Besondere Überlegungen für importiertes Schlüsselmaterial - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Besondere Überlegungen für importiertes Schlüsselmaterial

Bevor Sie sich für den Import von Schlüsselmaterial in entscheiden AWS KMS, sollten Sie sich mit den folgenden Eigenschaften von importiertem Schlüsselmaterial vertraut machen.

Sie generieren das Schlüsselmaterial

Sie sind verantwortlich für die Generierung des Schlüsselmaterials mit einer zufälligen Quelle, die Ihre Anforderungen erfüllt.

Sie können das Schlüsselmaterial löschen.

Sie können importiertes Schlüsselmaterial aus einem KMS Schlüssel löschen, sodass der KMS Schlüssel sofort unbrauchbar wird. Wenn Sie Schlüsselmaterial in einen KMS Schlüssel importieren, können Sie außerdem bestimmen, ob der Schlüssel abläuft, und dessen Ablaufzeit festlegen. Wenn die Ablaufzeit erreicht ist, AWS KMS wird das Schlüsselmaterial gelöscht. Ohne Schlüsselmaterial kann der KMS Schlüssel für keine kryptografische Operation verwendet werden. Um den Schlüssel wiederherzustellen, müssen Sie das gleiche Schlüsselmaterial erneut in den Schlüssel importieren.

Das Schlüsselmaterial kann nicht geändert werden

Wenn Sie Schlüsselmaterial in einen KMS Schlüssel importieren, ist der KMS Schlüssel dauerhaft mit diesem Schlüsselmaterial verknüpft. Sie können dasselbe Schlüsselmaterial erneut importieren, aber Sie können kein anderes Schlüsselmaterial in diesen KMS Schlüssel importieren. Außerdem können Sie die automatische Schlüsselrotation für einen Schlüssel mit importiertem KMS Schlüsselmaterial nicht aktivieren. Sie können einen KMS Schlüssel mit importiertem Schlüsselmaterial jedoch manuell drehen.

Sie können die Herkunft des Schlüsselmaterials nicht ändern

KMSSchlüssel, die für importiertes Schlüsselmaterial entworfen wurden, haben einen Ursprungswert vonEXTERNAL, der nicht geändert werden kann. Sie können einen KMS Schlüssel für importiertes Schlüsselmaterial nicht konvertieren, um Schlüsselmaterial aus einer anderen Quelle zu verwenden, einschließlich AWS KMS. Ebenso können Sie einen KMS Schlüssel mit Schlüsselmaterial nicht in einen AWS KMS Schlüssel konvertieren, der für importiertes Schlüsselmaterial entworfen wurde.

Sie können kein Schlüsselmaterial exportieren

Sie können kein Schlüsselmaterial exportieren, das Sie importiert haben. AWS KMS Sie können das importierte Schlüsselmaterial in keiner Form an Sie zurücksenden. Sie müssen eine Kopie Ihres importierten Schlüsselmaterials außerhalb von AWS, vorzugsweise in einem Schlüsselmanager, wie z. B. einem Hardware-Sicherheitsmodul (HSM), aufbewahren, damit Sie das Schlüsselmaterial erneut importieren können, falls Sie es löschen oder wenn es abläuft.

Sie können multiregionale Schlüssel mit importiertem Schlüsselmaterial erstellen

Multiregionen mit importiertem Schlüsselmaterial haben die Eigenschaften von KMS Schlüsseln mit importiertem Schlüsselmaterial und können zwischen ihnen zusammenarbeiten. AWS-Regionen Um einen Schlüssel mit mehreren Regionen mit importiertem Schlüsselmaterial zu erstellen, müssen Sie dasselbe Schlüsselmaterial in den Primärschlüssel und in jeden KMS Replikatschlüssel importieren.

Asymmetrische Schlüssel und HMAC Schlüssel sind portabel und interoperabel

Sie können Ihr asymmetrisches Tastenmaterial und HMAC Ihr Tastenmaterial auch außerhalb von verwenden, um mit AWS KMS Schlüsseln AWS zu interagieren, die dasselbe importierte Schlüsselmaterial haben.

Im Gegensatz zum AWS KMS symmetrischen Chiffretext, der untrennbar mit dem im Algorithmus verwendeten KMS Schlüssel verbunden ist, werden standardmäßige HMAC und asymmetrische Formate für Verschlüsselung, Signierung und Generierung AWS KMS verwendet. MAC Dadurch sind die Schlüssel übertragbar und unterstützen herkömmliche Escrow-Key-Szenarien.

