Schlüsselmaterial für AWS KMS Schlüssel importieren - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schlüsselmaterial für AWS KMS Schlüssel importieren

Sie können einen AWS KMS keys (KMS-Schlüssel) mit den von Ihnen bereitgestellten Schlüsselmaterialien erstellen.

Ein KMS-Schlüssel ist eine logische Darstellung eines Datenschlüssels. Die Metadaten für einen KMS-Schlüssel enthalten die ID des Schlüsselmaterials, das zur Ausführung kryptografischer Operationen verwendet wird. Wenn Sie einen KMS-Schlüssel erstellen, wird standardmäßig das Schlüsselmaterial für diesen KMS-Schlüssel AWS KMS generiert. Aber Sie können einen KMS-Schlüssel ohne Schlüsselmaterial erstellen und dann Ihr eigenes Schlüsselmaterial in diesen KMS-Schlüssel importieren, ein Feature, das oft als Bring Your Own Key (BYOK, bringe deinen eigenen Schlüssel) bezeichnet wird.

Schlüsselsymbol, das das Schlüsselmaterial hervorhebt, für das es steht.
Anmerkung

AWS KMS unterstützt nicht die Entschlüsselung von AWS KMS Chiffretext, der mit einem KMS-Schlüssel mit symmetrischer Verschlüsselung außerhalb von verschlüsselt wurde AWS KMS, selbst wenn der Chiffretext unter einem KMS-Schlüssel mit importiertem Schlüsselmaterial verschlüsselt wurde. AWS KMS veröffentlicht das für diese Aufgabe erforderliche Chiffretextformat nicht, und das Format kann sich ohne vorherige Ankündigung ändern.

Wenn Sie importiertes Schlüsselmaterial verwenden, bleiben Sie für das Schlüsselmaterial verantwortlich und erlauben gleichzeitig, eine Kopie davon AWS KMS zu verwenden. Sie können dies aus den folgenden Gründe tun:

  • Um nachzuweisen, dass das Schlüsselmaterial mit einer zufälligen Quelle generiert wurde, die Ihre Anforderungen erfüllt.

  • Um Schlüsselmaterial aus Ihrer eigenen Infrastruktur mit AWS Services AWS KMS zu verwenden und den Lebenszyklus des darin enthaltenen Schlüsselmaterials zu verwalten AWS.

  • Zur Verwendung vorhandener, etablierter Schlüssel AWS KMS, z. B. Schlüssel für Codesignatur, PKI-Zertifikatsignierung und per Zertifikat fixierte Anwendungen

  • Um eine Ablaufzeit für das Schlüsselmaterial festzulegen AWS und es manuell zu löschen, es aber auch in future wieder verfügbar zu machen. Im Gegensatz dazu erfordert die Planung der Schlüssellöschung eine Wartezeit von 7 bis 30 Tagen. Danach können Sie den gelöschten KMS-Schlüssel nicht wiederherstellen.

  • Die Originalkopie des Schlüsselmaterials zu besitzen und es AWS für zusätzliche Haltbarkeit und Notfallwiederherstellung während des gesamten Lebenszyklus des Schlüsselmaterials außerhalb des Betriebs aufzubewahren.

  • Bei asymmetrischen Schlüsseln und HMAC-Schlüsseln werden beim Import kompatible und interoperable Schlüssel erstellt, die innerhalb und außerhalb von funktionieren. AWS

Unterstützte KMS-Schlüsseltypen

AWS KMS unterstützt importiertes Schlüsselmaterial für die folgenden Typen von KMS-Schlüsseln. Es ist jedoch nicht möglich, Schlüsselmaterial in KMS-Schlüsseln in benutzerdefinierten Schlüsselspeichern zu importieren.

Regionen

Importiertes Schlüsselmaterial wird in allen AWS-Regionen Unterstützungen AWS KMS unterstützt.

In China Regionen unterscheiden sich die wichtigsten Materialanforderungen für symmetrische Verschlüsselung von KMS-Schlüsseln von denen in anderen Regionen. Details hierzu finden Sie unter Schritt 3: Verschlüsselung des Schlüsselmaterials.

Weitere Informationen