KMSSchlüssel in externen Schlüsselspeichern

Um die Schlüssel in einem externen Schlüsselspeicher zu erstellen, anzuzeigen, zu verwalten, zu verwenden und das Löschen von KMS Schlüsseln in einem externen Schlüsselspeicher zu planen, verwenden Sie Verfahren, die denen für andere KMS Schlüssel sehr ähnlich sind. Wenn Sie jedoch einen KMS Schlüssel in einem externen Schlüsselspeicher erstellen, geben Sie einen externen Schlüsselspeicher und einen externen Schlüssel an. Wenn Sie einen KMS Schlüssel in einem externen Schlüsselspeicher verwenden, werden Verschlüsselungs- und Entschlüsselungsvorgänge von Ihrem externen Schlüsselmanager unter Verwendung des angegebenen externen Schlüssels ausgeführt.

AWS KMS kann in Ihrem externen Schlüsselmanager keine kryptografischen Schlüssel erstellen, anzeigen, aktualisieren oder löschen. AWS KMS greift niemals direkt auf Ihren externen Schlüsselmanager oder einen externen Schlüssel zu. Alle Anforderungen für kryptografische Vorgänge werden vom Proxy Ihres externen Schlüsselspeichers vermittelt. Um einen KMS Schlüssel in einem externen Schlüsselspeicher zu verwenden, muss der externe Schlüsselspeicher, der den KMS Schlüssel hostet, mit seinem externen Schlüsselspeicher-Proxy verbunden sein.

Unterstützte Features

Zusätzlich zu den in diesem Abschnitt beschriebenen Verfahren können Sie mit KMS Schlüsseln in einem externen Schlüsselspeicher wie folgt vorgehen:

Verwenden Sie wichtige Richtlinien, IAMRichtlinien und Genehmigungen, um den Zugriff auf die KMS Schlüssel zu kontrollieren.
Aktivieren und deaktivieren Sie die KMS Schlüssel. Diese Aktionen wirken sich nicht auf den externen Schlüssel in Ihrem externen Schlüsselmanager aus.
Weisen Sie Tags zu, erstellen Sie Aliase und verwenden Sie die attributebasierte Zugriffskontrolle (ABAC), um den Zugriff auf die Schlüssel zu autorisieren. KMS
Verwenden Sie die KMS Schlüssel, um die folgenden kryptografischen Operationen durchzuführen:
Die Operationen, die asymmetrische Datenschlüsselpaare generieren, GenerateDataKeyPairund GenerateDataKeyPairWithoutPlaintext, werden in benutzerdefinierten Schlüsselspeichern nicht unterstützt.
Verwenden Sie die KMS Schlüssel AWS-Services , um sie in vom Kunden verwaltete Schlüssel zu integrieren AWS KMS und zu unterstützen.

Nicht unterstützte Funktionen

Externe Schlüsselspeicher unterstützen nur symmetrische KMS Verschlüsselungsschlüssel. Sie können keine HMAC KMS Schlüssel oder asymmetrischen KMS Schlüssel in einem externen Schlüsselspeicher erstellen.
GenerateDataKeyPairund GenerateDataKeyPairWithoutPlaintextwerden für KMS Schlüssel in einem externen Schlüsselspeicher nicht unterstützt.
Sie können eine AWS:KMS: AWS CloudFormation :Key-Vorlage nicht verwenden, um einen externen Schlüsselspeicher oder einen KMS Schlüssel in einem externen Schlüsselspeicher zu erstellen.
Multiregionale Schlüssel werden in einem externen Schlüsselspeicher nicht unterstützt.
KMSSchlüssel mit importiertem Schlüsselmaterial werden in einem externen Schlüsselspeicher nicht unterstützt.
Die automatische Schlüsselrotation wird für KMS Schlüssel in einem externen Schlüsselspeicher nicht unterstützt.

Verwenden von KMS Schlüsseln in einem externen Schlüsselspeicher

Wenn Sie Ihren KMS Schlüssel in einer Anfrage verwenden, identifizieren Sie den KMS Schlüssel anhand seiner Schlüssel-ID, seines SchlüsselsARN, seines Alias oder seines Alias ARN. Sie müssen den externen Schlüsselspeicher nicht angeben. Die Antwort enthält dieselben Felder, die für jeden symmetrischen KMS Verschlüsselungsschlüssel zurückgegeben werden. Wenn Sie jedoch einen KMS Schlüssel in einem externen Schlüsselspeicher verwenden, werden Verschlüsselungs- und Entschlüsselungsvorgänge von Ihrem externen Schlüsselmanager unter Verwendung des externen Schlüssels ausgeführt, der dem KMS Schlüssel zugeordnet ist.

