Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erstellen Sie einen KMS-Schlüssel mit importiertem Schlüsselmaterial
<a name="importing-keys-conceptual"></a>

Mit importiertem Schlüsselmaterial können Sie Ihre AWS Ressourcen mit von Ihnen generierten kryptografischen Schlüsseln schützen. Die folgende Übersicht erläutert den Prozess zum Importieren Ihres Schlüsselmaterials in AWS KMS. Weitere Informationen zu den einzelnen Schritten des Prozesses finden Sie in den entsprechenden Themen.

1. [Erstellen eines KMS-Schlüssels ohne Schlüsselmaterial](importing-keys-create-cmk.md) – Der Ursprung muss `EXTERNAL` sein. Ein Schlüsselursprung von `EXTERNAL` weist darauf hin, dass der Schlüssel für importiertes Schlüsselmaterial konzipiert ist und AWS KMS verhindert, dass Schlüsselmaterial für den KMS-Schlüssel generiert wird. In einem späteren Schritt importieren Sie Ihr eigenes Schlüsselmaterial in diesen KMS-Schlüssel.

   Das Schlüsselmaterial, das Sie importieren, muss mit der Schlüsselspezifikation des zugehörigen AWS KMS Schlüssels kompatibel sein. Weitere Informationen zur Kompatibilität finden Sie unter[Anforderungen an importiertes Schlüsselmaterial](#importing-keys-material-requirements).

1. [Herunterladen des öffentlichen Verpackungsschlüssels und Import-Tokens](importing-keys-get-public-key-and-token.md) – Nachdem Sie Schritt 1 abgeschlossen haben, laden Sie einen öffentlichen Verpackungsschlüssel und einen Import-Token herunter. Diese Artikel schützen Ihre wichtigsten Materialien, während sie importiert werden AWS KMS.

   In diesem Schritt wählen Sie den Typ („Schlüsselspezifikation“) des RSA-Verpackungsschlüssels und den Verpackungsalgorithmus, den Sie zur Verschlüsselung Ihrer Daten während der Übertragung an AWS KMS verwenden werden. Sie können jedes Mal, wenn Sie dasselbe Schlüsselmaterial importieren oder erneut importieren, eine andere Verpackungsschlüsselspezifikation und einen anderen Verpackungsschlüsselalgorithmus wählen. 

1. [Verschlüsseln des Schlüsselmaterials](importing-keys-encrypt-key-material.md) – Verwenden Sie den öffentlichen Verpackungsschlüssel, den Sie in Schritt 2 heruntergeladen haben, um das Schlüsselmaterial zu verschlüsseln, das Sie in Ihrem eigenen System erstellt haben.

1. [Importieren von Schlüsselmaterial](importing-keys-import-key-material.md) – Laden Sie das verschlüsselte Schlüsselmaterial, das Sie in Schritt 3 erstellt haben, und das in Schritt 2 heruntergeladene Import-Token hoch.

   In diesem Stadium können Sie [optional eine Ablaufzeit festlegen](importing-keys-import-key-material.md#importing-keys-expiration). Wenn importiertes Schlüsselmaterial abläuft, wird es AWS KMS gelöscht und der KMS-Schlüssel wird unbrauchbar. Wenn Sie den KMS-Schlüssel erneut nutzen möchten, müssen Sie das **gleiche** Schlüsselmaterial erneut importieren.

   Wenn der Importvorgang erfolgreich abgeschlossen wurde, ändert sich der Schlüsselstatus des KMS-Schlüssels von `PendingImport` zu `Enabled`. Sie können Ihren KMS-Schlüssel jetzt in kryptografischen Operationen verwenden.

AWS KMS zeichnet einen Eintrag in Ihrem AWS CloudTrail Protokoll auf, wenn Sie [den KMS-Schlüssel erstellen](ct-createkey.md), [den öffentlichen Schlüssel und das Importtoken herunterladen](ct-getparametersforimport.md) und [das Schlüsselmaterial importieren](ct-importkeymaterial.md). AWS KMS zeichnet auch einen Eintrag auf, wenn Sie importiertes Schlüsselmaterial löschen oder wenn [abgelaufenes Schlüsselmaterial AWS KMS gelöscht wird](ct-deleteexpiredkeymaterial.md). 

