Einen KMS Schlüssel in externen Schlüsselspeichern erstellen - AWS Key Management Service
Anforderungen für einen KMS Schlüssel in einem externen SchlüsselspeicherErstellen Sie einen neuen KMS Schlüssel in Ihrem externen Schlüsselspeicher

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einen KMS Schlüssel in externen Schlüsselspeichern erstellen

Nachdem Sie Ihren externen Schlüsselspeicher erstellt und verbunden haben, können Sie ihn AWS KMS keys in Ihrem Schlüsselspeicher erstellen. Es muss sich um symmetrische KMS Verschlüsselungsschlüssel mit dem Ursprungswert Externer Schlüsselspeicher (EXTERNAL_KEY_STORE) handeln. Sie können keine asymmetrischen KMS Schlüssel, Schlüssel oder HMACKMSKMSSchlüssel mit importiertem Schlüsselmaterial in einem benutzerdefinierten Schlüsselspeicher erstellen. Außerdem können Sie in einem benutzerdefinierten Schlüsselspeicher keine symmetrischen KMS Verschlüsselungsschlüssel verwenden, um asymmetrische Datenschlüsselpaare zu generieren.

Ein KMS Schlüssel in einem externen Schlüsselspeicher hat möglicherweise eine schlechtere Latenz, Haltbarkeit und Verfügbarkeit als ein KMS Standardschlüssel, da er von Komponenten abhängt, die sich außerhalb von befinden. AWS Bevor Sie einen KMS Schlüssel in einem externen Schlüsselspeicher erstellen oder verwenden, stellen Sie sicher, dass Sie einen Schlüssel mit Eigenschaften eines externen Schlüsselspeichers benötigen.

Anmerkung

Einige externe Schlüsselmanager bieten eine einfachere Methode zum Erstellen von KMS Schlüsseln in einem externen Schlüsselspeicher. Weitere Informationen finden Sie in der Dokumentation zum externen Schlüsselmanager.

Um einen KMS Schlüssel in Ihrem externen Schlüsselspeicher zu erstellen, geben Sie Folgendes an:

  • Die ID Ihres externen Schlüsselspeichers.

  • Externer Schlüsselspeicher (EXTERNAL_KEY_STORE) als Herkunft des Schlüsselmaterials.

  • Die ID eines vorhandenen externen Schlüssels im externen Schlüsselmanager, der Ihrem externen Schlüsselspeicher zugeordnet ist. Dieser externe Schlüssel dient als Schlüsselmaterial für den KMS Schlüssel. Sie können die externe Schlüssel-ID nicht ändern, nachdem Sie den KMS Schlüssel erstellt haben.

    AWS KMS stellt Ihrem externen Schlüsselspeicher-Proxy bei Anfragen für Verschlüsselungs- und Entschlüsselungsvorgänge die externe Schlüssel-ID zur Verfügung. AWS KMS kann nicht direkt auf Ihren externen Schlüsselmanager oder einen seiner kryptografischen Schlüssel zugreifen.

Neben dem externen Schlüssel enthält ein KMS Schlüssel in einem externen Schlüsselspeicher auch AWS KMS Schlüsselmaterial. Alle unter dem KMS Schlüssel verschlüsselten Daten werden zuerst AWS KMS mit dem Schlüsselmaterial des AWS KMS Schlüssels und dann von Ihrem externen Schlüsselmanager mit Ihrem externen Schlüssel verschlüsselt. Dieser doppelte Verschlüsselungsprozess stellt sicher, dass Chiffretext, der durch einen KMS Schlüssel in einem externen Schlüsselspeicher geschützt ist, mindestens so stark ist wie Chiffretext, der nur durch geschützt ist. AWS KMS Details hierzu finden Sie unter Funktionsweise externer Schlüsselspeicher.

Wenn der CreateKey Vorgang erfolgreich ist, lautet der Schlüsselstatus des neuen Schlüssels. KMS Enabled Wenn Sie einen KMS Schlüssel in einem externen Schlüsselspeicher anzeigen, können Sie typische Eigenschaften wie Schlüssel-ID, Schlüsselspezifikation, Schlüsselverwendung, Schlüsselstatus und Erstellungsdatum sehen. Sie können aber auch die ID und den Verbindungsstatus des externen Schlüsselspeichers sowie die ID des externen Schlüssels sehen.

