Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schritt 2: Herunterladen des öffentlichen Verpackungsschlüssels und des Import-Tokens
Nachdem Sie einen AWS KMS key ohne Schlüsselmaterial erstellt haben, laden Sie mithilfe der AWS KMS Konsole oder des einen öffentlichen Schlüssel zur Verpackung und ein Import-Token für diesen KMS Schlüssel herunter GetParametersForImportAPI. Der öffentliche Verpackungsschlüssel und das Import-Token bilden einen untrennbaren Satz, der zusammen verwendet werden muss.
Sie werden den öffentlichen Verpackungsschlüssel verwenden, um Ihr Schlüsselmaterial für den Transport zu verschlüsseln. Bevor Sie ein RSA Wrapping-Schlüsselpaar herunterladen, wählen Sie die Länge (Schlüsselspezifikation) des RSA Wrapping-Schlüsselpaars und den Wrapping-Algorithmus aus, mit dem Sie Ihr importiertes Schlüsselmaterial für den Transport in Schritt 3 verschlüsseln werden. AWS KMS unterstützt auch die SM2 Wrapping-Schlüsselspezifikation (nur für chinesische Regionen).
Jeder öffentliche Verpackungsschlüssel und Import-Token-Satz ist 24 Stunden gültig. Wenn Sie sie nicht innerhalb von 24 Stunden nach dem Download verwenden, um Schlüsselmaterial zu importieren, müssen Sie einen neuen Satz herunterladen. Sie können jederzeit neue öffentliche Verpackungsschlüssel herunterladen und Tokensätze importieren. Auf diese Weise können Sie die Länge Ihres RSA Wrapping-Schlüssels („Schlüsselspezifikation“) ändern oder einen verloren gegangenen Satz ersetzen.
Sie können auch einen öffentlichen Wrapping-Schlüssel herunterladen und ein Token-Set importieren, um dasselbe Schlüsselmaterial erneut in einen KMS Schlüssel zu importieren. Sie können dies tun, um die Ablaufzeit für das Schlüsselmaterial festzulegen oder zu ändern, oder um abgelaufenes oder gelöschtes Schlüsselmaterial wiederherzustellen. Sie müssen Ihr Schlüsselmaterial bei jedem Import in herunterladen und erneut verschlüsseln. AWS KMS
- Verwendung des öffentlichen Verpackungsschlüssels
-
Der Download beinhaltet einen öffentlichen Schlüssel, der nur für Sie bestimmt ist. AWS-Konto Er wird auch als öffentlicher Schlüssel bezeichnet.
Bevor Sie Schlüsselmaterial importieren, verschlüsseln Sie das Schlüsselmaterial mit dem öffentlichen Wrapping-Schlüssel und laden das verschlüsselte Schlüsselmaterial anschließend in hoch. AWS KMS Beim AWS KMS Empfang Ihres verschlüsselten Schlüsselmaterials entschlüsselt es das Schlüsselmaterial mit dem entsprechenden privaten Schlüssel und verschlüsselt das Schlüsselmaterial anschließend erneut unter einem AES symmetrischen Schlüssel, alles innerhalb eines AWS KMS Hardware-Sicherheitsmoduls (). HSM
- Nutzen des Import-Tokens
-
Der Download enthält ein Import-Token mit Metadaten, das sicherstellt, dass Ihr Schlüsselmaterial korrekt importiert wird. Wenn Sie Ihr verschlüsseltes Schlüsselmaterial hochladen AWS KMS, müssen Sie dasselbe Import-Token hochladen, das Sie in diesem Schritt heruntergeladen haben.
Wählen Sie eine Spezifikation für den öffentlichen Verpackungsschlüssel
Um Ihr Schlüsselmaterial beim Import zu schützen, verschlüsseln Sie es mit einem öffentlichen Wrapping-Schlüssel, von dem Sie herunterladen AWS KMS, und einem unterstützten Wrapping-Algorithmus. Sie wählen eine Schlüsselspezifikation aus, bevor Sie Ihren öffentlichen Verpackungsschlüssel und das Import-Token herunterladen. Alle Wrapping-Schlüsselpaare werden in AWS KMS Hardware-Sicherheitsmodulen (HSMs) generiert. Der private Schlüssel verlässt den niemals HSM im Klartext.
- RSAVerpackung der wichtigsten Spezifikationen
-
Die Schlüsselspezifikation des öffentlichen Schlüssels bestimmt die Länge der Schlüssel im RSA key pair, das Ihr Schlüsselmaterial während des Transports schützt. AWS KMS Im Allgemeinen empfehlen wir die Verwendung des am längsten umschließenden öffentlichen Verpackungsschlüssels, der praktisch ist. Wir bieten verschiedene Spezifikationen für das Verpacken von öffentlichen Schlüsseln an, um eine Vielzahl von HSMs Schlüsselmanagern zu unterstützen.
