Festlegen einer Ablaufzeit (optional)Wichtiges Material erneut importieren Importieren von Schlüsselmaterial (Konsole)Importieren des Schlüsselmaterials (AWS KMS API)

Schritt 4: Importieren des Schlüsselmaterials

Nachdem Sie Ihr Schlüsselmaterial verschlüsselt haben, können Sie das Schlüsselmaterial importieren, um es mit einem AWS KMS key zu verwenden. Um Schlüsselmaterial zu importieren, laden Sie das verschlüsselte Schlüsselmaterial aus Schritt 3: Verschlüsselung des Schlüsselmaterials und den Import-Token, den Sie von Schritt 2: Herunterladen des öffentlichen Verpackungsschlüssels und des Import-Tokens heruntergeladen haben, hoch. Sie müssen das Schlüsselmaterial in denselben KMS Schlüssel importieren, den Sie beim Herunterladen des öffentlichen Schlüssels und beim Import des Tokens angegeben haben. Wenn das Schlüsselmaterial erfolgreich importiert wurde, ändert sich der Schlüsselstatus des KMS Schlüssels aufEnabled, und Sie können den KMS Schlüssel für kryptografische Operationen verwenden.

Wenn Sie Schlüsselmaterial importieren, können Sie ein optionales Ablaufdatum für das Schlüsselmaterial festlegen. Wenn das Schlüsselmaterial abläuft, wird das Schlüsselmaterial AWS KMS gelöscht und der KMS Schlüssel wird unbrauchbar. Um den KMS Schlüssel für kryptografische Operationen zu verwenden, müssen Sie dasselbe Schlüsselmaterial erneut importieren. Nachdem Sie Ihr Schlüsselmaterial importiert haben, können Sie das Ablaufdatum für den aktuellen Import nicht mehr festlegen, ändern oder stornieren. Um diese Werte zu ändern, müssen Sie das gleiche Schlüsselmaterial löschen und wieder importieren.

Um Schlüsselmaterial zu importieren, können Sie die AWS KMS Konsole oder die verwenden. ImportKeyMaterialAPI Sie können das API direkt verwenden, indem Sie HTTP Anfragen stellen, oder indem Sie ein AWS SDKs, AWS Command Line Interfaceoder verwenden AWS Tools for PowerShell.

Wenn Sie das Schlüsselmaterial importieren, wird Ihrem AWS CloudTrail Protokoll ein ImportKeyMaterialEintrag hinzugefügt, um den ImportKeyMaterial Vorgang aufzuzeichnen. Der CloudTrail Eintrag ist derselbe, unabhängig davon, ob Sie die AWS KMS Konsole oder die verwenden AWS KMS API.

Festlegen einer Ablaufzeit (optional)

Wenn Sie das Schlüsselmaterial für Ihren KMS Schlüssel importieren, können Sie optional ein Ablaufdatum und eine Uhrzeit für das Schlüsselmaterial festlegen, die bis zu 365 Tage ab dem Importdatum liegen. Wenn das importierte Schlüsselmaterial abläuft, AWS KMS wird es gelöscht. Durch diese Aktion wird der Schlüsselstatus des KMS Schlüssels auf geändertPendingImport, sodass er nicht für kryptografische Operationen verwendet werden kann. Um den KMS Schlüssel verwenden zu können, müssen Sie eine Kopie des ursprünglichen Schlüsselmaterials erneut importieren.

Wenn Sie sicherstellen, dass importiertes Schlüsselmaterial häufig abläuft, können Sie die gesetzlichen Anforderungen erfüllen. Dies stellt jedoch ein zusätzliches Risiko für Daten dar, die unter dem KMS Schlüssel verschlüsselt wurden. Solange Sie keine Kopie des ursprünglichen Schlüsselmaterials erneut importieren, ist ein Schlüssel mit abgelaufenem KMS Schlüsselmaterial unbrauchbar, und auf alle unter dem KMS Schlüssel verschlüsselten Daten kann nicht zugegriffen werden. Wenn Sie das Schlüsselmaterial aus irgendeinem Grund nicht erneut importieren, z. B. wenn Sie Ihre Kopie des ursprünglichen Schlüsselmaterials verlieren, ist der Schlüssel dauerhaft unbrauchbar und die unter dem KMS Schlüssel verschlüsselten Daten können nicht wiederhergestellt werden. KMS

Um dieses Risiko zu minimieren, sollten Sie sicherstellen, dass auf Ihre Kopie des importierten Schlüsselmaterials zugegriffen werden kann, und ein System einrichten, das das Schlüsselmaterial löscht und erneut importiert, bevor es abläuft und Ihre Arbeitslast unterbricht. AWS Wir empfehlen Ihnen, einen Alarm für den Ablauf Ihres importierten Schlüsselmaterials einzustellen, der Ihnen genügend Zeit gibt, das Schlüsselmaterial vor Ablauf erneut zu importieren. Sie können Ihre CloudTrail Protokolle auch verwenden, um Vorgänge zu überprüfen, bei denen Schlüsselmaterial importiert (und erneut importiert) und importiertes Schlüsselmaterial gelöscht wird, sowie den AWS KMS Vorgang zum Löschen abgelaufener Schlüsselmaterialien.