Wenn Ihr Versuch, einen KMS Schlüssel in Ihrem externen Schlüsselspeicher zu erstellen, fehlschlägt, verwenden Sie die Fehlermeldung, um die Ursache zu ermitteln. Dies kann darauf hinweisen, dass der externe Schlüsselspeicher nicht verbunden ist (CustomKeyStoreInvalidStateException), dass Ihr externer Schlüsselspeicher-Proxy keinen externen Schlüssel mit der angegebenen externen Schlüssel-ID (XksKeyNotFoundException) finden kann oder dass der externe Schlüssel bereits mit einem KMS Schlüssel im selben externen Schlüsselspeicher verknüpft istXksKeyAlreadyInUseException.

Ein Beispiel für das AWS CloudTrail Protokoll des Vorgangs, der einen KMS Schlüssel in einem externen Schlüsselspeicher erstellt, finden Sie unterCreateKey.

Anforderungen für einen KMS Schlüssel in einem externen Schlüsselspeicher

Um einen KMS Schlüssel in einem externen Schlüsselspeicher zu erstellen, sind die folgenden Eigenschaften des externen Schlüsselspeichers, des Schlüssels und des externen KMS Schlüssels, der als externes kryptografisches Schlüsselmaterial für den KMS Schlüssel dient, erforderlich.

Anforderungen an einen externen Schlüsselspeicher

KMSdie wichtigsten Anforderungen

Sie können diese Eigenschaften nicht ändern, nachdem Sie den KMS Schlüssel erstellt haben.

  • Schlüsselspezifikation: _ SYMMETRIC DEFAULT

  • Verwendung des Schlüssels: _ ENCRYPT DECRYPT

  • Herkunft des wichtigsten Materials: EXTERNAL _ KEY _ STORE

  • Regional übergreifend: FALSE

Anforderungen an externe Schlüssel

  • AES256-Bit-kryptografischer Schlüssel (256 zufällige Bits). Die KeySpec des externen Schlüssels muss AES_256 sein.

  • Aktiviert und zur Verwendung verfügbar. Die Status des externen Schlüssels muss ENABLED sein.

  • Konfiguriert für Verschlüsselung und Entschlüsselung. Die KeyUsage des externen Schlüssels muss ENCRYPT und DECRYPT enthalten.

  • Wird nur mit diesem Schlüssel verwendet. KMS Jeder KMS key in einem externen Schlüsselspeicher muss mit einem anderen externen Schlüssel verbunden sein.

    AWS KMS empfiehlt außerdem, den externen Schlüssel ausschließlich für den externen Schlüsselspeicher zu verwenden. Diese Einschränkung macht es einfacher, Probleme mit dem Schlüssel zu erkennen und zu beheben.

  • Zugriff durch den Proxy des externen Schlüsselspeichers für den externen Schlüsselspeicher möglich.

    Wenn der Proxy des externen Schlüsselspeichers den Schlüssel mit der angegebenen externen Schlüssel-ID nicht finden kann, schlägt der Vorgang CreateKey fehl.

  • Kann den zu erwartenden Datenverkehr verarbeiten, den Ihre Verwendung von AWS-Services generiert. AWS KMS empfiehlt, externe Schlüssel für die Verarbeitung von bis zu 1800 Anfragen pro Sekunde vorzubereiten.

Erstellen Sie einen neuen KMS Schlüssel in Ihrem externen Schlüsselspeicher

Sie können einen neuen KMS Schlüssel in Ihrem externen Schlüsselspeicher in der AWS KMS Konsole oder mithilfe des CreateKeyVorgangs erstellen.

Es gibt zwei Möglichkeiten, einen KMS Schlüssel in einem externen Schlüsselspeicher zu erstellen.

  • Methode 1 (empfohlen): Wählen Sie einen externen Schlüsselspeicher und erstellen Sie dann einen KMS Schlüssel in diesem externen Schlüsselspeicher.

  • Methode 2: Erstellen Sie einen KMS Schlüssel und geben Sie dann an, dass er sich in einem externen Schlüsselspeicher befindet.

