-Schlüssel zu steuern.

    Wenn Sie Ihren AWS Ressourcen Tags hinzufügen, AWS wird ein Kostenverteilungsbericht generiert, in dem die Nutzung und die Kosten nach Stichwörtern zusammengefasst sind. Markierungen können auch verwendet werden, um den Zugriff auf einen KMS-Schlüssel zu steuern. Weitere Informationen über das Markieren von KMS-Schlüsseln finden Sie unter Schlagworte in AWS KMS und ABAC für AWS KMS.

  11. Wählen Sie Weiter.

  12. Wählen Sie die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel verwalten können.

    Hinweise

    Diese Schlüsselrichtlinie ermöglicht die AWS-Konto vollständige Kontrolle über diesen KMS-Schlüssel. Kontoadministratoren können damit anderen Prinzipalen mithilfe von IAM-Richtlinien die Berechtigung zum Verwalten des KMS-Schlüssels erteilen. Details hierzu finden Sie unter Standardschlüsselrichtlinie.

    Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

    Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter der Anweisungs-ID wichtige Administratoren hinzu"Allow access for Key Administrators". Eine Änderung dieser Anweisungs-ID kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Anweisung vornehmen.

  13. (Optional) Um zu verhindern, dass die ausgewählten IAM-Benutzer und -Rollen diesen KMS-Schlüssel löschen, deaktivieren Sie unten auf der Seite im Abschnitt Key deletion (Schlüssellöschung) das Kontrollkästchen Allow key administrators to delete this key (Administratoren erlauben, diesen Schlüssel zu löschen).

  14. Wählen Sie Weiter.

  15. Wählen Sie die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel für kryptographische Operationen verwenden können

    Hinweise

    Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

    Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter den Anweisungskennungen "Allow use of the key" und "Allow attachment of persistent resources" wichtige Benutzer hinzu. Das Ändern dieser Anweisungskennungen kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Aussage vornehmen.

  16. (Optional) Sie können anderen erlauben, diesen KMS-Schlüssel für kryptografische Operationen AWS-Konten zu verwenden. Wählen Sie dazu unten auf der Seite im AWS-Konten Abschnitt Andere die Option Weiteres hinzufügen aus AWS-Konto und geben Sie die AWS-Konto Identifikationsnummer eines externen Kontos ein. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.

    Anmerkung

    Um auch Prinzipalen aus den externen Konten Zugriff auf den KMS-Schlüssel zu erlauben, müssen die Administratoren der externen Konten IAM-Richtlinien erstellen, die diese Berechtigungen bereitstellen. Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung des KMS-Schlüssels erlauben.

  17. Wählen Sie Weiter.

  18. Sehen Sie sich die wichtigsten Grundsatzerklärungen für den Schlüssel an. Um Änderungen an der wichtigsten Richtlinie vorzunehmen, wählen Sie Bearbeiten aus.

  19. Wählen Sie Weiter.

  20. Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.

  21. Wählen Sie Finish (fertigstellen) aus, um den KMS-Schlüssel zu erstellen.

Sie können den CreateKeyVorgang verwenden, um alle AWS KMS keys Typen zu erstellen. In diesen Beispielen wird das AWS Command Line Interface (AWS CLI) verwendet. Beispiele in verschiedenen Programmiersprachen finden Sie unter Verwendung CreateKey mit einem AWS SDK oder CLI.

Wichtig

Geben Sie keine vertraulichen oder sensiblen Informationen in die Felder Description oder Tags ein. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben im Klartext vorkommen.

Der folgende Vorgang erstellt einen symmetrischen Verschlüsselungsschlüssel in einer einzelnen Region, der durch Schlüsselmaterial unterstützt wird, das von AWS KMS generiert wurde. Diese Produktion hat keine erforderlichen Parameter. Gegebenenfalls können Sie auch mit dem Parameter Policy eine Schlüsselrichtlinie angeben. Sie können die Schlüsselrichtlinie (PutKeyPolicy) jederzeit ändern und optionale Elemente wie eine Beschreibung und Tags hinzufügen. Darüber hinaus können Sie Asymmetrische Schlüssel, Schlüssel zu mehreren Regionen, Schlüssel mit Importiertes Schlüsselmaterial und Schlüssel in Custom Key Store erstellen. Verwenden Sie den Vorgang, um Datenschlüssel für die clientseitige Verschlüsselung zu erstellen. GenerateDataKey

Bei CreateKey diesem Vorgang können Sie keinen Alias angeben, aber Sie können den CreateAliasVorgang verwenden, um einen Alias für Ihren neuen KMS-Schlüssel zu erstellen.

Es folgt ein Beispiel für einen Aufruf der Produktion CreateKey ohne Parameter. Dieser Befehl verwendet alle Standardwerte. Es erstellt einen KMS-Schlüssel mit symmetrischer Verschlüsselung zum Verschlüsseln und Entschlüsseln mit von AWS KMS generiertem Schlüsselmaterial.

$ aws kms create-key
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "MultiRegion": false
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
    }
}

Wenn Sie keine Schlüsselrichtlinie für Ihren neuen KMS-Schlüssel angeben, unterscheidet sich die Standard-Schlüsselrichtlinie, die CreateKey verwendet, von der Standard-Schlüsselrichtlinie, die die Konsole anwendet, wenn Sie einen neuen KMS-Schlüssel erstellen.

Bei diesem Aufruf des GetKeyPolicyVorgangs wird beispielsweise die geltende Schlüsselrichtlinie zurückgegeben. CreateKey Sie gewährt AWS-Konto Zugriff auf den KMS-Schlüssel und ermöglicht das Erstellen von AWS Identity and Access Management (IAM-) Richtlinien für den KMS-Schlüssel. Detaillierte Informationen zu IAM-Richtlinien und Schlüsselrichtlinien für KMS-Schlüssel finden Sie unter KMS-Schlüsselzugriff und -berechtigungen

$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text
{
  "Version" : "2012-10-17",
  "Id" : "key-default-1",
  "Statement" : [ {
    "Sid" : "Enable IAM User Permissions",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : "kms:*",
    "Resource" : "*"
  } ]
}