Erstellen Sie einen KMS Schlüssel mit importiertem Schlüsselmaterial - AWS Key Management Service
Berechtigungen zum Importieren von SchlüsselmaterialAnforderungen an importiertes Schlüsselmaterial

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie einen KMS Schlüssel mit importiertem Schlüsselmaterial

Mit importiertem Schlüsselmaterial können Sie Ihre AWS Ressourcen mit von Ihnen generierten kryptografischen Schlüsseln schützen. Das Schlüsselmaterial, das Sie importieren, ist einem bestimmten KMS Schlüssel zugeordnet. Sie können dasselbe Schlüsselmaterial erneut in denselben Schlüssel importieren, aber Sie können kein anderes KMS Schlüsselmaterial in den Schlüssel importieren und Sie können einen KMS Schlüssel, der für importiertes KMS Schlüsselmaterial entworfen wurde, nicht in einen KMS Schlüssel mit AWS KMS Schlüsselmaterial konvertieren.

Die folgende Übersicht erläutert den Prozess zum Importieren Ihres Schlüsselmaterials in AWS KMS. Weitere Informationen zu jedem einzelnen Vorgang finden Sie unter den entsprechenden Themen.

  1. Erstellen Sie einen KMS Schlüssel ohne Schlüsselmaterial — der Ursprung muss seinEXTERNAL. Ein Schlüsselursprung von EXTERNAL gibt an, dass der Schlüssel für importiertes Schlüsselmaterial konzipiert ist und AWS KMS verhindert, dass Schlüsselmaterial für den KMS Schlüssel generiert wird. In einem späteren Schritt werden Sie Ihr eigenes Schlüsselmaterial in diesen KMS Schlüssel importieren.

    Das Schlüsselmaterial, das Sie importieren, muss mit der Schlüsselspezifikation des zugehörigen AWS KMS Schlüssels kompatibel sein. Weitere Informationen zur Kompatibilität finden Sie unter Anforderungen an importiertes Schlüsselmaterial.

  2. Herunterladen des öffentlichen Verpackungsschlüssels und Import-Tokens – Nachdem Sie Schritt 1 abgeschlossen haben, laden Sie einen öffentlichen Verpackungsschlüssel und einen Import-Token herunter. Diese Elemente schützen Ihr Schlüsselmaterial, während es in AWS KMS importiert wird.

    In diesem Schritt wählen Sie den Typ („Schlüsselspezifikation“) des Wrapping-Schlüssels und RSA den Wrapping-Algorithmus aus, mit dem Sie Ihre Daten bei der Übertragung verschlüsseln werden. AWS KMS Sie können jedes Mal, wenn Sie dasselbe Schlüsselmaterial importieren oder erneut importieren, eine andere Verpackungsschlüsselspezifikation und einen anderen Verpackungsschlüsselalgorithmus wählen.

  3. Verschlüsseln des Schlüsselmaterials – Verwenden Sie den öffentlichen Verpackungsschlüssel, den Sie in Schritt 2 heruntergeladen haben, um das Schlüsselmaterial zu verschlüsseln, das Sie in Ihrem eigenen System erstellt haben.

  4. Importieren von Schlüsselmaterial – Laden Sie das verschlüsselte Schlüsselmaterial, das Sie in Schritt 3 erstellt haben, und das in Schritt 2 heruntergeladene Import-Token hoch.

    In diesem Stadium können Sie optional eine Ablaufzeit festlegen. Wenn importiertes Schlüsselmaterial abläuft, AWS KMS wird es gelöscht und der KMS Schlüssel wird unbrauchbar. Um den KMS Schlüssel weiterhin verwenden zu können, müssen Sie dasselbe Schlüsselmaterial erneut importieren.

    Wenn der Importvorgang erfolgreich abgeschlossen wurde, ändert sich der Schlüsselstatus des KMS Schlüssels von PendingImport zuEnabled. Sie können den KMS Schlüssel jetzt für kryptografische Operationen verwenden.

AWS KMS zeichnet einen Eintrag in Ihrem AWS CloudTrail Protokoll auf, wenn Sie den KMS Schlüssel erstellen, den öffentlichen Schlüssel und das Importtoken herunterladen und das Schlüsselmaterial importieren. AWS KMS zeichnet auch einen Eintrag auf, wenn Sie importiertes Schlüsselmaterial löschen oder wenn abgelaufenes Schlüsselmaterial AWS KMS gelöscht wird.

Berechtigungen zum Importieren von Schlüsselmaterial

Um KMS Schlüssel mit importiertem Schlüsselmaterial zu erstellen und zu verwalten, benötigt der Benutzer eine Genehmigung für die in diesem Prozess ausgeführten Operationen. Sie können die kms:DeleteImportedKeyMaterial Berechtigungen kms:GetParametersForImportkms:ImportKeyMaterial, und in der Schlüsselrichtlinie angeben, wenn Sie den KMS Schlüssel erstellen. In der AWS KMS Konsole werden diese Berechtigungen automatisch für Schlüsseladministratoren hinzugefügt, wenn Sie einen Schlüssel mit einem externen Schlüsselmaterial erstellen.

