Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Schlüsselmaterial für AWS KMS Schlüssel importieren
Sie können einen AWS KMS keys (KMS-Schlüssel) mit den von Ihnen bereitgestellten Schlüsselmaterialien erstellen.
Ein KMS-Schlüssel ist eine logische Darstellung eines Datenschlüssels. Die Metadaten für einen KMS-Schlüssel enthalten die ID des Schlüsselmaterials, das zur Ausführung kryptografischer Operationen verwendet wird. Wenn Sie [einen KMS-Schlüssel erstellen](create-keys.md), wird standardmäßig das Schlüsselmaterial für diesen KMS-Schlüssel AWS KMS generiert. Aber Sie können einen KMS-Schlüssel ohne Schlüsselmaterial erstellen und dann Ihr eigenes Schlüsselmaterial in diesen KMS-Schlüssel importieren, ein Feature, das oft als Bring Your Own Key (BYOK, bringe deinen eigenen Schlüssel) bezeichnet wird.
![\[Schlüsselsymbol, das das Schlüsselmaterial hervorhebt, für das es steht.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/import-key.png)
**Anmerkung**
AWS KMS unterstützt nicht die Entschlüsselung von AWS KMS Chiffretext, der mit einem KMS-Schlüssel mit symmetrischer Verschlüsselung außerhalb von verschlüsselt wurde AWS KMS, selbst wenn der Chiffretext unter einem KMS-Schlüssel mit importiertem Schlüsselmaterial verschlüsselt wurde. AWS KMS veröffentlicht das für diese Aufgabe erforderliche Chiffretextformat nicht, und das Format kann sich ohne vorherige Ankündigung ändern.
Wenn Sie importiertes Schlüsselmaterial verwenden, bleiben Sie für das Schlüsselmaterial verantwortlich und erlauben gleichzeitig, eine Kopie davon AWS KMS zu verwenden. Sie können dies aus den folgenden Gründe tun:
+ Um nachzuweisen, dass das Schlüsselmaterial mit einer zufälligen Quelle generiert wurde, die Ihre Anforderungen erfüllt.
+ Um Schlüsselmaterial aus Ihrer eigenen Infrastruktur mit AWS Services AWS KMS zu verwenden und den Lebenszyklus des darin enthaltenen Schlüsselmaterials zu verwalten AWS.
+ Zur Verwendung vorhandener, etablierter Schlüssel AWS KMS, z. B. Schlüssel für Codesignatur, PKI-Zertifikatsignierung und per Zertifikat fixierte Anwendungen
+ Um eine Ablaufzeit für das Schlüsselmaterial festzulegen AWS und es [manuell zu löschen, es](importing-keys-delete-key-material.md) aber auch in future wieder verfügbar zu machen. Im Gegensatz dazu erfordert die [Planung der Schlüssellöschung](deleting-keys.md#deleting-keys-how-it-works) eine Wartezeit von 7 bis 30 Tagen. Danach können Sie den gelöschten KMS-Schlüssel nicht wiederherstellen.
+ Die Originalkopie des Schlüsselmaterials zu besitzen und es AWS für zusätzliche Haltbarkeit und Notfallwiederherstellung während des gesamten Lebenszyklus des Schlüsselmaterials außerhalb des Betriebs aufzubewahren.
+ Bei asymmetrischen Schlüsseln und HMAC-Schlüsseln werden beim Import kompatible und interoperable Schlüssel erstellt, die innerhalb und außerhalb von funktionieren. AWS
**Unterstützte KMS-Schlüsseltypen**
AWS KMS unterstützt importiertes Schlüsselmaterial für die folgenden Typen von KMS-Schlüsseln. Es ist jedoch nicht möglich, Schlüsselmaterial in KMS-Schlüsseln in [benutzerdefinierten Schlüsselspeichern](key-store-overview.md#custom-key-store-overview) zu importieren.
