Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS KMS Erstellt standardmäßig Schlüsselmaterial für Sie, wenn Sie einen KMS-Schlüssel erstellen. Wenn Sie Ihr eigenes Schlüsselmaterial importieren möchten, können Sie beginnen, indem Sie zunächst einen KMS-Schlüssel ohne Schlüsselmaterial erstellen. Importieren Sie dann das Schlüsselmaterial. Um einen KMS-Schlüssel ohne Schlüsselmaterial zu erstellen, verwenden Sie die AWS KMS Konsole oder den CreateKeyVorgang.
Um einen Schlüssel ohne Schlüsselmaterial zu erstellen, geben Sie einen Ursprung von EXTERNAL an. Die Herkunftseigenschaft eines KMS-Schlüssels ist unveränderlich. Sobald Sie ihn erstellt haben, können Sie einen KMS-Schlüssel, der für importiertes Schlüsselmaterial entworfen wurde, nicht in einen KMS-Schlüssel mit Schlüsselmaterial aus AWS KMS oder einer anderen Quelle konvertieren.
Der Schlüsselstatus eines KMS-Schlüssels mit einem EXTERNAL-Ursprung und ohne Schlüsselmaterial ist PendingImport. Ein KMS-Schlüssel kann auf unbestimmte Zeit im Status PendingImportbleiben. Sie können jedoch einen KMS-Schlüssel im PendingImport-Status nicht für kryptografische Operationen verwenden. Wenn Sie Schlüsselmaterial importieren, ändert sich der Schlüsselstatus des KMS-Schlüssels zu Enabled, und Sie können ihn für kryptografische Operationen verwenden.
AWS KMS zeichnet ein Ereignis in Ihrem AWS CloudTrail Protokoll auf, wenn Sie den KMS-Schlüssel erstellen, den öffentlichen Schlüssel und das Importtoken herunterladen und das Schlüsselmaterial importieren. AWS KMS zeichnet auch ein CloudTrail Ereignis auf, wenn Sie importiertes Schlüsselmaterial löschen oder wenn abgelaufenes Schlüsselmaterial AWS KMS gelöscht wird.
Themen
Erstellen eines KMS-Schlüssels ohne Schlüsselmaterial (Konsole)
Sie müssen nur einmal einen KMS-Schlüssel für das importierte Schlüsselmaterial anlegen. Sie können dasselbe Schlüsselmaterial so oft wie nötig in den bestehenden KMS-Schlüssel importieren und wieder importieren, aber Sie können kein anderes Schlüsselmaterial in einen KMS-Schlüssel importieren. Details hierzu finden Sie unter Schritt 2: Herunterladen des öffentlichen Verpackungsschlüssels und des Import-Tokens.
Um vorhandene KMS-Schlüssel mit importiertem Schlüsselmaterial in Ihrer Tabelle mit den vom Kunden verwalteten Schlüsseln zu finden, verwenden Sie das Zahnradsymbol in der oberen rechten Ecke, um die Spalte Origin (Herkunft) in der Liste der KMS-Schlüssel anzuzeigen. Importierte Schlüssel haben den Herkunft-Wert Extern (Schlüsselmaterial importieren) erkennbar.
Um einen KMS-Schlüssel mit importiertem Schlüsselmaterial zu erstellen, folgen Sie zunächst den Anweisungen zum Erstellen eines KMS-Schlüssels Ihres bevorzugten Schlüsseltyps, mit der folgenden Ausnahme.
Nachdem Sie die Schlüsselnutzung ausgewählt haben, gehen Sie wie folgt vor:
-
Erweitern Sie Advanced options (Erweiterte Optionen).
-
Stellen Sie die Key material origin (Herkunft des Schlüsselmaterials) auf External (Import key material) (Extern (Schlüsselmaterial importieren)) ein.
-
Aktivieren Sie dann das Kontrollkästchen neben Mir ist bekannt, dass die Verwendung eines importieren Schlüssel sich auf die Sicherheit und Lebensdauer auswirken kann um zu bestätigen, dass Sie die Auswirkungen der Verwendung von importiertem Schlüsselmaterial kennen. Weitere Informationen zu diesen Implikationen finden Sie unter Schützen von importiertem Schlüsselmaterial.
-
Optional: Um einen KMS-Schlüssel für mehrere Regionen mit importiertem Schlüsselmaterial zu erstellen, wählen Sie unter Regionalität die Option Multi-Region-Schlüssel aus.
-
Kehren Sie zu den grundlegenden Anweisungen zurück. Die verbleibenden Schritte des grundlegenden Verfahrens sind für alle KMS-Schlüssel dieses Typs identisch.
Wenn Sie Fertig stellen wählen, haben Sie einen KMS-Schlüssel ohne Schlüsselmaterial und mit dem Status (Schlüsselstatus) Ausstehender Import erstellt.
Anstatt jedoch zur Tabelle mit vom Kunden verwalteten Schlüsseln zurückzukehren, zeigt die Konsole eine Seite an, auf der Sie den öffentlichen Schlüssel herunterladen und das Token importieren können, das Sie für den Import Ihres Schlüsselmaterials benötigen. Sie können jetzt mit dem Download-Schritt fortfahren oder auf Abbrechen klicken, um den Vorgang an dieser Stelle zu beenden. Sie können jederzeit zu diesem Download-Schritt zurückkehren.
Danach: Schritt 2: Herunterladen des öffentlichen Verpackungsschlüssels und des Import-Tokens.
Einen KMS-Schlüssel ohne Schlüsselmaterial (API) erstellen AWS KMS
Um mithilfe der AWS KMS API einen KMS-Schlüssel mit symmetrischer Verschlüsselung ohne Schlüsselmaterial zu erstellen, senden Sie eine CreateKeyAnfrage, bei der der Origin Parameter auf EXTERNAL gesetzt ist. Im folgenden Beispiel wird gezeigt, wie Sie dies mit dem AWS Command Line Interface (AWS CLI)
$aws kms create-key --origin EXTERNAL
Wenn der Befehl erfolgreich ausgeführt wurde, wird eine Ausgabe ähnlich der Folgenden angezeigt. Der AWS KMS Schlüssel Origin ist EXTERNAL und KeyState istPendingImport.
Tipp
Wenn der Befehl nicht erfolgreich ist, wird möglicherweise eine KMSInvalidStateException oder eine NotFoundException angezeigt. Sie können die Anfrage wiederholen.
{
"KeyMetadata": {
"Origin": "EXTERNAL",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"Enabled": false,
"MultiRegion": false,
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "PendingImport",
"CreationDate": 1568289600.0,
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"AWSAccountId": "111122223333",
"KeyManager": "CUSTOMER",
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
]
}
}Kopieren Sie den Wert KeyId für die spätere Verwendung aus der Befehlsausgabe und fahren Sie dann mit Schritt 2: Herunterladen des öffentlichen Verpackungsschlüssels und des Import-Tokens fort.
Anmerkung
Dieser Befehl erstellt einen KMS-Schlüssel für die symmetrische Verschlüsselung mit KeySpec von SYMMETRIC_DEFAULT und KeyUsage von ENCRYPT_DECRYPT. Sie können die optionalen Parameter --key-spec und --key-usage verwenden, um einen asymmetrischen oder HMAC-KMS-Schlüssel zu erstellen. Weitere Informationen finden Sie unter dem Vorgang CreateKey.
