Schritt 1: Erstellen Sie eine AWS KMS key ohne Schlüsselmaterial - AWS Key Management Service
Einen KMS Schlüssel ohne Schlüsselmaterial erstellen (Konsole)Einen KMS Schlüssel ohne Schlüsselmaterial erstellen (AWS KMS API)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 1: Erstellen Sie eine AWS KMS key ohne Schlüsselmaterial

AWS KMS Erstellt standardmäßig Schlüsselmaterial für Sie, wenn Sie einen KMS Schlüssel erstellen. Wenn Sie stattdessen Ihr eigenes Schlüsselmaterial importieren möchten, erstellen Sie zunächst einen KMS Schlüssel ohne Schlüsselmaterial. Importieren Sie dann das Schlüsselmaterial. Um einen KMS Schlüssel ohne Schlüsselmaterial zu erstellen, verwenden Sie die AWS KMS Konsole oder die CreateKeyOperation.

Um einen Schlüssel ohne Schlüsselmaterial zu erstellen, geben Sie einen Ursprung von EXTERNAL an. Die Ursprungseigenschaft eines KMS Schlüssels ist unveränderlich. Sobald Sie ihn erstellt haben, können Sie einen KMS Schlüssel, der für importiertes Schlüsselmaterial entworfen wurde, nicht in einen KMS Schlüssel mit Schlüsselmaterial aus AWS KMS oder einer anderen Quelle konvertieren.

Der Schlüsselstatus eines KMS Schlüssels mit einem EXTERNAL Ursprung und ohne Schlüsselmaterial istPendingImport. Ein KMS Schlüssel kann auf unbestimmte Zeit in PendingImport diesem Zustand verbleiben. Sie können einen KMS Schlüssel im PendingImport Status jedoch nicht für kryptografische Operationen verwenden. Wenn Sie Schlüsselmaterial importieren, ändert sich der Schlüsselstatus des KMS Schlüssels aufEnabled, und Sie können es für kryptografische Operationen verwenden.

AWS KMS zeichnet ein Ereignis in Ihrem AWS CloudTrail Protokoll auf, wenn Sie den KMS Schlüssel erstellen, den öffentlichen Schlüssel und das Importtoken herunterladen und das Schlüsselmaterial importieren. AWS KMS zeichnet auch ein CloudTrail Ereignis auf, wenn Sie importiertes Schlüsselmaterial löschen oder wenn abgelaufenes Schlüsselmaterial AWS KMS gelöscht wird.

Einen KMS Schlüssel ohne Schlüsselmaterial erstellen (Konsole)

Sie müssen nur einmal einen KMS Schlüssel für das importierte Schlüsselmaterial erstellen. Sie können dasselbe Schlüsselmaterial beliebig oft in den vorhandenen KMS Schlüssel importieren und erneut importieren, aber Sie können kein anderes Schlüsselmaterial in einen KMS Schlüssel importieren. Details hierzu finden Sie unter Schritt 2: Herunterladen des öffentlichen Verpackungsschlüssels und des Import-Tokens.

Um in Ihrer Tabelle mit vom Kunden verwalteten KMS Schlüsseln nach vorhandenen Schlüsseln mit importiertem Schlüsselmaterial zu suchen, verwenden Sie das Zahnradsymbol in der oberen rechten Ecke, um die Origin-Spalte in der KMS Schlüsselliste anzuzeigen. Importierte Schlüssel haben den Herkunft-Wert Extern (Schlüsselmaterial importieren) erkennbar.

Um einen KMS Schlüssel mit importiertem Schlüsselmaterial zu erstellen, folgen Sie zunächst den Anweisungen zum Erstellen eines KMS Schlüssels Ihres bevorzugten Schlüsseltyps, mit der folgenden Ausnahme.

Nachdem Sie die Schlüsselnutzung ausgewählt haben, gehen Sie wie folgt vor:

  1. Erweitern Sie Advanced options (Erweiterte Optionen).

  2. Stellen Sie die Key material origin (Herkunft des Schlüsselmaterials) auf External (Import key material) (Extern (Schlüsselmaterial importieren)) ein.

  3. Aktivieren Sie dann das Kontrollkästchen neben Mir ist bekannt, dass die Verwendung eines importieren Schlüssel sich auf die Sicherheit und Lebensdauer auswirken kann um zu bestätigen, dass Sie die Auswirkungen der Verwendung von importiertem Schlüsselmaterial kennen. Weitere Informationen zu diesen Implikationen finden Sie unter Schützen von importiertem Schlüsselmaterial.

  4. Optional: Um einen Schlüssel für mehrere Regionen mit importiertem KMS Schlüsselmaterial zu erstellen, wählen Sie unter Regionalität die Option Schlüssel für mehrere Regionen aus.

  5. Kehren Sie zu den grundlegenden Anweisungen zurück. Die verbleibenden Schritte des grundlegenden Verfahrens sind für alle KMS Schlüssel dieses Typs identisch.

Wenn Sie „Fertig stellen“ wählen, haben Sie einen KMS Schlüssel ohne Schlüsselmaterial und mit dem Status (Schlüsselstatus) „Ausstehender Import“ erstellt.

Anstatt jedoch zur Tabelle mit vom Kunden verwalteten Schlüsseln zurückzukehren, zeigt die Konsole eine Seite an, auf der Sie den öffentlichen Schlüssel herunterladen und das Token importieren können, das Sie für den Import Ihres Schlüsselmaterials benötigen. Sie können jetzt mit dem Download-Schritt fortfahren oder auf Abbrechen klicken, um den Vorgang an dieser Stelle zu beenden. Sie können jederzeit zu diesem Download-Schritt zurückkehren.

Danach: Schritt 2: Herunterladen des öffentlichen Verpackungsschlüssels und des Import-Tokens.

Einen KMS Schlüssel ohne Schlüsselmaterial erstellen (AWS KMS API)

Um mit dem einen symmetrischen KMS Verschlüsselungsschlüssel ohne Schlüsselmaterial AWS KMS APIzu erstellen, senden Sie eine CreateKeyAnfrage, bei der der Origin Parameter auf EXTERNAL gesetzt ist. Im folgenden Beispiel wird gezeigt, wie Sie dies mit dem AWS Command Line Interface (AWS CLI) durchführen.

$ aws kms create-key --origin EXTERNAL

Wenn der Befehl erfolgreich ausgeführt wurde, wird eine Ausgabe ähnlich der Folgenden angezeigt. Der AWS KMS Schlüssel Origin ist EXTERNAL und KeyState istPendingImport.

Tipp

Wenn der Befehl nicht erfolgreich ist, wird möglicherweise eine KMSInvalidStateException oder eine NotFoundException angezeigt. Sie können die Anfrage wiederholen.

{
    "KeyMetadata": {
        "Origin": "EXTERNAL",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "Enabled": false,
        "MultiRegion": false,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "PendingImport",
        "CreationDate": 1568289600.0,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

Kopieren Sie den Wert KeyId für die spätere Verwendung aus der Befehlsausgabe und fahren Sie dann mit Schritt 2: Herunterladen des öffentlichen Verpackungsschlüssels und des Import-Tokens fort.

Anmerkung

Dieser Befehl erstellt einen symmetrischen KMS Verschlüsselungsschlüssel mit einem KeySpec KeyUsage von SYMMETRIC_DEFAULT ENCRYPT_DECRYPT und einem. Sie können die optionalen Parameter verwenden --key-spec und --key-usage einen asymmetrischen Schlüssel oder HMAC KMS einen Schlüssel erstellen. Weitere Informationen finden Sie in der CreateKeyOperation.