+ [KMS-Schlüssel zur symmetrischen Verschlüsselung](symm-asymm-choose-key-spec.md#symmetric-cmks)
+ [Asymmetrische KMS-Schlüssel (außer ML-DSA-Schlüssel)](symmetric-asymmetric.md)
+ [HMAC-KMS-Schlüssel](hmac.md)
+ [Schlüssel für mehrere Regionen](multi-region-keys-overview.md) aller unterstützten Typen.
**Regionen**
Importiertes Schlüsselmaterial wird in allem AWS-Regionen unterstützt, was unterstützt wird. AWS KMS
In China Regionen unterscheiden sich die wichtigsten Materialanforderungen für symmetrische Verschlüsselung von KMS-Schlüsseln von anderen Regionen. Details hierzu finden Sie unter [Schritt 3: Verschlüsselung des Schlüsselmaterials](importing-keys-encrypt-key-material.md).
**Weitere Informationen**
+ Informationen zum Erstellen von KMS-Schlüsseln mit importiertem Schlüsselmaterial finden Sie unter[Erstellen Sie einen KMS-Schlüssel mit importiertem Schlüsselmaterial](importing-keys-conceptual.md).
+ Informationen zum Erstellen eines Alarms, der Sie benachrichtigt, wenn das importierte Schlüsselmaterial in einem KMS-Schlüssel bald abläuft, finden Sie unter[Einen CloudWatch Alarm für den Ablauf von importiertem Schlüsselmaterial erstellen](imported-key-material-expiration-alarm.md).
+ Informationen zum erneuten Import von Schlüsselmaterial in einen KMS-Schlüssel finden Sie unter. [Schlüsselmaterial erneut importieren](importing-keys-import-key-material.md#reimport-key-material)
+ Informationen zum Importieren von neuem Schlüsselmaterial in einen KMS-Schlüssel für die Rotation bei Bedarf finden Sie unter [Importieren neuen Schlüsselmaterials](importing-keys-import-key-material.md#import-new-key-material) und[Führen Sie die Schlüsselrotation bei Bedarf durch](rotating-keys-on-demand.md).
+ Informationen zur Identifizierung und Anzeige von KMS-Schlüsseln mit importiertem Schlüsselmaterial finden Sie unter[Identifizieren Sie KMS-Schlüssel mit importiertem Schlüsselmaterial](identify-key-types.md#identify-imported-keys).
+ Informationen zu besonderen Überlegungen beim Löschen von KMS-Schlüsseln mit importiertem Schlüsselmaterial finden Sie unter[Deleting KMS keys with imported key material](deleting-keys.md#import-delete-key).
# Besondere Überlegungen für importiertes Schlüsselmaterial
Bevor Sie sich für den Import von Schlüsselmaterial in entscheiden AWS KMS, sollten Sie sich mit den folgenden Eigenschaften von importiertem Schlüsselmaterial vertraut machen.
**Sie generieren das Schlüsselmaterial**
Sie sind verantwortlich für die Generierung des Schlüsselmaterials mit einer zufälligen Quelle, die Ihre Anforderungen erfüllt.
**Sie sind verantwortlich für Verfügbarkeit und Langlebigkeit**
AWS KMS wurde entwickelt, um importiertes Schlüsselmaterial hochverfügbar zu halten. Die Haltbarkeit von importiertem Schlüsselmaterial wird jedoch AWS KMS nicht auf dem gleichen Niveau gehalten wie das AWS KMS generierte Schlüsselmaterial. Details hierzu finden Sie unter [Schützen von importiertem Schlüsselmaterial](import-keys-protect.md).
**Sie können das Schlüsselmaterial löschen.**
Sie können [importiertes Schlüsselmaterial aus einem KMS-Schlüssel löschen](importing-keys-delete-key-material.md), wodurch der KMS-Schlüssel sofort unbrauchbar wird. Beim Importieren von Schlüsselmaterial in einen KMS-Schlüssel können Sie außerdem bestimmen, ob der Schlüssel abläuft und [die Ablaufzeit festlegen](importing-keys-import-key-material.md#importing-keys-expiration). Wenn die Ablaufzeit erreicht ist, AWS KMS [wird das Schlüsselmaterial gelöscht](importing-keys-delete-key-material.md). Ohne Schlüsselmaterial kann der KMS-Schlüssel nicht in kryptografischen Operationen verwendet werden. Um den Schlüssel wiederherzustellen, müssen Sie das gleiche Schlüsselmaterial erneut in den Schlüssel importieren.
