Erstellen Sie einen HMAC-KMS-Schlüssel - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie einen HMAC-KMS-Schlüssel

Sie können HMAC-KMS-Schlüssel in der AWS KMS Konsole erstellen, indem Sie CreateKeyAPI oder mithilfe der AWS::KMS::Key AWS CloudFormation Vorlage.

Wenn Sie einen HMAC-KMS-Schlüssel erstellen, müssen Sie eine Schlüsselspezifikation auswählen. AWS KMS unterstützt mehrere Schlüsselspezifikationen für HMAC-KMS-Schlüssel. Die von Ihnen ausgewählte Schlüsselspezifikation wird möglicherweise durch gesetzliche, Sicherheits- oder geschäftliche Anforderungen bestimmt. Im Allgemeinen sind längere Schlüssel Brute-Force-Angriffen gegenüber weniger anfällig.

Weitere Informationen über die Berechtigungen, die zum Erstellen von KMS-Schlüsseln erforderlich sind, finden Sie unter Berechtigungen zum Erstellen von KMS-Schlüsseln.

Sie können den verwenden AWS Management Console , um HMAC-KMS-Schlüssel zu erstellen. HMAC-KMS-Schlüssel sind symmetrische Schlüssel mit einer Schlüsselverwendung von Generate and verify MAC (MAC generieren und überprüfen). Sie können auch multiregionale HMAC-KMS-Schlüssel erstellen.

  1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  4. Klicken Sie auf Create key.

  5. Wählen Sie für Key type (Schlüsseltyp) Symmetric (Symmetrisch).

    HMAC-KMS-Schlüssel sind symmetrisch. Sie verwenden denselben Schlüssel, um HMAC-Tags zu generieren und zu überprüfen.

  6. Wählen Sie für Schlüsselverwendung Generate and verify MAC (MAC Generieren und überprüfen) aus.

    MAC generieren und überprüfen ist die einzig gültige Schlüsselverwendung für HMAC-KMS-Schlüssel.

    Anmerkung

    Key usage (Schlüsselverwendung) wird für symmetrische Schlüssel nur angezeigt, wenn HMAC-KMS-Schlüssel in Ihrer ausgewählten Region unterstützt werden.

  7. Wählen Sie eine Spezifikation (Key spec (Schlüsselspezifikation)) für Ihren HMAC-KMS-Schlüssel aus.

    Die von Ihnen ausgewählte Schlüsselspezifikation kann möglicherweise durch gesetzliche, Sicherheits- oder geschäftliche Anforderungen bestimmt werden. Im Allgemeinen sind längere Schlüssel sicherer.

  8. Um einen multiregionalen primären HMAC-Schlüssel zu erstellen, wählen Sie unter Advanced Options (Advanced Optionen) Multi-Region key (Multiregionaler Schlüssel) aus. Die freigegebenen Eigenschaften, die Sie für diesen KMS-Schlüssel definieren, wie z. B. den Schlüsseltyp und die Schlüsselverwendung, wird mit seinen Replikatschlüsseln geteilt.

    Sie können dieses Verfahren nicht verwenden, um einen Replikatschlüssel zu erstellen. Um einen multiregionalen Replikat-HMAC-Schlüssel, befolgen Sie die Anweisungen zum Erstellen eines Replikatschlüssels.

  9. Wählen Sie Weiter.

  10. Geben Sie einen Alias für den KMS-Schlüssel ein. Der Aliasname darf nicht mit aws/ beginnen. Das Präfix aws/ ist von Amazon Web Services reserviert und steht für Von AWS verwaltete Schlüssel in Ihrem Konto.

    Wir empfehlen Ihnen, einen Alias zu verwenden, der den KMS-Schlüssel als HMAC-Schlüssel identifiziert, z. B. HMAC/test-key. Auf diese Weise können Sie Ihre HMAC-Schlüssel in der AWS KMS Konsole leichter identifizieren, wo Sie Schlüssel nach Tags und Aliasnamen sortieren und filtern können, aber nicht nach Schlüsselspezifikation oder Schlüsselverwendung.

    Zum Erstellen eines KMS-Schlüssels in der Konsole benötigen Sie Aliase AWS Management Console. Sie können keinen Alias angeben, wenn Sie den CreateKeyVorgang verwenden, aber Sie können die Konsole oder den CreateAliasVorgang verwenden, um einen Alias für einen vorhandenen KMS-Schlüssel zu erstellen. Details hierzu finden Sie unter Aliase in AWS KMS.

  11. (Optional) Geben Sie eine Beschreibung für den KMS-Schlüssel ein.

    Geben Sie eine Beschreibung ein, die die Art von Daten, die Sie schützen möchten, oder die Anwendung, die Sie mit dem KMS-Schlüssel verwenden möchten, erklärt.

    Sie können jetzt eine Beschreibung hinzufügen oder sie jederzeit aktualisieren, es sei denn, der Schlüsselstatus lautet Pending Deletion oder Pending Replica Deletion. Um die Beschreibung eines vorhandenen, vom Kunden verwalteten Schlüssels hinzuzufügen, zu ändern oder zu löschen, bearbeiten Sie die Beschreibung auf der Detailseite für den KMS-Schlüssel AWS Management Console im AWS Management Console oder verwenden Sie den UpdateKeyDescriptionVorgang.

  12. (Optional) Geben Sie einen Tag-Schlüssel und einen optionalen Tag-Wert ein. Wählen Sie Add tag (Tag hinzufügen), wenn Sie mehr als ein Tag zum KMS-Schlüssel hinzufügen möchten.

