Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schlüsselmaterial für AWS KMS Schlüssel importieren
Sie können einen AWS KMS keys (KMS-Schlüssel) mit Schlüsselmaterial erstellen, das Sie bereitstellen.
Ein KMS-Schlüssel ist eine logische Darstellung eines Verschlüsselungsschlüssels. Die Metadaten für einen KMS-Schlüssel enthalten die ID des Schlüsselmaterials, das zur Ver- und Entschlüsselung von Daten verwendet wird. Beim Erstellen eines KMS-Schlüssels generiert AWS KMS standardmäßig das Schlüsselmaterial für diesen KMS-Schlüssel. Aber Sie können einen KMS-Schlüssel ohne Schlüsselmaterial erstellen und dann Ihr eigenes Schlüsselmaterial in diesen KMS-Schlüssel importieren, ein Feature, das oft als Bring Your Own Key (BYOK, bringe deinen eigenen Schlüssel) bezeichnet wird.
Anmerkung
AWS KMS unterstützt nicht die Entschlüsselung von AWS KMS Chiffretext außerhalb von AWS KMS, selbst wenn der Chiffretext unter einem KMS-Schlüssel mit importiertem Schlüsselmaterial verschlüsselt wurde. AWS KMS veröffentlicht das für diese Aufgabe erforderliche Chiffretextformat nicht, und das Format kann sich ohne vorherige Ankündigung ändern.
Importiertes Schlüsselmaterial wird für alle Arten von KMS-Schlüsseln unterstützt, mit Ausnahme von KMS-Schlüsseln in benutzerdefinierten Schlüsselspeichern.
Wenn Sie importiertes Schlüsselmaterial verwenden, bleiben Sie für das Schlüsselmaterial verantwortlich und erlauben gleichzeitig, eine Kopie davon AWS KMS zu verwenden. Sie können dies aus den folgenden Gründe tun:
-
Um nachzuweisen, dass das Schlüsselmaterial mit einer zufälligen Quelle generiert wurde, die Ihre Anforderungen erfüllt.
-
Um Schlüsselmaterial aus Ihrer eigenen Infrastruktur mit AWS Diensten AWS KMS zu verwenden und den Lebenszyklus des darin enthaltenen Schlüsselmaterials zu verwalten AWS.
-
Zur Verwendung vorhandener, etablierter Schlüssel AWS KMS, z. B. Schlüssel für Codesignatur, PKI-Zertifikatsignierung und per Zertifikat fixierte Anwendungen
-
Um eine Ablaufzeit für das Schlüsselmaterial festzulegen AWS und es manuell zu löschen, es aber auch in future wieder verfügbar zu machen. Im Gegensatz dazu erfordert die Planung der Schlüssellöschung eine Wartezeit von 7 bis 30 Tagen. Danach können Sie den gelöschten KMS-Schlüssel nicht wiederherstellen.
-
Die Originalkopie des Schlüsselmaterials zu besitzen und es AWS für zusätzliche Haltbarkeit und Notfallwiederherstellung während des gesamten Lebenszyklus des Schlüsselmaterials außerhalb des Betriebs aufzubewahren.
-
Bei asymmetrischen Schlüsseln und HMAC-Schlüsseln werden beim Import kompatible und interoperable Schlüssel erstellt, die innerhalb und außerhalb von funktionieren. AWS
Sie können die Verwendung und Verwaltung eines KMS-Schlüssels mit importiertem Schlüsselmaterial prüfen und überwachen. AWS KMS zeichnet ein Ereignis in Ihrem AWS CloudTrail Protokoll auf, wenn Sie den KMS-Schlüssel erstellen, den öffentlichen Schlüssel und das Importtoken herunterladen und das Schlüsselmaterial importieren. AWS KMS zeichnet auch ein Ereignis auf, wenn Sie importiertes Schlüsselmaterial manuell löschen oder wenn abgelaufenes Schlüsselmaterial AWS KMS gelöscht wird.
Informationen zu wichtigen Unterschieden zwischen KMS-Schlüsseln mit importiertem Schlüsselmaterial und solchen, deren Schlüsselmaterial von generiert wurde AWS KMS, finden Sie unterInformationen zu importiertem Schlüsselmaterial.
Unterstützte KMS-Schlüssel
AWS KMS unterstützt importiertes Schlüsselmaterial für die folgenden Typen von KMS-Schlüsseln. Es ist jedoch nicht möglich, Schlüsselmaterial in KMS-Schlüsseln in benutzerdefinierten Schlüsselspeichern zu importieren.
-
Asymmetrische RSA-KMS-Schlüssel (für Verschlüsselung oder Signierung, aber nicht für beides)
-
KMS-Schlüssel mit asymmetrischer elliptischer Kurve (ECC) (zum Signieren oder Ableiten von gemeinsamen Geheimnissen, aber nicht für beides)
-
Asymmetrische SM2-KMS-Schlüssel — nur für Regionen Chinas (zum Verschlüsseln, Signieren oder Ableiten gemeinsam genutzter Geheimnisse)
-
Schlüssel für mehrere Regionen aller unterstützten Typen.
Regionen
Importiertes Schlüsselmaterial wird in allem AWS-Regionen unterstützt, was unterstützt wird. AWS KMS
In den Regionen Chinas unterscheiden sich die wichtigsten Materialanforderungen für KMS-Schlüssel mit symmetrischer Verschlüsselung von denen in anderen Regionen. Details hierzu finden Sie unter Schritt 3 für den Import von Schlüsselmaterial: Verschlüsselung des Schlüsselmaterials.
Themen
- Planung des Imports von Schlüsselmaterial
- Verwalten von importiertem Schlüsselmaterial
- Schritt 1: Erstellen eines KMS-Schlüssels ohne Schlüsselmaterial
- Schritt 2: Herunterladen des öffentlichen Verpackungsschlüssels und des Import-Tokens
- Schritt 3: Verschlüsselung des Schlüsselmaterials
- Schritt 4: Importieren des Schlüsselmaterials