Wenn Sie Methode 1 verwenden, bei der Sie Ihren externen Schlüsselspeicher auswählen, bevor Sie Ihren Schlüssel erstellen AWS KMS , werden alle erforderlichen KMS Schlüsseleigenschaften für Sie ausgewählt und die ID Ihres externen Schlüsselspeichers eingegeben. Diese Methode vermeidet Fehler, die Sie möglicherweise beim Erstellen Ihres KMS Schlüssels machen.

Anmerkung

Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Alias, in der Beschreibung oder in den Tags auf. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.

Methode 1 (empfohlen): Starten in Ihrem externen Schlüsselspeicher

Um diese Methode zu verwenden, wählen Sie Ihren externen Schlüsselspeicher aus und erstellen Sie dann einen KMS Schlüssel. Die AWS KMS Konsole wählt alle erforderlichen Eigenschaften für Sie aus und gibt die ID Ihres externen Schlüsselspeichers ein. Diese Methode vermeidet viele Fehler, die Sie bei der Erstellung Ihres KMS Schlüssels machen könnten.

  1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Wählen Sie im Navigationsbereich Custom key stores (Benutzerdefinierte Schlüsselspeicher), External key stores (Externe Schlüsselspeicher) aus.

  4. Wählen Sie den Namen Ihres externen Schlüsselspeichers aus.

  5. Wählen Sie in der oberen rechten Ecke die Option KMSSchlüssel in diesem Schlüsselspeicher erstellen aus.

    Wenn der externe Schlüsselspeicher nicht verbunden ist, werden Sie aufgefordert, ihn zu verbinden. Wenn der Verbindungsversuch fehlschlägt, müssen Sie das Problem lösen und den externen Schlüsselspeicher verbinden, bevor Sie darin einen neuen KMS Schlüssel erstellen können.

    Wenn der externe Schlüsselspeicher verbunden ist, werden Sie zur Seite Customer managed keys (Kundenverwaltete Schlüssel) weitergeleitet, auf der Sie einen Schlüssel erstellen können. Die erforderlichen Schlüsselkonfigurationswerte wurden bereits für Sie ausgewählt. Außerdem ist die benutzerdefinierte Schlüsselspeicher-ID Ihres externen Schlüsselspeichers ausgefüllt, Sie können diese aber ändern.

  6. Geben Sie die Schlüssel-ID eines externen Schlüssels in Ihren externen Schlüsselmanager ein. Dieser externe Schlüssel muss die Anforderungen für die Verwendung mit einem KMS Schlüssel erfüllen. Sie können diesen Wert nach der Erstellung des KMS-Schlüssels nicht mehr ändern.

    Wenn der externe Schlüssel mehrere hatIDs, geben Sie die Schlüssel-ID ein, die der externe Schlüsselspeicher-Proxy zur Identifizierung des externen Schlüssels verwendet.

  7. Bestätigen Sie, dass Sie beabsichtigen, einen KMS Schlüssel im angegebenen externen Schlüsselspeicher zu erstellen.

  8. Wählen Sie Weiter.

    Der Rest dieses Verfahrens entspricht dem Erstellen eines KMS Standardschlüssels.

  9. Geben Sie einen Alias (erforderlich) und eine Beschreibung (optional) für den KMS Schlüssel ein.

  10. (Optional). Fügen Sie auf der Seite „Tags hinzufügen“ Tags hinzu, die Ihren KMS Schlüssel identifizieren oder kategorisieren.

    Wenn Sie Ihren AWS Ressourcen Tags hinzufügen, AWS wird ein Kostenverteilungsbericht generiert, in dem die Nutzung und die Kosten nach Stichwörtern zusammengefasst sind. Tags können auch verwendet werden, um den Zugriff auf einen KMS Schlüssel zu kontrollieren. Hinweise zum Markieren von KMS Schlüsseln finden Sie unter Schlagworte in AWS KMS undABACfür AWS KMS.

  11. Wählen Sie Weiter.

  12. Wählen Sie im Abschnitt Schlüsseladministratoren die IAM Benutzer und Rollen aus, die den KMS Schlüssel verwalten können. Weitere Informationen finden Sie unter Ermöglicht Schlüsseladministratoren die Verwaltung des KMS Schlüssels.