Sie können kein anderes Schlüsselmaterial in den KMS Schlüssel importieren und das gelöschte Schlüsselmaterial AWS KMS nicht wiederherstellen, wiederherstellen oder reproduzieren. Anstatt eine Ablaufzeit festzulegen, können Sie das importierte Schlüsselmaterial programmgesteuert löschen und in regelmäßigen Abständen erneut importieren. Die Anforderungen für die Beibehaltung einer Kopie des ursprünglichen Schlüsselmaterials sind jedoch dieselben.

Sie legen fest, ob und wann importiertes Schlüsselmaterial abläuft, wenn Sie das Schlüsselmaterial importieren. Sie können das Ablaufdatum jedoch ein- und ausschalten oder eine neue Ablaufzeit festlegen, indem Sie das Schlüsselmaterial löschen und erneut importieren. Verwenden Sie den ExpirationModel Parameter von ImportKeyMaterial, um den Ablauf ein- (KEY_MATERIAL_EXPIRES) und auszuschalten (KEY_MATERIAL_DOES_NOT_EXPIRE), und den ValidTo Parameter, um die Ablaufzeit festzulegen. Der maximale Zeitraum beträgt 365 Tage ab dem Import der Daten. Es gibt kein Minimum, aber der Zeitpunkt muss in der Zukunft liegen.

Wichtiges Material erneut importieren

Wenn Sie einen KMS Schlüssel mit importiertem Schlüsselmaterial verwalten, müssen Sie das Schlüsselmaterial möglicherweise erneut importieren. Sie können das Schlüsselmaterial erneut importieren, um ablaufendes odergelöschtes Schlüsselmaterial zu ersetzen oder um das Ablaufmodell oder das Ablaufdatum des Schlüsselmaterials zu ändern.

Wenn Sie Schlüsselmaterial in einen KMS Schlüssel importieren, ist der KMS Schlüssel dauerhaft mit diesem Schlüsselmaterial verknüpft. Sie können dasselbe Schlüsselmaterial erneut importieren, aber Sie können kein anderes Schlüsselmaterial in diesen KMS Schlüssel importieren. Sie können das Schlüsselmaterial nicht drehen und AWS KMS kein Schlüsselmaterial für einen KMS Schlüssel mit importiertem Schlüsselmaterial erstellen.

Sie können Schlüsselmaterial jederzeit nach einem beliebigen Zeitplan, der Ihren Sicherheitsanforderungen entspricht, wieder importieren. Sie müssen nicht warten, bis das Schlüsselmaterial seine Ablaufzeit erreicht oder fast erreicht hat.

Die Verfahren zum erneuten Import von Schlüsselmaterial entsprechen denen, die Sie für den ersten Import des Schlüsselmaterials verwenden, mit den folgenden Ausnahmen.

Verwenden Sie einen vorhandenen KMS Schlüssel, anstatt einen neuen KMS Schlüssel zu erstellen. Sie können Schritt 1 des Importvorgangs überspringen.
Wenn Sie Schlüsselmaterial erneut importieren, können Sie das Ablaufmodell und das Ablaufdatum ändern.

Jedes Mal, wenn Sie Schlüsselmaterial in einen KMS Schlüssel importieren, müssen Sie einen neuen Verpackungsschlüssel und ein Importtoken für den KMS Schlüssel herunterladen und verwenden. Das Verpackungsverfahren hat keine Auswirkungen auf den Inhalt des Schlüsselmaterials. Sie können also unterschiedliche öffentliche Verpackungsschlüssel und unterschiedliche Verpackungsalgorithmen verwenden, um das gleiche Schlüsselmaterial zu importieren.

Importieren von Schlüsselmaterial (Konsole)

Sie können den verwenden AWS Management Console , um Schlüsselmaterial zu importieren.