Wenn Ihr KMS Schlüssel Schlüsselmaterial importiert hat, können Sie das importierte Schlüsselmaterial außerhalb von verwenden, um die folgenden Operationen auszuführen. AWS

  • HMACSchlüssel — Sie können ein HMAC Tag, das durch den HMAC KMS Schlüssel generiert wurde, mit importiertem Schlüsselmaterial verifizieren. Sie können den HMAC KMS Schlüssel mit dem importierten Schlüsselmaterial auch verwenden, um ein HMAC Tag zu verifizieren, das mit dem Schlüsselmaterial außerhalb von generiert wurde AWS.

  • Asymmetrische Verschlüsselungsschlüssel — Sie können Ihren privaten asymmetrischen Verschlüsselungsschlüssel außerhalb von verwenden, AWS um einen durch den Schlüssel verschlüsselten Chiffretext mit dem entsprechenden öffentlichen KMS Schlüssel zu entschlüsseln. Sie können Ihren asymmetrischen KMS Schlüssel auch verwenden, um einen asymmetrischen Chiffretext zu entschlüsseln, der außerhalb von generiert wurde. AWS

  • Asymmetrische Signaturschlüssel — Sie können Ihren asymmetrischen Signaturschlüssel mit importiertem KMS Schlüsselmaterial verwenden, um digitale Signaturen zu überprüfen, die mit Ihrem privaten Signaturschlüssel außerhalb von generiert wurden. AWS Sie können Ihren asymmetrischen öffentlichen Signaturschlüssel auch außerhalb von verwenden, um Signaturen AWS zu überprüfen, die mit Ihrem asymmetrischen Schlüssel generiert wurden. KMS

  • Schlüssel für asymmetrische Schlüsselvereinbarungen — Sie können Ihren asymmetrischen Schlüsselvereinbarungsschlüssel mit importiertem KMS Schlüsselmaterial verwenden, um gemeinsam genutzte Geheimnisse mit einem Peer außerhalb von abzuleiten. AWS

Wenn Sie dasselbe Schlüsselmaterial in verschiedene KMS Schlüssel desselben importieren AWS-Region, sind diese Schlüssel ebenfalls interoperabel. Um interoperable KMS Schlüssel in verschiedenen Bereichen zu erstellen AWS-Regionen, erstellen Sie einen Schlüssel mit mehreren Regionen mit importiertem Schlüsselmaterial.

Symmetrische Verschlüsselungsschlüssel sind nicht portabel oder interoperabel

Die daraus resultierenden symmetrischen Chiffretexte sind weder portabel noch AWS KMS interoperabel. AWS KMS veröffentlicht nicht das symmetrische Chiffretext-Format, das für die Portabilität erforderlich ist, und das Format kann sich ohne vorherige Ankündigung ändern.

  • AWS KMS kann symmetrische Chiffretexte, die Sie außerhalb von verschlüsseln, nicht entschlüsseln AWS, selbst wenn Sie importiertes Schlüsselmaterial verwenden.

  • AWS KMS unterstützt nicht die Entschlüsselung von AWS KMS symmetrischem Chiffretext außerhalb von AWS KMS, selbst wenn der Chiffretext unter einem Schlüssel mit importiertem Schlüsselmaterial verschlüsselt wurde. KMS

  • KMSSchlüssel mit demselben importierten Schlüsselmaterial sind nicht interoperabel. Der symmetrische Chiffretext, der Chiffretext AWS KMS generiert, der für jeden Schlüssel spezifisch ist. KMS Dieses Chiffretext-Format garantiert, dass nur der KMS Schlüssel, mit dem Daten verschlüsselt wurden, sie entschlüsseln kann.

Außerdem können Sie keine AWS Tools wie die clientseitige Verschlüsselung AWS Encryption SDKoder die clientseitige Amazon S3 S3-Verschlüsselung verwenden, um symmetrische Chiffretexte zu entschlüsseln AWS KMS .

Daher können Sie Schlüssel mit importiertem Schlüsselmaterial nicht zur Unterstützung von Schlüsseltreuhandvereinbarungen verwenden, bei denen ein autorisierter Dritter mit eingeschränktem Zugriff auf Schlüsselmaterial bestimmte Chiffretexte außerhalb von entschlüsseln kann. AWS KMS Um die Treuhandfunktion für Schlüssel zu unterstützen, verwenden Sie die AWS Encryption SDK, um Ihre Nachricht mit einem Schlüssel zu verschlüsseln, der unabhängig von AWS KMS ist.

Sie sind verantwortlich für Verfügbarkeit und Langlebigkeit

AWS KMS wurde entwickelt, um importiertes Schlüsselmaterial hochverfügbar zu halten. Die Haltbarkeit von importiertem Schlüsselmaterial wird jedoch AWS KMS nicht auf dem gleichen Niveau gehalten wie das AWS KMS generierte Schlüsselmaterial. Details hierzu finden Sie unter Schützen von importiertem Schlüsselmaterial.