AWS KMS unterstützt die folgenden Schlüsselspezifikationen für die RSA Wrapping-Schlüssel, die für den Import von Schlüsselmaterial aller Art verwendet werden, sofern nicht anders angegeben.
-
RSA_4096 (bevorzugt)
-
RSA_3072
-
RSA_2048
Anmerkung
Die folgende Kombination wird NOT unterstützt: ECC _ NIST _P521-Schlüsselmaterial, die Spezifikation für den öffentlichen Wrapping-Schlüssel RSA _2048 und ein _ _ _*-Wrapping-Algorithmus. RSAES OAEP SHA
Sie können das Schlüsselmaterial von ECC _ NIST _P521 nicht direkt mit einem öffentlichen Umschließungsschlüssel _2048 umschließen. RSA Verwenden Sie einen größeren Wrapping-Schlüssel oder einen RSA _ _ _ AES KEY _ WRAP _*-Wrapping-Algorithmus. SHA
-
- SM2Spezifikation für Schlüssel zum Umschließen (nur Regionen in China)
-
AWS KMS unterstützt die folgenden Schlüsselspezifikationen für SM2 Wrapping-Schlüssel, die zum Import von asymmetrischem Schlüsselmaterial verwendet werden.
-
SM2
-
Auswählen des Verpackungsalgorithmus
Um Ihr Schlüsselmaterial während des Imports zu schützen, verschlüsseln Sie es mit dem heruntergeladenen öffentlichen Verpackungsschlüssel und einem unterstützten Verpackungsalgorithmus.
AWS KMS unterstützt mehrere RSA Standard-Wrapping-Algorithmen und einen zweistufigen Hybrid-Wrapping-Algorithmus. Im Allgemeinen empfehlen wir, den sichersten Verpackungsalgorithmus zu verwenden, der mit Ihrem importierten Schlüsselmaterial und den Verpackungsschlüsselspezifikationen kompatibel ist. In der Regel wählen Sie einen Algorithmus, der vom Hardware-Sicherheitsmodul (HSM) oder dem Schlüsselverwaltungssystem unterstützt wird, das Ihr Schlüsselmaterial schützt.
In der folgenden Tabelle sind die Wrapping-Algorithmen aufgeführt, die für jeden Typ von Schlüsselmaterial und KMS Schlüssel unterstützt werden. Die Algorithmen werden in Präferenzreihenfolge aufgeführt.
| Schlüsselmaterial | Unterstützter Verpackungsalgorithmus und -Spezifikation |
|---|---|
| Schlüssel zur symmetrischen Verschlüsselung 256-Bit-Schlüssel AES
SM4128-Bit-Schlüssel (nur Regionen Chinas) |
|
| Asymmetrischer privater Schlüssel RSA |
|
| Privater Schlüssel mit asymmetrischer elliptischer Kurve (ECC)
Sie können die RSAES _ OAEP _ SHA _*-Wrapping-Algorithmen nicht zusammen mit der RSA _2048-Wrapping-Schlüsselspezifikation verwenden, um _ _P521-Schlüsselmaterial zu umschließen. ECC NIST |
|
| Asymmetrischer SM2 privater Schlüssel (nur Regionen Chinas) |
|
| HMACSchlüssel |
|
Anmerkung
Die Algorithmen RSA_AES_KEY_WRAP_SHA_256 und RSA_AES_KEY_WRAP_SHA_1 Wrapping werden in Regionen Chinas nicht unterstützt.