**Sie können das Schlüsselmaterial für asymmetrische Schlüssel und HMAC-Schlüssel nicht ändern**
Beim Importieren von Schlüsselmaterial in einen KMS-Schlüssel wird der KMS-Schlüssel dauerhaft diesem Schlüsselmaterial zugeordnet. Sie können [dasselbe Schlüsselmaterial erneut importieren](importing-keys-import-key-material.md#reimport-key-material), aber kein anderes Schlüsselmaterial in diesen KMS-Schlüssel importieren. Außerdem ist es nicht möglich, die [automatische Schlüsseldrehung](rotate-keys.md) für einen KMS-Schlüssel mit importiertem Schlüsselmaterial zu aktivieren. Sie können einen KMS-Schlüssel mit importiertem Schlüsselmaterial jedoch [manuell drehen](rotate-keys-manually.md).
**Sie können bei Bedarf eine Rotation für symmetrische Verschlüsselungsschlüssel durchführen**
Symmetrische Verschlüsselungsschlüssel mit importiertem Schlüsselmaterial unterstützen die Rotation nach Bedarf. Sie können [mehrere Schlüsselmaterialien in diese Schlüssel importieren](importing-keys-import-key-material.md#import-new-key-material) und die [Rotation nach Bedarf](rotating-keys-on-demand.md) verwenden, um das aktuelle Schlüsselmaterial zu aktualisieren. Das aktuelle Schlüsselmaterial wird sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet, andere (nicht aktuelle) Schlüsselmaterialien können jedoch nur zur Entschlüsselung verwendet werden.
**Sie können die Herkunft des Schlüsselmaterials nicht ändern**
KMS-Schlüssel, die für importiertes Schlüsselmaterial entwickelt wurden, haben einen [Ursprungswert](create-keys.md#key-origin) von`EXTERNAL`, der nicht geändert werden kann. Sie können einen KMS-Schlüssel für importiertes Schlüsselmaterial nicht konvertieren, um Schlüsselmaterial aus einer anderen Quelle zu verwenden, einschließlich. AWS KMS Ebenso können Sie einen KMS-Schlüssel mit Schlüsselmaterial nicht in einen AWS KMS KMS-Schlüssel konvertieren, der für importiertes Schlüsselmaterial entworfen wurde.
**Sie können kein Schlüsselmaterial exportieren**
Sie können kein Schlüsselmaterial exportieren, das Sie importiert haben. AWS KMS kann Ihnen das importierte Schlüsselmaterial in keiner Form zurückgeben. Sie müssen eine Kopie Ihres importierten Schlüsselmaterials außerhalb von AWS, vorzugsweise in einem Schlüsselmanager, wie z. B. einem Hardware-Sicherheitsmodul (HSM), aufbewahren, damit Sie das Schlüsselmaterial erneut importieren können, falls Sie es löschen oder wenn es abläuft.
**Sie können multiregionale Schlüssel mit importiertem Schlüsselmaterial erstellen**
Multi-Region mit importiertem Schlüsselmaterial haben die Eigenschaften von KMS-Schlüsseln mit importiertem Schlüsselmaterial und können zwischen AWS-Regionen interoperieren. Um einen multiregionalen Schlüssel mit importiertem Schlüsselmaterial zu erstellen, müssen Sie dasselbe Schlüsselmaterial in den KMS-Schlüssel und in jeden Replikatschlüssel importieren. Weitere Informationen zum Importieren von Schlüsselmaterialien für Schlüssel mit mehreren Regionen finden Sie unter. [Importieren neuen Schlüsselmaterials](importing-keys-import-key-material.md#import-new-key-material)
**Asymmetrische Schlüssel und HMAC-Schlüssel sind portabel und interoperabel**
Sie können Ihr asymmetrisches Schlüsselmaterial und Ihr HMAC-Schlüsselmaterial auch außerhalb von verwenden, um mit AWS KMS Schlüsseln AWS zu interagieren, die dasselbe importierte Schlüsselmaterial enthalten.