    Anmerkung

    IAMRichtlinien können anderen IAM Benutzern und Rollen die Erlaubnis geben, den KMS Schlüssel zu verwenden.

    IAMbewährte Verfahren raten von der Verwendung von IAM Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM Rollen, die temporäre Anmeldeinformationen bereitstellen. Einzelheiten finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.

  13. (Optional) Um zu verhindern, dass diese Schlüsseladministratoren diesen KMS Schlüssel löschen, deaktivieren Sie das Kontrollkästchen Schlüsseladministratoren erlauben, diesen Schlüssel zu löschen.

    Das Löschen eines KMS Schlüssels ist ein zerstörerischer und irreversibler Vorgang, der dazu führen kann, dass Chiffretext nicht wiederhergestellt werden kann. Sie können einen symmetrischen KMS Schlüssel nicht in einem externen Schlüsselspeicher neu erstellen, selbst wenn Sie über das externe Schlüsselmaterial verfügen. Das Löschen eines KMS Schlüssels hat jedoch keine Auswirkung auf den zugehörigen externen Schlüssel. Informationen zum Löschen eines KMS Schlüssels aus einem externen Schlüsselspeicher finden Sie unter Besondere Überlegungen beim Löschen von Schlüsseln.

  14. Wählen Sie Weiter.

  15. Wählen Sie im Abschnitt Dieses Konto die IAM Benutzer und Rollen in diesem Konto aus AWS-Konto , die den KMS Schlüssel für kryptografische Operationen verwenden können. Weitere Informationen finden Sie unter Ermöglicht Schlüsselbenutzern die Verwendung des KMS Schlüssels.

    Anmerkung

    IAMRichtlinien können anderen IAM Benutzern und Rollen die Erlaubnis geben, den KMS Schlüssel zu verwenden.

    IAMbewährte Verfahren raten von der Verwendung von IAM Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM Rollen, die temporäre Anmeldeinformationen bereitstellen. Einzelheiten finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.

  16. (Optional) Sie können anderen erlauben, diesen KMS Schlüssel für kryptografische Operationen AWS-Konten zu verwenden. Wählen Sie dazu unten auf der Seite im AWS-Konten Abschnitt Andere die Option Weiteres hinzufügen aus AWS-Konto und geben Sie die AWS-Konto ID eines externen Kontos ein. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.

    Anmerkung

    Administratoren der anderen AWS-Konten müssen ebenfalls den Zugriff auf den KMS Schlüssel ermöglichen, indem sie IAM Richtlinien für ihre Benutzer erstellen. Weitere Informationen finden Sie unter Benutzern mit anderen Konten die Verwendung eines KMS Schlüssels ermöglichen.

  17. Wählen Sie Weiter.

  18. Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.

  19. Wählen Sie danach Finish (Fertigstellen) aus.

Mehr anzeigenWeniger anzeigen

Methode 2: Starten in kundenverwalteten Schlüsseln

Dieses Verfahren entspricht dem Verfahren zur Erstellung eines symmetrischen Verschlüsselungsschlüssels mit AWS KMS Schlüsselmaterial. In diesem Verfahren geben Sie jedoch die benutzerdefinierte Schlüsselspeicher-ID des externen Schlüsselspeichers und die Schlüssel-ID des externen Schlüssels an. Sie müssen auch die erforderlichen Eigenschaftswerte für einen KMS Schlüssel in einem externen Schlüsselspeicher angeben, z. B. die Schlüsselspezifikation und die Schlüsselverwendung.

  1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  4. Klicken Sie auf Create key.

  5. Wählen Sie Symmetric (Symmetrisch).

  6. Unter Key usage (Schlüsselverwendung) ist die Option Encrypt and decrypt (Verschlüsseln und Entschlüsseln) für Sie ausgewählt. Ändern Sie dies nicht.

  7. Wählen Sie Advanced options (Erweiterte Optionen) aus.

  8. Wählen Sie unter Key material origin (Schlüsselmaterialursprung) die Option External key store (Externer Schlüsselspeicher) aus.