Um KMS Schlüssel mit importiertem Schlüsselmaterial zu erstellen, benötigt der Principal die folgenden Berechtigungen.

Um importiertes Schlüsselmaterial erneut zu importieren, benötigt der Principal die Berechtigungen kms: GetParametersForImport und kms: ImportKeyMaterial.

Um importiertes Schlüsselmaterial zu löschen, benötigt der Principal die kms: DeleteImportedKeyMaterial -Berechtigung.

Um dem Beispiel beispielsweise die KMSAdminRole Erlaubnis zu geben, alle Aspekte eines KMS Schlüssels mit importiertem Schlüsselmaterial zu verwalten, fügen Sie der Schlüsselrichtlinie des Schlüssels eine wichtige Richtlinienerklärung wie die folgende KMS hinzu.

{
  "Sid": "Manage KMS keys with imported key material",
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole"
  },
  "Action": [
    "kms:GetParametersForImport",
    "kms:ImportKeyMaterial",
    "kms:DeleteImportedKeyMaterial"
  ]  
}

Anforderungen an importiertes Schlüsselmaterial

Das Schlüsselmaterial, das Sie importieren, muss mit der Schlüsselspezifikation des zugehörigen KMS Schlüssels kompatibel sein. Importieren Sie bei asymmetrischen Schlüsselpaaren nur den privaten Schlüssel des Paares. AWS KMS leitet den öffentlichen Schlüssel vom privaten Schlüssel ab.

AWS KMS unterstützt die folgenden Schlüsselspezifikationen für KMS Schlüssel mit importiertem Schlüsselmaterial.

KMSwichtige Schlüsselspezifikation Schlüsselmaterialanforderungen

Schlüssel zur symmetrischen Verschlüsselung

SYMMETRIC_DEFAULT

256 Bit (32 Byte) an Binärdaten

In chinesischen Regionen muss es sich um 128 Bit (16 Byte) an Binärdaten handeln.
HMACSchlüssel

HMAC_224

HMAC_256

HMAC_384

HMAC_512

 HMACDas Schlüsselmaterial muss 2104 entsprechenRFC.

Die Schlüssellänge muss mit der in der Schlüsselspezifikation angegebenen Länge übereinstimmen.
RSAasymmetrischer privater Schlüssel

RSA_2048

RSA_3072

RSA_4096

 Der RSA asymmetrische private Schlüssel, den Sie importieren, muss Teil eines key pair sein, das 3447 entsprichtRFC.

Modul: 2 048 Bit, 3 072 Bit oder 4 096 Bit

Anzahl der Primzahlen: 2 (RSAMulti-Prime-Schlüssel werden nicht unterstützt)

Asymmetrisches Schlüsselmaterial muss BER -codiert oder im Public-Key Cryptography Standards () #8 DER -Format kodiert sein, das 5208 entspricht. PKCS RFC
Asymmetrischer privater Schlüssel mit elliptischer Kurve

ECCNIST_ _P256 (secp256r1)

ECC_ NIST _P384 (Abschnitt 384r1)

ECC_ NIST _P521 (Abschnitt 521r1)

ECC_ SECG _P256K1 (secp256k1)

Der ECC asymmetrische private Schlüssel, den Sie importieren, muss Teil eines key pair sein, das 5915 entsprichtRFC.

Kurve: NIST P-256, NIST P-384, P-521 oder SecP256k1 NIST

Parameter: Nur benannte Kurven (Schlüssel mit expliziten Parametern werden zurückgewiesen) ECC

Öffentliche Punktkoordinaten: Können komprimiert, unkomprimiert oder projektiv sein

Asymmetrisches Schlüsselmaterial muss BER -codiert oder im Public-Key Cryptography Standards () PKCS #8 -Format, das 5208 entspricht, DER codiert sein. RFC
SM2asymmetrischer privater Schlüssel (nur Regionen Chinas)

Der SM2 asymmetrische private Schlüssel, den Sie importieren, muss Teil eines key pair sein, das GM/T 0003 entspricht.

Kurve: SM2

Parameter: Nur benannte Kurve (SM2Schlüssel mit expliziten Parametern werden abgelehnt)

Öffentliche Punktkoordinaten: Können komprimiert, unkomprimiert oder projektiv sein

Asymmetrisches Schlüsselmaterial muss BER -codiert oder im Public-Key Cryptography Standards () PKCS #8 -Format, das 5208 entspricht, DER codiert sein. RFC