Im Gegensatz zum AWS KMS symmetrischen Chiffretext, der untrennbar mit dem im Algorithmus verwendeten KMS-Schlüssel verbunden ist, werden standardmäßige HMAC-Formate und asymmetrische Formate für Verschlüsselung, AWS KMS Signierung und MAC-Generierung verwendet. Dadurch sind die Schlüssel übertragbar und unterstützen herkömmliche Escrow-Key-Szenarien.
Wenn Ihr KMS-Schlüssel Schlüsselmaterial importiert hat, können Sie das importierte Schlüsselmaterial außerhalb von verwenden, um die folgenden Operationen auszuführen. AWS
+ HMAC-Schlüssel – Sie können ein HMAC-Tag, das durch den HMAC-KMS-Schlüssel generiert wurde, mit importiertem Schlüsselmaterial überprüfen. Sie können den HMAC-KMS-Schlüssel auch zusammen mit dem importierten Schlüsselmaterial verwenden, um ein HMAC-Tag zu verifizieren, das mit dem Schlüsselmaterial außerhalb von generiert wurde. AWS
+ Asymmetrische Verschlüsselungsschlüssel — Sie können Ihren privaten asymmetrischen Verschlüsselungsschlüssel außerhalb von verwenden, AWS um einen durch den KMS-Schlüssel verschlüsselten Chiffretext mit dem entsprechenden öffentlichen Schlüssel zu entschlüsseln. Sie können Ihren asymmetrischen KMS-Schlüssel auch verwenden, um einen asymmetrischen Chiffretext zu entschlüsseln, der außerhalb von generiert wurde. AWS
+ Asymmetrische Signaturschlüssel — Sie können Ihren asymmetrischen KMS-Schlüssel mit importiertem Schlüsselmaterial verwenden, um digitale Signaturen zu überprüfen, die mit Ihrem privaten Signaturschlüssel außerhalb von generiert wurden. AWS Sie können Ihren asymmetrischen öffentlichen Signaturschlüssel auch außerhalb von verwenden, um Signaturen AWS zu überprüfen, die mit Ihrem asymmetrischen KMS-Schlüssel generiert wurden.
+ Schlüssel für asymmetrische Schlüsselvereinbarungen — Sie können Ihren KMS-Schlüssel für die asymmetrische Schlüsselvereinbarung mit importiertem Schlüsselmaterial verwenden, um gemeinsam genutzte Geheimnisse mit einem Peer außerhalb von abzuleiten. AWS
Wenn Sie dasselbe Schlüsselmaterial in verschiedene KMS-Schlüssel desselben AWS-Region importieren, sind diese Schlüssel ebenfalls interoperabel. Um interoperable KMS-Schlüssel in verschiedenen Sprachen zu erstellen AWS-Regionen, erstellen Sie einen Schlüssel für mehrere Regionen mit importiertem Schlüsselmaterial.
**RSA-Privatschlüssel**
+ AWS KMS erfordert, dass importierte private RSA-Schlüssel Primfaktoren aufweisen, die dem in [FIPS 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf), Abschnitt A. 1.3 beschriebenen Test entsprechen. Andere Software oder Geräte verwenden möglicherweise andere Algorithmen zur Validierung dieser Primfaktoren von privaten RSA-Schlüsseln. In seltenen Fällen werden Schlüssel, die mit anderen Algorithmen validiert wurden, möglicherweise nicht von akzeptiert. AWS KMS
**Symmetrische Verschlüsselungsschlüssel sind nicht portabel oder interoperabel**
Die daraus resultierenden symmetrischen Chiffretexte sind weder portabel noch interoperabel. AWS KMS AWS KMS veröffentlicht nicht das symmetrische Chiffretext-Format, das für die Portabilität erforderlich ist, und das Format kann sich ohne vorherige Ankündigung ändern.