Wenn Sie sich auf der Seite Ihr verpacktes Schlüsselmaterial hochladen befinden, fahren Sie mit Schritt 8 fort.
Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.
Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.
Wählen Sie die Schlüssel-ID oder den Alias des KMS Schlüssels aus, für den Sie den öffentlichen Schlüssel heruntergeladen und das Token importiert haben.
Erweitern Sie den Bereich Cryptographic configuration (kryptografische Konfiguration) und zeigen Sie dessen Werte an. Die Tabs befinden sich auf der Detailseite für einen KMS Schlüssel unter dem Abschnitt Allgemeine Konfiguration.

Sie können Schlüsselmaterial nur in KMS Schlüssel mit dem Ursprung „Extern“ importieren (Schlüsselmaterial importieren). Informationen zum Erstellen von KMS Schlüsseln mit importiertem Schlüsselmaterial finden Sie unterSchlüsselmaterial für AWS KMS Schlüssel importieren.
Wählen Sie die Registerkarte Schlüsselmaterial und dann Schlüsselmaterial importieren. Die Registerkarte Schlüsselmaterial wird nur für KMS Schlüssel mit dem Origin-Wert Extern (Schlüsselmaterial importieren) angezeigt.

Wenn Sie das Schlüsselmaterial und Import-Token heruntergeladen haben und das Schlüsselmaterial verschlüsselt haben, wählen Sie Weiter.
Gehen Sie im Abschnitt Verschlüsseltes Schlüsselmaterial und Import-Token wie folgt vor.
1. Wählen Sie unter Verpacktes Schlüsselmaterial Datei auswählen aus. Laden Sie dann die Datei hoch, die das durch den Umhüllungsschlüssel geschützte Schlüsselmaterial enthält.
2. Wählen Sie unter Token importieren die Option Datei wählen. Laden Sie die heruntergeladene Datei mit dem Import-Token hoch.
Wählen Sie im Bereich Expiration option (Ablaufoption) aus, ob das Schlüsselmaterial abläuft. Um ein Ablaufdatum und eine Uhrzeit festzulegen, wählen Sie Key material expires (Schlüsselmaterial läuft ab) und wählen Sie dann Datum und Uhrzeit über das Kalendersteuerelement aus. Sie können ein Datum angeben, das bis zu 365 Tage nach dem aktuellen Datum und der aktuellen Uhrzeit liegt.
Wählen Sie die Option Upload key material (Schlüsselmaterial hochladen).

Importieren des Schlüsselmaterials (AWS KMS API)

Verwenden Sie die ImportKeyMaterialOperation, um Schlüsselmaterial zu importieren. Für die folgenden Beispiele wird die AWS CLIverwendet. Sie können aber jede unterstützte Programmiersprache nutzen.

Zur Verwendung dieses Beispiels gehen Sie wie folgt vor:

1234abcd-12ab-34cd-56ef-1234567890abErsetzen Sie den Schlüssel durch eine Schlüssel-ID, den Sie beim Herunterladen des öffentlichen KMS Schlüssels und beim Import des Tokens angegeben haben. Um den KMS Schlüssel zu identifizieren, verwenden Sie seine Schlüssel-ID oder seinen Schlüssel ARN. Sie können ARN für diesen Vorgang keinen Aliasnamen oder Alias verwenden.
Ersetzen Sie EncryptedKeyMaterial.bin durch den Namen der Datei, die das verschlüsselten Schlüsselmaterial enthält.
Ersetzen Sie ImportToken.bin durch den Namen der Datei, die den Import-Token enthält.
Wenn das importierte Schlüsselmaterial ablaufen soll, setzen Sie den Wert für den expiration-model-Parameter auf den Standardwert zurück, KEY_MATERIAL_EXPIRES, oder lassen Sie den expiration-model-Parameter weg. Ersetzen Sie dann den Wert des valid-to-Parameters mit dem Datum und der Uhrzeit, zu der das Schlüsselmaterial ablaufen soll. Datum und Uhrzeit können bis zu 365 Tage ab dem Zeitpunkt der Anfrage betragen.
```
$ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_EXPIRES \
    --valid-to 2023-06-17T12:00:00-08:00
```
Wenn das importierte Schlüsselmaterial nicht ablaufen soll, setzen Sie den Wert für den expiration-model-Parameter aufKEY_MATERIAL_DOES_NOT_EXPIRE und lassen Sie den valid-to-Parameter aus dem Befehl weg.
```
$ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_DOES_NOT_EXPIRE
```

Tipp

Wenn der Befehl nicht erfolgreich ist, wird möglicherweise eine KMSInvalidStateException oder eine NotFoundExceptionangezeigt. Sie können die Anfrage wiederholen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Schritt 3: Verschlüsselung des Schlüsselmaterials

Einen KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher erstellen