Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schützen von importiertem Schlüsselmaterial
Das Schlüsselmaterial, das Sie importieren, ist während des Transports und im Ruhezustand geschützt. Bevor Sie das Schlüsselmaterial importieren, verschlüsseln (oder „verpacken“) Sie das Schlüsselmaterial mit dem öffentlichen Schlüssel eines RSA key pair, das in AWS KMS Hardware-Sicherheitsmodulen (HSMs) generiert wurde, die im Rahmen des FIPS140-2 Cryptographic
AWS KMS Entschlüsselt nach Erhalt das Schlüsselmaterial mit dem entsprechenden privaten Schlüssel in einem AWS KMS HSM und verschlüsselt es erneut unter einem AES symmetrischen Schlüssel, der nur im flüchtigen Speicher von vorhanden ist. HSM Ihr Schlüsselmaterial verlässt das niemals im HSM Klartext. Es wird nur entschlüsselt, während es verwendet wird, und nur innerhalb AWS KMS HSMs.
Die Verwendung Ihres KMS Schlüssels mit importiertem Schlüsselmaterial hängt ausschließlich von den Zugriffskontrollrichtlinien ab, die Sie für den KMS Schlüssel festgelegt haben. Darüber hinaus können Sie Aliase und Tags verwenden, um den KMS Schlüssel zu identifizieren und den Zugriff darauf zu kontrollieren. Sie können den Schlüssel aktivieren und deaktivieren, ihn anzeigen und überwachen, indem Sie Dienste wie AWS CloudTrail verwenden.
Sie behalten jedoch die einzige ausfallsichere Kopie Ihres Schlüsselmaterials. Im Gegenzug für dieses zusätzliche Maß an Kontrolle sind Sie für die Haltbarkeit und allgemeine Verfügbarkeit des importierten Schlüsselmaterials verantwortlich. AWS KMS ist darauf ausgelegt, importiertes Schlüsselmaterial hochverfügbar zu halten. Die Haltbarkeit von importiertem Schlüsselmaterial wird jedoch AWS KMS nicht auf dem gleichen Niveau gehalten wie das AWS KMS generierte Schlüsselmaterial.
Dieser Unterschied in der Haltbarkeit ist in den folgenden Fällen von Bedeutung:
-
Wenn Sie eine Ablaufzeit für Ihr importiertes Schlüsselmaterial festlegen, AWS KMS wird das Schlüsselmaterial nach Ablauf gelöscht. AWS KMS löscht den KMS Schlüssel oder seine Metadaten nicht. Sie können einen CloudWatch Amazon-Alarm erstellen, der Sie benachrichtigt, wenn importiertes Schlüsselmaterial sich dem Ablaufdatum nähert.
Sie können kein Schlüsselmaterial löschen, das für einen KMS Schlüssel AWS KMS generiert wurde, und Sie können nicht festlegen, dass AWS KMS Schlüsselmaterial abläuft, obwohl Sie es rotieren können.
-
Wenn Sie importiertes Schlüsselmaterial manuell AWS KMS löschen, wird das Schlüsselmaterial gelöscht, der KMS Schlüssel oder seine Metadaten werden jedoch nicht gelöscht. Im Gegensatz dazu erfordert die Planung des Löschens von Schlüsseln eine Wartezeit von 7 bis 30 Tagen. Danach werden der KMS Schlüssel, seine Metadaten und sein Schlüsselmaterial AWS KMS dauerhaft gelöscht.
-
Im unwahrscheinlichen Fall bestimmter regionaler Ausfälle, die Auswirkungen haben AWS KMS (z. B. ein vollständiger Stromausfall), AWS KMS kann Ihr importiertes Schlüsselmaterial nicht automatisch wiederhergestellt werden. AWS KMS Kann den KMS Schlüssel und seine Metadaten jedoch wiederherstellen.
Sie müssen eine Kopie des importierten Schlüsselmaterials außerhalb eines von AWS Ihnen kontrollierten Systems aufbewahren. Wir empfehlen, dass Sie eine exportierbare Kopie des importierten Schlüsselmaterials in einem Schlüsselverwaltungssystem speichern, z. B. in einemHSM. Wenn Ihr importiertes Schlüsselmaterial gelöscht wird oder abläuft, ist der zugehörige KMS Schlüssel unbrauchbar, bis Sie dasselbe Schlüsselmaterial erneut importieren. Wenn Ihr importiertes Schlüsselmaterial dauerhaft verloren geht, kann der unter dem Schlüssel verschlüsselte Chiffretext nicht wiederhergestellt werden. KMS
