Schlüsselmaterial für AWS KMS Schlüssel importieren - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schlüsselmaterial für AWS KMS Schlüssel importieren

Sie können einen AWS KMS keys (KMSSchlüssel) mit den wichtigsten Materialien erstellen, die Sie bereitstellen.

Ein KMS Schlüssel ist eine logische Darstellung eines Datenschlüssels. Die Metadaten für einen KMS Schlüssel enthalten die ID des Schlüsselmaterials, das zur Ausführung kryptografischer Operationen verwendet wird. Wenn Sie einen KMS Schlüssel erstellen, wird standardmäßig das Schlüsselmaterial für diesen KMS Schlüssel AWS KMS generiert. Sie können jedoch auch einen KMS Schlüssel ohne Schlüsselmaterial erstellen und dann Ihr eigenes Schlüsselmaterial in diesen KMS Schlüssel importieren. Diese Funktion wird oft als „Bring your own key“ (BYOK) bezeichnet.

Schlüsselsymbol, das das Schlüsselmaterial hervorhebt, für das es steht.
Anmerkung

AWS KMS unterstützt nicht die Entschlüsselung von AWS KMS Chiffretext, der mit einem symmetrischen KMS Verschlüsselungsschlüssel außerhalb von verschlüsselt wurde AWS KMS, auch wenn der Chiffretext unter einem KMS Schlüssel mit importiertem Schlüsselmaterial verschlüsselt wurde. AWS KMS veröffentlicht das für diese Aufgabe erforderliche Chiffretextformat nicht, und das Format kann sich ohne vorherige Ankündigung ändern.

Wenn Sie importiertes Schlüsselmaterial verwenden, bleiben Sie für das Schlüsselmaterial verantwortlich und erlauben gleichzeitig, eine Kopie davon AWS KMS zu verwenden. Sie können dies aus den folgenden Gründe tun:

  • Um nachzuweisen, dass das Schlüsselmaterial mit einer zufälligen Quelle generiert wurde, die Ihre Anforderungen erfüllt.

  • Um Schlüsselmaterial aus Ihrer eigenen Infrastruktur mit AWS Diensten AWS KMS zu verwenden und den Lebenszyklus des darin enthaltenen Schlüsselmaterials zu verwalten AWS.

  • Zur Verwendung vorhandener, etablierter Schlüssel AWS KMS, z. B. Schlüssel für Codesignatur, PKI Zertifikatsignierung und für Anwendungen, die an Zertifikate gebunden sind

  • Um eine Ablaufzeit für das Schlüsselmaterial festzulegen AWS und es manuell zu löschen, es aber auch in future wieder verfügbar zu machen. Im Gegensatz dazu erfordert das Planen des Löschens von Schlüsseln eine Wartezeit von 7 bis 30 Tagen. Danach können Sie den gelöschten KMS Schlüssel nicht mehr wiederherstellen.

  • Sie müssen die Originalkopie des Schlüsselmaterials besitzen und es AWS für zusätzliche Haltbarkeit und Notfallwiederherstellung während des gesamten Lebenszyklus des Schlüsselmaterials außerhalb der Reichweite aufbewahren.

  • Bei asymmetrischen Schlüsseln und HMAC Schlüsseln entstehen beim Import kompatible und interoperable Schlüssel, die innerhalb und außerhalb von funktionieren. AWS

Unterstützte Schlüsseltypen KMS

AWS KMS unterstützt importiertes Schlüsselmaterial für die folgenden KMS Schlüsseltypen. Sie können Schlüsselmaterial nicht in KMS Schlüssel in benutzerdefinierten Schlüsselspeichern importieren.

Regionen

Importiertes Schlüsselmaterial wird in allem AWS KMS unterstützt AWS-Regionen , was unterstützt.

In den Regionen Chinas unterscheiden sich die wichtigsten Materialanforderungen für symmetrische KMS Verschlüsselungsschlüssel von denen in anderen Regionen. Details hierzu finden Sie unter Schritt 3: Verschlüsselung des Schlüsselmaterials.

Weitere Informationen