## Berechtigungen zum Importieren von Schlüsselmaterial
<a name="importing-keys-permissions"></a>

Um KMS-Schlüssel mit importiertem Schlüsselmaterial zu erstellen und zu verwalten, benötigt der Benutzer die Berechtigung für die Operationen in diesem Prozess. Sie können die `kms:GetParametersForImport`-, `kms:ImportKeyMaterial`-, und`kms:DeleteImportedKeyMaterial`-Berechtigungen in der Schlüsselrichtlinie beim Erstellen des KMS-Schlüssels bereitstellen. In der AWS KMS Konsole werden diese Berechtigungen automatisch für Schlüsseladministratoren hinzugefügt, wenn Sie einen Schlüssel mit einem **externen** Schlüsselmaterial-Ursprung erstellen.

Um KMS-Schlüssel mit importiertem Schlüsselmaterial zu erstellen, benötigt der Prinzipal die folgenden Berechtigungen.
+ [kms: CreateKey](customer-managed-policies.md#iam-policy-example-create-key) (IAM-Richtlinie)
  + Um diese Berechtigung auf KMS-Schlüssel mit importiertem Schlüsselmaterial zu beschränken, verwenden Sie die KeyOrigin Richtlinienbedingung [kms:](conditions-kms.md#conditions-kms-key-origin) mit dem Wert. `EXTERNAL`

    ```
    {
      "Sid": "CreateKMSKeysWithoutKeyMaterial",
      "Effect": "Allow",
      "Resource": "*",
      "Action": "kms:CreateKey",
      "Condition": {
        "StringEquals": {
          "kms:KeyOrigin": "EXTERNAL"
        }
      }
    }
    ```
+ [kms: GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) (Schlüsselrichtlinie oder IAM-Richtlinie)
  + Um diese Berechtigung auf Anfragen zu beschränken, die einen bestimmten Wrapping-Algorithmus und eine bestimmte Wrapping-Schlüsselspezifikation verwenden, verwenden Sie die WrappingKeySpec Richtlinienbedingungen [kms: WrappingAlgorithm](conditions-kms.md#conditions-kms-wrapping-algorithm) und [kms:](conditions-kms.md#conditions-kms-wrapping-key-spec). 
+ [kms: ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html) (Schlüsselrichtlinie oder IAM-Richtlinie)
  + [Verwenden Sie die ValidTo Richtlinienbedingungen kms: und [kms:](conditions-kms.md#conditions-kms-expiration-model), um Schlüsselmaterial, das abläuft, zuzulassen oder zu verbieten ExpirationModel und das Ablaufdatum zu kontrollieren.](conditions-kms.md#conditions-kms-valid-to)

Um importiertes Schlüsselmaterial erneut zu importieren, benötigt der Principal die [Berechtigungen kms: GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) und [kms: ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html).

Um importiertes Schlüsselmaterial zu löschen, benötigt der Principal die [kms: DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html) -Berechtigung.

Um beispielsweise der Beispiel-`KMSAdminRole` die Berechtigung zu erteilen, alle Aspekte eines KMS-Schlüssels mit importiertem Schlüsselmaterial zu verwalten, fügen Sie eine Schlüsselrichtlinienanweisung wie die folgende in die Schlüsselrichtlinie des KMS-Schlüssels ein.

```
{
  "Sid": "Manage KMS keys with imported key material",
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole"
  },
  "Action": [
    "kms:GetParametersForImport",
    "kms:ImportKeyMaterial",
    "kms:DeleteImportedKeyMaterial"
  ]  
}
```

## Anforderungen an importiertes Schlüsselmaterial
<a name="importing-keys-material-requirements"></a>

Das Schlüsselmaterial, das Sie importieren, muss mit der [Schlüsselspezifikation](create-keys.md#key-spec) des zugehörigen KMS-Schlüssels kompatibel sein. Importieren Sie bei asymmetrischen Schlüsselpaaren nur den privaten Schlüssel des Paares. AWS KMS leitet den öffentlichen Schlüssel vom privaten Schlüssel ab.