+ AWS KMS kann symmetrische Chiffretexte, die Sie außerhalb verschlüsseln, nicht entschlüsseln AWS, selbst wenn Sie importiertes Schlüsselmaterial verwenden.
+ AWS KMS unterstützt nicht die Entschlüsselung von AWS KMS symmetrischem Chiffretext außerhalb von AWS KMS, selbst wenn der Chiffretext unter einem KMS-Schlüssel mit importiertem Schlüsselmaterial verschlüsselt wurde.
+ KMS-Schlüssel mit demselben importierten Schlüsselmaterial sind nicht interoperabel. Der symmetrische Chiffretext, der Chiffretext AWS KMS generiert, der für jeden KMS-Schlüssel spezifisch ist. Dieses Geheimtextformat garantiert, dass nur der KMS-Schlüssel, der die Daten verschlüsselt hat, diese entschlüsseln kann.
Außerdem können Sie keine AWS Tools wie die clientseitige Verschlüsselung [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)oder die [clientseitige Amazon S3 S3-Verschlüsselung verwenden, um symmetrische Chiffretexte](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html) zu entschlüsseln AWS KMS .
Daher können Sie Schlüssel mit importiertem Schlüsselmaterial nicht zur Unterstützung von Schlüsseltreuhandvereinbarungen verwenden, bei denen ein autorisierter Dritter mit eingeschränktem Zugriff auf Schlüsselmaterial bestimmte Chiffretexte außerhalb von entschlüsseln kann. AWS KMS Um die Treuhandfunktion für Schlüssel zu unterstützen, verwenden Sie die [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/java-example-code.html#java-example-multiple-providers), um Ihre Nachricht mit einem Schlüssel zu verschlüsseln, der unabhängig von AWS KMS ist.
# Schützen von importiertem Schlüsselmaterial
Das Schlüsselmaterial, das Sie importieren, ist während des Transports und im Ruhezustand geschützt. Bevor Sie das Schlüsselmaterial importieren, verschlüsseln (oder „verpacken“) Sie das Schlüsselmaterial mit dem öffentlichen Schlüssel eines RSA-Schlüsselpaars, das in AWS KMS Hardware-Sicherheitsmodulen (HSMs) generiert wurde, die im Rahmen des [FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) Cryptographic Module Validation Program validiert wurden. Sie können das Schlüsselmaterial direkt mit dem öffentlichen Schlüssel zur Verpackung verschlüsseln oder das Schlüsselmaterial mit einem symmetrischen AES-Schlüssel verschlüsseln und anschließend den symmetrischen AES-Schlüssel mit dem öffentlichen RSA-Schlüssel verschlüsseln.
AWS KMS Entschlüsselt das Schlüsselmaterial nach Erhalt mit dem entsprechenden privaten Schlüssel in einem AWS KMS HSM und verschlüsselt es erneut unter einem symmetrischen AES-Schlüssel, der nur im flüchtigen Speicher des HSM vorhanden ist. Ihr Schlüsselmaterial verlässt zu keiner Zeit Ihr HSM im Klartext. Es wird nur entschlüsselt, während es verwendet wird, und nur innerhalb. AWS KMS HSMs
Die Verwendung Ihres KMS-Schlüssels mit importiertem Schlüsselmaterial hängt ausschließlich von den [Zugriffskontrollrichtlinien](control-access.md) ab, die Sie für den KMS-Schlüssel festlegen. Darüber hinaus können Sie [Aliase](kms-alias.md) und [Tags](tagging-keys.md) verwenden, um den Zugriff auf den KMS-Schlüssel zu identifizieren und zu [kontrollieren](abac.md). Sie können den Schlüssel [aktivieren und deaktivieren](enabling-keys.md), ihn [anzeigen](viewing-keys.md) und [überwachen](monitoring-overview.md), indem Sie Dienste wie AWS CloudTrail verwenden.