    Erwägen Sie, ein Tag hinzuzufügen, das den Schlüssel als HMAC-Schlüssel identifiziert, z. B. Type=HMAC. Auf diese Weise können Sie Ihre HMAC-Schlüssel in der AWS KMS Konsole leichter identifizieren, wo Sie Schlüssel nach Tags und Aliasnamen sortieren und filtern können, aber nicht nach Schlüsselspezifikation oder Schlüsselverwendung.

    Wenn Sie Ihren AWS Ressourcen Tags hinzufügen, wird ein Kostenverteilungsbericht AWS generiert, in dem die Nutzung und die Kosten nach Stichwörtern zusammengefasst sind. Markierungen können auch verwendet werden, um den Zugriff auf einen KMS-Schlüssel zu steuern. Weitere Informationen über das Markieren von KMS-Schlüsseln finden Sie unter Schlagworte in AWS KMS und ABAC für AWS KMS.

  13. Wählen Sie Weiter.

  14. Wählen Sie die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel verwalten können.

    Hinweise

    Diese Schlüsselrichtlinie ermöglicht die AWS-Konto vollständige Kontrolle über diesen KMS-Schlüssel. Kontoadministratoren können damit anderen Prinzipalen mithilfe von IAM-Richtlinien die Berechtigung zum Verwalten des KMS-Schlüssels erteilen. Details hierzu finden Sie unter Standardschlüsselrichtlinie.

    Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

    Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter der Anweisungs-ID wichtige Administratoren hinzu"Allow access for Key Administrators". Eine Änderung dieser Anweisungs-ID kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Anweisung vornehmen.

  15. (Optional) Um zu verhindern, dass die ausgewählten IAM-Benutzer und -Rollen diesen KMS-Schlüssel löschen, deaktivieren Sie unten auf der Seite im Abschnitt Key deletion (Schlüssellöschung) das Kontrollkästchen Allow key administrators to delete this key (Administratoren erlauben, diesen Schlüssel zu löschen).

  16. Wählen Sie Weiter.

  17. Wählen Sie die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel für kryptographische Operationen verwenden können.

    Hinweise

    Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

    Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter den Anweisungskennungen "Allow use of the key" und "Allow attachment of persistent resources" wichtige Benutzer hinzu. Das Ändern dieser Anweisungskennungen kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Aussage vornehmen.

  18. (Optional) Sie können anderen erlauben, diesen KMS-Schlüssel für kryptografische Operationen AWS-Konten zu verwenden. Wählen Sie dazu im Abschnitt Other AWS-Konten(Andere Konten) unten auf der Seite die Option Add another AWS-Konto(Weiteres Konto hinzufügen) und geben Sie die AWS-Konto -ID eines externen Kontos ein. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.

    Anmerkung

    Um auch Prinzipalen aus den externen Konten Zugriff auf den KMS-Schlüssel zu erlauben, müssen die Administratoren der externen Konten IAM-Richtlinien erstellen, die diese Berechtigungen bereitstellen. Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung des KMS-Schlüssels erlauben.

  19. Wählen Sie Weiter.

  20. Lesen Sie die wichtigsten Richtlinienerklärungen für den Schlüssel. Um Änderungen an der wichtigsten Richtlinie vorzunehmen, wählen Sie Bearbeiten aus.

  21. Wählen Sie Weiter.

  22. Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.

  23. Wählen Sie Finish (fertigstellen) aus, um den HMAC-KMS-Schlüssel zu erstellen.

Sie können den CreateKeyVorgang verwenden, um einen HMAC-KMS-Schlüssel zu erstellen. Für diese Beispiele wird die AWS Command Line Interface (AWS CLI) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.

Wenn Sie einen HMAC-KMS-Schlüssel erstellen, müssen Sie den KeySpec-Parameter angeben, der den Typ der von Ihnen erstellten KMS-Schlüssel bestimmt. Außerdem müssen Sie einen KeyUsage-Wert von GENERATE_VERIFY_MAC angeben, obwohl es der einzig gültige Wert für die Schlüsselverwendung für HMAC-Schlüssel ist. Um einen multiregionalen HMAC-KMS-Schlüssel zu erstellen, fügen Sie den MultiRegion-Parameter mit einem Wert von true hinzu. Diese Eigenschaften können nicht geändert werden, nachdem der KMS-Schlüssel erstellt wurde.

Bei CreateKey diesem Vorgang können Sie keinen Alias angeben, aber Sie können den CreateAliasVorgang verwenden, um einen Alias für Ihren neuen KMS-Schlüssel zu erstellen. Wir empfehlen Ihnen, einen Alias zu verwenden, der den KMS-Schlüssel als HMAC-Schlüssel identifiziert, z. B. HMAC/test-key. Auf diese Weise können Sie Ihre HMAC-Schlüssel in der AWS KMS Konsole leichter identifizieren, wo Sie Schlüssel nach Alias sortieren und filtern können, aber nicht nach Schlüsselspezifikation oder Schlüsselverwendung.

Wenn Sie versuchen, einen HMAC-KMS-Schlüssel in einem zu erstellen, AWS-Region in dem HMAC-Schlüssel nicht unterstützt werden, gibt der Vorgang Folgendes zurück CreateKey UnsupportedOperationException

Im folgenden Beispiel wird die CreateKey-Operation zum Erstellen eines 512-Bit-HMAC-KMS-Schlüssels verwendet.

$ aws kms create-key --key-spec HMAC_512 --key-usage GENERATE_VERIFY_MAC
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1669973196.214,
        "MultiRegion": false,
        "KeySpec": "HMAC_512",
        "CustomerMasterKeySpec": "HMAC_512",
        "KeyUsage": "GENERATE_VERIFY_MAC",
        "MacAlgorithms": [
            "HMAC_SHA_512"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}