AWS KMS unterstützt die folgenden Schlüsselspezifikationen für KMS-Schlüssel mit importiertem Schlüsselmaterial.
+ **Schlüssel zur symmetrischen Verschlüsselung**
  + **Wichtige Spezifikationen:**
    + SYMMETRIC\$1DEFAULT.
  + **Voraussetzungen:**
    + 256 Bit (32 Byte) an Binärdaten.
    + In chinesischen Regionen muss es sich um 128 Bit (16 Byte) an Binärdaten handeln.
+ **HMAC-Schlüssel**
  + **Die wichtigsten technischen Daten:**
    + HMAC\$1224
    + HMAC\$1256
    + HMAC\$1384
    + HMAC\$1512
  + **Voraussetzungen:**
    + Das HMAC-Schlüsselmaterial muss [RFC 2104](https://datatracker.ietf.org/doc/html/rfc2104) entsprechen.
    + Die Schlüssellänge muss mindestens der in der Schlüsselspezifikation angegebenen Länge entsprechen. Die maximale Schlüssellänge beträgt 1024 Bit.
    + Wenn Ihr Schlüsselmaterial 1024 Bit überschreitet, können Sie das Schlüsselmaterial hashen und die Hash-Ausgabe importieren. Der Hash-Algorithmus muss mit der Schlüsselspezifikation des HMAC-KMS-Schlüssels übereinstimmen, den Sie erstellen.
  + **Beispiel:**
    + Um 2048 Bit Schlüsselmaterial in einen HMAC\$1256-Schlüssel zu importieren, berechnen Sie zuerst den SHA-256-Hash des 2048-Bit-Schlüsselmaterials und importieren Sie dann die resultierende 256-Bit-Hashausgabe in den KMS-Schlüssel.
  + **Gültige Schlüssellängen:**
    + HMAC\$1224:224—1024 Bit
    + HMAC\$1256:256—1024 Bit
    + HMAC\$1384:384—1024 Bit
    + HMAC\$1512:512—1024 Bit
+ **Asymmetrischer privater RSA-Schlüssel**
  + **Die wichtigsten technischen Daten:**
    + RSA\$12048
    + RSA\$13072
    + RSA\$14096
  + **Voraussetzungen:**
    + Der asymmetrische private RSA-Schlüssel, den Sie importieren, muss Teil eines Schlüsselpaares sein, das [RFC 3447](https://datatracker.ietf.org/doc/html/rfc3447/) entspricht.
    + **Modul**: 2 048 Bit, 3 072 Bit oder 4 096 Bit
    + **Anzahl der Primzahlen**: 2 (RSA-Schlüssel mit mehreren Primzahlen werden nicht unterstützt)
    + [Asymmetrisches Schlüsselmaterial muss im Format Public-Key Cryptography Standards (PKCS) \$18, das RFC 5208 entspricht, BER- oder DER-codiert sein.](https://datatracker.ietf.org/doc/html/rfc5208)
+ **Asymmetrischer privater Schlüssel mit elliptischer Kurve**
  + **Die wichtigsten Spezifikationen:**
    + ECC\$1NIST\$1P256 (secp256r1)
    + ECC\$1NIST\$1P384 (secp384r1)
    + ECC\$1NIST\$1P521 (secp521r1)
    + ECC\$1SECG\$1P256K1 (secp256k1)
    + EDWARDS25519 ECC\$1NIST\$1 (ed25519)
  + **Voraussetzungen:**
    + Der asymmetrische private ECC-Schlüssel, den Sie importieren, muss Teil eines Schlüsselpaares sein, das [RFC 5915](https://datatracker.ietf.org/doc/html/rfc5915/) entspricht.
    + **Kurve:** NIST P-256, NIST P-384, NIST P-521, SECP256k1, NIST Ed25519.
    + Parameter: Nur benannte Kurven (ECC-Schlüssel mit **expliziten Parametern werden abgelehnt**).
    + **Öffentliche Punktkoordinaten:** Können komprimiert, unkomprimiert oder projektiv sein.
    + [Asymmetrisches Schlüsselmaterial muss im Format Public-Key Cryptography Standards (PKCS) \$18, das RFC 5208 entspricht, BER- oder DER-codiert sein.](https://datatracker.ietf.org/doc/html/rfc5208)
+ **ML-DSA-Schlüssel**
  + **Die wichtigsten technischen Daten:**
    + ML\$1DSA\$144
    + ML\$1DSA\$165
    + ML\$1DSA\$187
**Wichtig**  
Das Importieren von ML-DSA-Schlüsseln wird nicht unterstützt.
+ **SM2 asymmetrischer privater Schlüssel** (nur Regionen China)
  + **Voraussetzungen:**
    + Der SM2 asymmetrische private Schlüssel, den Sie importieren, muss Teil eines key pair sein, das 0003 entspricht GM/T .
    + **Kurve:.** SM2
    + **Parameter:** Nur benannte Kurve (SM2 Schlüssel mit expliziten Parametern werden abgelehnt).
    + **Öffentliche Punktkoordinaten:** Können komprimiert, unkomprimiert oder projektiv sein.
    + [Asymmetrisches Schlüsselmaterial muss im Format Public-Key Cryptography Standards (PKCS) \$18, das RFC 5208 entspricht, BER- oder DER-codiert sein.](https://datatracker.ietf.org/doc/html/rfc5208)