Sie behalten jedoch die einzige ausfallsichere Kopie Ihres Schlüsselmaterials. Im Gegenzug für diese zusätzliche Kontrolle sind Sie für die Haltbarkeit und allgemeine Verfügbarkeit des importierten Schlüsselmaterials verantwortlich. AWS KMS ist darauf ausgelegt, importiertes Schlüsselmaterial hochverfügbar zu halten. Die Haltbarkeit von importiertem Schlüsselmaterial wird jedoch AWS KMS nicht auf dem gleichen Niveau gehalten wie das AWS KMS generierte Schlüsselmaterial.
Dieser Unterschied in der Haltbarkeit ist in den folgenden Fällen von Bedeutung:
+ Wenn Sie [eine Ablaufzeit für Ihr importiertes Schlüsselmaterial festlegen](importing-keys-import-key-material.md#importing-keys-expiration), AWS KMS wird das Schlüsselmaterial nach Ablauf gelöscht. AWS KMS löscht den KMS-Schlüssel oder seine Metadaten nicht. Sie können [einen CloudWatch Amazon-Alarm erstellen](imported-key-material-expiration-alarm.md), der Sie benachrichtigt, wenn importiertes Schlüsselmaterial sich dem Ablaufdatum nähert.
Sie können kein Schlüsselmaterial löschen, das für einen KMS-Schlüssel AWS KMS generiert wurde, und Sie können nicht festlegen, dass AWS KMS Schlüsselmaterial abläuft.
+ Wenn Sie [importiertes Schlüsselmaterial manuell AWS KMS löschen](importing-keys-delete-key-material.md), wird das Schlüsselmaterial gelöscht, jedoch nicht der KMS-Schlüssel oder seine Metadaten. Im Gegensatz dazu erfordert die [Planung der Schlüssellöschung](deleting-keys.md#deleting-keys-how-it-works) eine Wartezeit von 7 bis 30 Tagen. Danach werden der KMS-Schlüssel, seine Metadaten und sein Schlüsselmaterial AWS KMS dauerhaft gelöscht.
+ Im unwahrscheinlichen Fall bestimmter regionaler Ausfälle, die Auswirkungen haben AWS KMS (z. B. ein vollständiger Stromausfall), AWS KMS kann Ihr importiertes Schlüsselmaterial nicht automatisch wiederhergestellt werden. Der KMS-Schlüssel und seine Metadaten AWS KMS können jedoch wiederhergestellt werden.
Sie *müssen* eine Kopie des importierten Schlüsselmaterials außerhalb eines von AWS Ihnen kontrollierten Systems aufbewahren. Wir empfehlen, eine exportierbare Kopie des importierten Schlüsselmaterials in einem Schlüsselverwaltungssystem, z. B. einem HSM, zu speichern. Als bewährte Methode sollten Sie einen Verweis auf den KMS-Schlüssel-ARN und die von generierte Schlüsselmaterial-ID AWS KMS zusammen mit der exportierbaren Kopie des Schlüsselmaterials speichern. Wenn Ihr importiertes Schlüsselmaterial gelöscht wird oder abläuft, ist der zugehörige KMS-Schlüssel unbrauchbar, bis Sie dasselbe Schlüsselmaterial erneut importieren. Wenn Ihr importiertes Schlüsselmaterial dauerhaft verloren geht, ist jeder unter dem KMS-Schlüssel verschlüsselte Geheimtext nicht wiederherstellbar.
**Wichtig**
Symmetrischen Verschlüsselungsschlüsseln können mehrere Schlüsselmaterialien zugeordnet sein. Der gesamte KMS-Schlüssel wird unbrauchbar, sobald Sie eines dieser Schlüsselmaterialien löschen oder wenn eines dieser Schlüsselmaterialien abläuft (es sei denn, das gelöschte oder ablaufende Schlüsselmaterial ist `PENDING_ROTATION` oder). `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` Sie müssen alle abgelaufenen oder gelöschten Schlüsselmaterialien, die mit einem solchen Schlüssel verknüpft sind, erneut importieren, bevor der Schlüssel für kryptografische Operationen verwendet werden kann.