  9. Bestätigen Sie, dass Sie beabsichtigen, einen KMS Schlüssel im angegebenen externen Schlüsselspeicher zu erstellen.

  10. Wählen Sie Weiter.

  11. Wählen Sie die Zeile aus, die den externen Schlüsselspeicher für Ihren neuen KMS Schlüssel darstellt.

    Sie können keinen getrennten externen Schlüsselspeicher auswählen. Zum Verbinden eines nicht verbundenen Schlüsselspeichers wählen Sie den Namen des Schlüsselspeichers und dann unter Key store actions (Schlüsselspeicheraktionen) die Option Connect (Verbinden) aus. Details hierzu finden Sie unter Mithilfe der Konsole AWS KMS.

  12. Geben Sie die Schlüssel-ID eines externen Schlüssels in Ihren externen Schlüsselmanager ein. Dieser externe Schlüssel muss die Anforderungen für die Verwendung mit einem KMS Schlüssel erfüllen. Sie können diesen Wert nach der Erstellung des KMS-Schlüssels nicht mehr ändern.

    Wenn der externe Schlüssel mehrere hatIDs, geben Sie die Schlüssel-ID ein, die der externe Schlüsselspeicher-Proxy zur Identifizierung des externen Schlüssels verwendet.

  13. Wählen Sie Weiter.

    Der Rest dieses Verfahrens entspricht dem Erstellen eines KMS Standardschlüssels.

  14. Geben Sie einen Alias und optional eine Beschreibung für den KMS Schlüssel ein.

  15. (Optional). Fügen Sie auf der Seite „Tags hinzufügen“ Tags hinzu, die Ihren KMS Schlüssel identifizieren oder kategorisieren.

    Wenn Sie Ihren AWS Ressourcen Tags hinzufügen, AWS wird ein Kostenverteilungsbericht generiert, in dem die Nutzung und die Kosten nach Stichwörtern zusammengefasst sind. Tags können auch verwendet werden, um den Zugriff auf einen KMS Schlüssel zu kontrollieren. Hinweise zum Markieren von KMS Schlüsseln finden Sie unter Schlagworte in AWS KMS undABACfür AWS KMS.

  16. Wählen Sie Weiter.

  17. Wählen Sie im Abschnitt Schlüsseladministratoren die IAM Benutzer und Rollen aus, die den KMS Schlüssel verwalten können. Weitere Informationen finden Sie unter Ermöglicht Schlüsseladministratoren die Verwaltung des KMS Schlüssels.

    Anmerkung

    IAMRichtlinien können anderen IAM Benutzern und Rollen die Erlaubnis geben, den KMS Schlüssel zu verwenden.

  18. (Optional) Um zu verhindern, dass diese Schlüsseladministratoren diesen KMS Schlüssel löschen, deaktivieren Sie das Kontrollkästchen Schlüsseladministratoren erlauben, diesen Schlüssel zu löschen.

    Das Löschen eines KMS Schlüssels ist ein zerstörerischer und irreversibler Vorgang, der dazu führen kann, dass Chiffretext nicht wiederhergestellt werden kann. Sie können einen symmetrischen KMS Schlüssel nicht in einem externen Schlüsselspeicher neu erstellen, selbst wenn Sie über das externe Schlüsselmaterial verfügen. Das Löschen eines KMS Schlüssels hat jedoch keine Auswirkung auf den zugehörigen externen Schlüssel. Hinweise zum Löschen eines KMS Schlüssels aus einem externen Schlüsselspeicher finden Sie unterLösche eine AWS KMS keys.

  19. Wählen Sie Weiter.

  20. Wählen Sie im Abschnitt Dieses Konto die IAM Benutzer und Rollen aus AWS-Konto , die den KMS Schlüssel für kryptografische Operationen verwenden können. Weitere Informationen finden Sie unter Ermöglicht Schlüsselbenutzern die Verwendung des KMS Schlüssels.

    Anmerkung

    IAMRichtlinien können anderen IAM Benutzern und Rollen die Erlaubnis geben, den KMS Schlüssel zu verwenden.

  21. (Optional) Sie können anderen erlauben, diesen KMS Schlüssel für kryptografische Operationen AWS-Konten zu verwenden. Wählen Sie dazu unten auf der Seite im AWS-Konten Abschnitt Andere die Option Weiteres hinzufügen aus AWS-Konto und geben Sie die AWS-Konto ID eines externen Kontos ein. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.