-
RSA_AES_KEY_WRAP_SHA_256— Ein zweistufiger Hybrid-Wrapping-Algorithmus, der die Verschlüsselung Ihres Schlüsselmaterials mit einem von Ihnen generierten AES symmetrischen Schlüssel und die anschließende Verschlüsselung des AES symmetrischen Schlüssels mit dem heruntergeladenen RSA öffentlichen Wrapping-Schlüssel und dem RSAES _ _ OAEP _256-Wrapping-Algorithmus kombiniert. SHAFür das
RSA_AES_KEY_WRAP_SHA_*Verpacken von RSA privatem Schlüsselmaterial ist ein Wrapping-Algorithmus erforderlich, außer in Regionen Chinas, wo Sie den Wrapping-Algorithmus verwenden müssen.SM2PKE -
RSA_AES_KEY_WRAP_SHA_1— Ein zweistufiger Hybrid-Wrapping-Algorithmus, der die Verschlüsselung Ihres Schlüsselmaterials mit einem von Ihnen generierten AES symmetrischen Schlüssel und die anschließende Verschlüsselung des AES symmetrischen Schlüssels mit dem heruntergeladenen öffentlichen Schlüssel und dem RSAES _ _ RSA OAEP _1-Wrapping-Algorithmus kombiniert. SHAFür das
RSA_AES_KEY_WRAP_SHA_*Verpacken von RSA privatem Schlüsselmaterial ist ein Wrapping-Algorithmus erforderlich, außer in Regionen Chinas, wo Sie den Wrapping-Algorithmus verwenden müssen.SM2PKE -
RSAES_OAEP_SHA_256— Der RSA Verschlüsselungsalgorithmus mit optimaler asymmetrischer Verschlüsselung (OAEP) und der Hash-Funktion SHA -256. -
RSAES_OAEP_SHA_1— Der RSA Verschlüsselungsalgorithmus mit Optimal Asymmetric Encryption Padding (OAEP) mit der Hash-Funktion -1. SHA -
RSAES_PKCS1_V1_5(Veraltet; unterstützt seit dem 10. Oktober 2023 den RSAES _ PKCS1 _V1_5-Wrapping-Algorithmus AWS KMS nicht) — Der RSA Verschlüsselungsalgorithmus mit dem in #1 Version 1.5 definierten Padding-Format. PKCS -
SM2PKE(Nur Regionen Chinas) — Ein auf elliptischen Kurven basierender Verschlüsselungsalgorithmus, der in GM/T 0003.4-2012 definiert ist. OSCCA
Themen
Herunterladen des öffentlichen Verpackungsschlüssels und Import-Tokens (Konsole)
Sie können die AWS KMS Konsole verwenden, um den öffentlichen Schlüssel für die Verpackung herunterzuladen und das Token zu importieren.
-
Wenn Sie gerade die Schritte zum Erstellen eines KMS Schlüssels ohne Schlüsselmaterial abgeschlossen haben und Sie sich auf der Seite Wrapping-Schlüssel herunterladen und Token importieren befinden, fahren Sie mit fortSchritt 9.
-
Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms
. -
Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
-
Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.
Tipp
Sie können Schlüsselmaterial nur in einen KMS Schlüssel mit dem Ursprung „Extern“ importieren (Schlüsselmaterial importieren). Dies weist darauf hin, dass der KMS Schlüssel ohne Schlüsselmaterial erstellt wurde. Um die Spalte Origin (Ursprung) zu Ihrer Tabelle hinzuzufügen, klicken Sie auf das Symbol „Settings (Einstellungen)“ in der rechten oberen Ecke der Seite (
). Aktivieren Sie Origin (Ursprung) und wählen Sie dann Confirm (Bestätigen) aus. -
Wählen Sie den Alias oder die Schlüssel-ID des KMS Schlüssels, dessen Import aussteht.
-
Erweitern Sie den Bereich Cryptographic configuration (kryptografische Konfiguration) und zeigen Sie dessen Werte an. Die Registerkarte wird unter dem Abschnitt General Configuration (allgemeine Konfiguration) angezeigt.
Sie können Schlüsselmaterial nur in KMS Schlüssel importieren, die einen externen Ursprung haben (Schlüsselmaterial importieren). Informationen zum Erstellen von KMS Schlüsseln mit importiertem Schlüsselmaterial finden Sie unterSchlüsselmaterial für AWS KMS Schlüssel importieren.
-
Wählen Sie die Registerkarte Schlüsselmaterial und dann Schlüsselmaterial importieren.
Die Registerkarte Schlüsselmaterial wird nur für KMS Schlüssel angezeigt, die den Origin-Wert Extern (Schlüsselmaterial importieren) haben.
-
Wählen Sie unter Select Wrapping Key Spec die Konfiguration für Ihren KMS Schlüssel aus. Nachdem Sie diesen Schlüssel erstellt haben, können Sie die Schlüsselspezifikationen nicht ändern.
-
Wählen Sie für Select wrapping algorithm die Option aus, die Sie zum Verschlüsseln Ihres Schlüsselmaterials verwenden werden. Weitere Informationen zu den Optionen finden Sie unter Verpackungsalgorithmus auswählen.
-
Klicken Sie auf Herunterladen des öffentlichen Verpackungsschlüssels und Import-Tokens und speichern Sie dann die Datei.