Um sicherzustellen, dass Chiffretext, der mit einem KMS Schlüssel in einem externen Schlüsselspeicher verschlüsselt wurde, mindestens genauso sicher ist wie jeder Chiffretext, der mit einem KMS Standardschlüssel verschlüsselt wurde, verwendet doppelte Verschlüsselung. AWS KMS Daten werden zunächst mithilfe von Schlüsselmaterial verschlüsselt. AWS KMS AWS KMS Anschließend werden sie von Ihrem externen Schlüsselmanager unter Verwendung des externen Schlüssels für den KMS Schlüssel verschlüsselt. Um doppelt verschlüsselten Chiffretext zu entschlüsseln, wird der Chiffretext zunächst von Ihrem externen Schlüsselmanager unter Verwendung des externen Schlüssels für den Schlüssel entschlüsselt. KMS Anschließend wird es unter Verwendung des Schlüsselmaterials für den Schlüssel entschlüsselt. AWS KMS AWS KMS KMS

Damit dies möglich ist, sind die folgenden Bedingungen erforderlich.

Der Schlüsselstatus des KMS Schlüssels muss sein. Enabled Den Schlüsselstatus finden Sie im Feld Status für vom Kunden verwaltete Schlüssel, die AWS KMS Konsole oder das KeyState Feld in der DescribeKeyAntwort.
Der externe Schlüsselspeicher, der den KMS Schlüssel hostet, muss mit seinem externen Schlüsselspeicher-Proxy verbunden sein, d. h. der Verbindungsstatus des externen Schlüsselspeichers muss seinCONNECTED.

Sie können den Verbindungsstatus auf der Seite Externe Schlüsselspeicher in der AWS KMS Konsole oder in der DescribeCustomKeyStoresAntwort anzeigen. Der Verbindungsstatus des externen Schlüsselspeichers wird auch auf der Detailseite für den KMS Schlüssel in der AWS KMS Konsole angezeigt. Wählen Sie auf der Detailseite die Registerkarte Cryptographic configuration (Kryptografische Konfiguration) und sehen Sie im Feld Connection state (Verbindungsstatus) im Abschnitt Custom key store (Benutzerdefinierter Schlüsselspeicher) nach.

Wenn der Verbindungsstatus DISCONNECTED ist, müssen Sie zuerst eine Verbindung herstellen. Wenn der Verbindungsstatus FAILED lautet, müssen Sie das Problem lösen, den externen Schlüsselspeicher trennen und ihn dann verbinden. Detaillierte Anweisungen finden Sie unter Externe Schlüsselspeicher Connect und trennen.
Der Proxy des externen Schlüsselspeichers muss in der Lage sein, den externen Schlüssel zu finden.
Der externe Schlüssel muss aktiviert sein und er muss die Verschlüsselung und Entschlüsselung durchführen.

Der Status des externen Schlüssels ist unabhängig von Änderungen im Schlüsselstatus des Schlüssels, einschließlich der Aktivierung und Deaktivierung des KMS Schlüssels, und hat keinen Einfluss daraufKMS. Ebenso ändert das Deaktivieren oder Löschen des externen Schlüssels den Schlüsselstatus des Schlüssels nicht, kryptografische Operationen, die den zugehörigen KMS KMS Schlüssel verwenden, schlagen jedoch fehl.

Wenn diese Bedingungen nicht erfüllt sind, schlägt der kryptografische Vorgang fehl und es wird eine Ausnahme AWS KMS zurückgegeben. KMSInvalidStateException Möglicherweise müssen Sie den externen Schlüsselspeicher erneut verbinden oder Tools Ihres externen Schlüsselmanagers verwenden, um Ihren externen Schlüssel neu zu konfigurieren oder zu reparieren. Weitere Informationen finden Sie unter Fehlerbehebung bei externen Schlüsselspeichern.

Beachten Sie bei der Verwendung der KMS Schlüssel in einem externen Schlüsselspeicher, dass sich die KMS Schlüssel in jedem externen Schlüsselspeicher ein benutzerdefiniertes Anforderungskontingent für kryptografische Operationen teilen. Wenn Sie das Kontingent überschreiten, wird a AWS KMS ThrottlingException zurückgegeben. Details zum Anforderungskontingent für benutzerdefinierte Schlüsselspeicher finden Sie unter Anforderungskontingente für benutzerdefinierte Schlüsselspeicher.

Weitere Informationen

Weitere Informationen zu externen Schlüsselspeichern finden Sie unterExterne Schlüsselspeicher.
Weitere Informationen über Schlüsselmaterial in externen Schlüsselspeichern finden Sie unterExterner Schlüssel.
Informationen zum Erstellen von KMS Schlüsseln in einem externen Schlüsselspeicher finden Sie unterEinen KMS Schlüssel in externen Schlüsselspeichern erstellen.
Informationen zum Identifizieren und Anzeigen von KMS Schlüsseln in einem externen Schlüsselspeicher finden Sie unterIdentifizieren Sie KMS Schlüssel in externen Schlüsselspeichern.
Informationen zu besonderen Überlegungen beim Löschen von KMS Schlüsseln in einem externen Schlüsselspeicher finden Sie unter KMSSchlüssel aus einem externen Schlüsselspeicher löschen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

KMSSchlüssel in einem HSM Cloud-Schlüsselspeicher

AWS KMS Grundlagen der Kryptografie