    Anmerkung

    Administratoren der anderen AWS-Konten müssen ebenfalls den Zugriff auf den KMS Schlüssel ermöglichen, indem sie IAM Richtlinien für ihre Benutzer erstellen. Weitere Informationen finden Sie unter Benutzern mit anderen Konten die Verwendung eines KMS Schlüssels ermöglichen.

  22. Wählen Sie Weiter.

  23. Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.

  24. Wählen Sie danach Finish (Fertigstellen) aus.

Mehr anzeigenWeniger anzeigen

Wenn der Vorgang erfolgreich ist, wird auf dem Display der neue KMS Schlüssel in dem von Ihnen ausgewählten externen Schlüsselspeicher angezeigt. Wenn Sie den Namen oder Alias des neuen KMS Schlüssels wählen, werden auf der Detailseite der Registerkarte Kryptografische Konfiguration die Herkunft des KMS Schlüssels (externer Schlüsselspeicher), der Name, die ID und der Typ des benutzerdefinierten Schlüsselspeichers sowie die ID, die Schlüsselverwendung und der Status des externen Schlüssels angezeigt. Wenn der Vorgang fehlschlägt, wird unter eine Fehlermeldung mit einer Beschreibung des Fehlers angezeigt. Informationen finden Sie unter Fehlerbehebung bei externen Schlüsselspeichern.

Tipp

Um die Identifizierung von KMS Schlüsseln in einem benutzerdefinierten Schlüsselspeicher zu erleichtern, fügen Sie auf der Seite Vom Kunden verwaltete Schlüssel die Spalten Origin und Custom Key Store ID zur Anzeige hinzu. Zum Ändern der Tabellenfelder wählen Sie das Zahnradsymbol rechts oben auf der Seite aus. Details hierzu finden Sie unter Passen Sie Ihre Konsolenansicht an.

Verwenden Sie den CreateKeyVorgang, um einen neuen KMS Schlüssel in einem externen Schlüsselspeicher zu erstellen. Die folgenden Parameter sind erforderlich:

  • Der Origin-Wert muss EXTERNAL_KEY_STORE lauten.

  • Der CustomKeyStoreId-Parameter identifiziert Ihren externen Schlüsselspeicher. Der ConnectionState des angegebenen externen Schlüsselspeichers muss CONNECTED sein. Verwenden Sie den DescribeCustomKeyStores-Vorgang um die CustomKeyStoreId und den ConnectionState zu ermitteln.

  • Der XksKeyId-Parameter identifiziert den externen Schlüssel. Dieser externe Schlüssel muss die Anforderungen für die Zuordnung zu einem KMS Schlüssel erfüllen.

Sie können auch jeden der optionalen Parameter des CreateKey-Vorgangs verwenden, z. B. die Policy- oder Tags-Parameter.

Anmerkung

Geben Sie keine vertraulichen oder sensiblen Informationen in die Felder Description oder Tags ein. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben im Klartext vorkommen.

Für diese Beispiele wird die AWS Command Line Interface (AWS CLI) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.

In diesem Beispielbefehl wird der CreateKeyVorgang verwendet, um einen KMS Schlüssel in einem externen Schlüsselspeicher zu erstellen. Die Antwort umfasst die Eigenschaften der KMS Schlüssel, die ID des externen Schlüsselspeichers sowie die ID, die Verwendung und den Status des externen Schlüssels.

Wenn Sie diesen Befehl ausführen, denken Sie daran, die ID des benutzerdefinierten Schlüsselspeichers in dem Beispiel durch eine gültige ID zu ersetzen.

$ aws kms create-key --origin EXTERNAL_KEY_STORE --custom-key-store-id cks-1234567890abcdef0 --xks-key-id bb8562717f809024
{
  "KeyMetadata": {
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "AWSAccountId": "111122223333",
    "CreationDate": "2022-12-02T07:48:55-07:00",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "CustomKeyStoreId": "cks-1234567890abcdef0",
    "Description": "",
    "Enabled": true,
    "EncryptionAlgorithms": [
      "SYMMETRIC_DEFAULT"
    ],
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeySpec": "SYMMETRIC_DEFAULT",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "MultiRegion": false,
    "Origin": "EXTERNAL_KEY_STORE",
    "XksKeyConfiguration": {
      "Id": "bb8562717f809024"
    }
  }
}