Wenn die Option Next (Weiter) vorhanden ist, wählen Sie Next (Weiter), um den Vorgang fortzusetzen. Um später fortzufahren, wählen Sie Cancel (Abbrechen).
-
Dekomprimieren Sie die
.zip-Datei, die Sie im vorherigen Schritt gespeichert haben (Import_Parameters_).<key_id>_<timestamp>Der Ordner enthält die folgenden Dateien:
-
Ein umschließender öffentlicher Schlüssel in eine Datei mit dem Namen
WrappingPublicKey.bin. -
Ein Import-Token in einer Datei mit dem Namen
ImportToken.bin. -
Eine Textdatei namens README .txt. Diese Datei enthält Informationen über den öffentlichen Verpackungsschlüssel, den zu verwendenden Verpackungsschlüssel zum Verschlüsseln Ihres Schlüsselmaterials und das Datum und die Uhrzeit des Ablaufens des öffentlichen Verpackungsschlüssels und des Import-Tokens.
-
-
Um mit dem Vorgang fortzufahren, nehmen Sie ihn mit dem Schritt Verschlüsseln Ihres Schlüsselmaterials wieder auf.
Der öffentliche Schlüssel für die Verpackung und das Import-Token ()AWS KMS API werden heruntergeladen
Um den öffentlichen Schlüssel herunterzuladen und das Token zu importieren, verwenden Sie den GetParametersForImportAPI. Geben Sie den KMS Schlüssel an, der dem importierten Schlüsselmaterial zugeordnet werden soll. Dieser KMS Schlüssel muss den Origin-Wert habenEXTERNAL.
Dieses Beispiel spezifiziert den RSA_AES_KEY_WRAP_SHA_256 Wrapping-Algorithmus, die RSA _3072-Spezifikation für öffentliche Schlüssel und eine Beispielschlüssel-ID. Ersetzen Sie diese Beispielwerte durch gültige Werte für Ihren Download. Für die Schlüssel-ID können Sie eine Schlüssel-ID oder einen Schlüssel verwendenARN, aber Sie können bei diesem Vorgang keinen Aliasnamen oder Alias ARN verwenden.
$aws kms get-parameters-for-import \ --key-id1234abcd-12ab-34cd-56ef-1234567890ab\ --wrapping-algorithmRSA_AES_KEY_WRAP_SHA_256\ --wrapping-key-specRSA_3072
Wenn der Befehl erfolgreich ausgeführt wurde, wird eine Ausgabe ähnlich der Folgenden angezeigt:
{ "ParametersValidTo": 1568290320.0, "PublicKey": "public key (base64 encoded)", "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "ImportToken": "import token (base64 encoded)" }
Um die Daten für den nächsten Schritt vorzubereiten, dekodiert base64 den öffentlichen Schlüssel und das Import-Token und speichert die dekodierten Werte in Dateien.
So dekodieren Sie den öffentlichen Schlüssel und das Import-Token von base64:
-
Kopieren Sie den Base64-codierten öffentlichen Schlüssel (dargestellt durch
public key (base64 encoded)in der Beispielausgabe), fügen Sie ihn in eine neue Datei ein und speichern Sie die Datei dann. Geben Sie der Datei einen aussagekräftigen Namen wiePublicKey.b64. -
Verwenden Sie Open SSL
, um den Inhalt der Datei mit Base64 zu dekodieren und die dekodierten Daten in einer neuen Datei zu speichern. Das folgende Beispiel decodiert die Daten in die Datei, die Sie im vorherigen Schritt gespeichert haben ( PublicKey.b64), und speichert die Ausgabe in einer neuen Datei mit dem NamenWrappingPublicKey.bin.$openssl enc -d -base64 -A -in PublicKey.b64 -out WrappingPublicKey.bin -
Kopieren Sie das Base64-kodierte Import-Token (dargestellt durch
import token (base64 encoded)in der Beispielausgabe), fügen Sie es in eine neue Datei ein und speichern Sie die Datei dann. Geben Sie der Datei einen aussagekräftigen Namen, wie z. B.importtoken.b64. -
Verwenden Sie Open SSL
, um den Inhalt der Datei mit Base64 zu dekodieren und die dekodierten Daten in einer neuen Datei zu speichern. Das folgende Beispiel decodiert die Daten in die Datei, die Sie im vorherigen Schritt gespeichert haben ( ImportToken.b64), und speichert die Ausgabe in einer neuen Datei mit dem NamenImportToken.bin.$openssl enc -d -base64 -A -in importtoken.b64 -out ImportToken.bin
Fahren Sie mit Schritt 3: Verschlüsselung des Schlüsselmaterials fort.
