Führen Sie Offline-Operationen mit öffentlichen Schlüsseln durch - AWS Key Management Service
Besondere Überlegungen zum Herunterladen öffentlicher Schlüssel

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Führen Sie Offline-Operationen mit öffentlichen Schlüsseln durch

Bei einem asymmetrischen KMS Schlüssel wird der private Schlüssel in unverschlüsselt erstellt AWS KMS und verlässt AWS KMS ihn nie unverschlüsselt. Um den privaten Schlüssel zu verwenden, müssen Sie anrufen. AWS KMS Sie können den öffentlichen Schlüssel darin verwenden, AWS KMS indem Sie die AWS KMS API Operationen aufrufen. Oder Sie können den öffentlichen Schlüssel herunterladen und für die Verwendung außerhalb von freigeben AWS KMS.

Sie können einen öffentlichen Schlüssel teilen, damit andere Daten verschlüsseln können AWS KMS , die Sie nur mit Ihrem privaten Schlüssel entschlüsseln können. Oder, um anderen zu erlauben, eine digitale Signatur, die Sie mit Ihrem privaten Schlüssel generiert haben, außerhalb von AWS KMS zu überprüfen. Oder um Ihren öffentlichen Schlüssel mit einem Peer zu teilen, um daraus ein gemeinsames Geheimnis abzuleiten.

Wenn Sie den öffentlichen Schlüssel in Ihrem internen asymmetrischen KMS Schlüssel verwenden AWS KMS, profitieren Sie von der Authentifizierung, Autorisierung und Protokollierung, die Teil jedes AWS KMS Vorgangs sind. Außerdem reduzieren Sie das Risiko, Daten zu verschlüsseln, die nicht entschlüsselt werden können. Diese Funktionen sind außerhalb von AWS KMS nicht wirksam. Details hierzu finden Sie unter Besondere Überlegungen zum Herunterladen öffentlicher Schlüssel.

Tipp

Suchen Sie nach Datenschlüsseln oder SSH Schlüsseln? In diesem Thema wird erläutert, wie Sie asymmetrische Schlüssel in AWS Key Management Service verwalten, bei denen der private Schlüssel nicht exportierbar ist. Informationen zu exportierbaren Datenschlüsselpaaren, bei denen der private Schlüssel durch einen symmetrischen KMS Verschlüsselungsschlüssel geschützt ist, finden Sie unter. GenerateDataKeyPair Hilfe zum Herunterladen des öffentlichen Schlüssels, der mit einer EC2 Amazon-Instance verknüpft ist, finden Sie unter Abrufen des öffentlichen Schlüssels im EC2Amazon-Benutzerhandbuch und im EC2Amazon-Benutzerhandbuch.

Themen

Besondere Überlegungen zum Herunterladen öffentlicher Schlüssel

Zum Schutz Ihrer KMS Schlüssel AWS KMS bietet es Zugriffskontrollen, authentifizierte Verschlüsselung und detaillierte Protokolle aller Vorgänge. AWS KMS ermöglicht es Ihnen auch, die Verwendung von KMS Schlüsseln vorübergehend oder dauerhaft zu verhindern. Schließlich sind die AWS KMS Operationen so konzipiert, dass das Risiko der Verschlüsselung von Daten, die nicht entschlüsselt werden können, minimiert wird. Diese Funktionen sind nicht verfügbar, wenn Sie heruntergeladene öffentliche Schlüssel außerhalb von verwenden. AWS KMS

Autorisierung

Wichtige Richtlinien und IAMRichtlinien, die den Zugriff auf den KMS Schlüssel innerhalb von steuern, AWS KMS haben keine Auswirkungen auf Vorgänge, die außerhalb von ausgeführt werden AWS. Jeder Benutzer, der Zugriff auf den öffentlichen Schlüssel hat, kann ihn außerhalb von verwenden, AWS KMS auch wenn er nicht berechtigt ist, Daten zu verschlüsseln oder Signaturen mit dem KMS Schlüssel zu überprüfen.

Nutzungsbeschränkungen für Schlüssel

Einschränkungen bei der Verwendung von Schlüsseln sind außerhalb von AWS KMS nicht wirksam. Wenn Sie den Verschlüsselungsvorgang mit einem KMS Schlüssel aufrufen, der den Wert von hatSIGN_VERIFY, schlägt KeyUsage der AWS KMS Vorgang fehl. Wenn Sie Daten jedoch außerhalb oder AWS KMS mit einem öffentlichen Schlüssel aus einem KMS Schlüssel mit einem KeyUsage von SIGN_VERIFY oder verschlüsselnKEY_AGREEMENT, können die Daten nicht entschlüsselt werden.

Algorithmusbeschränkungen

Einschränkungen der AWS KMS unterstützten Verschlüsselungs- und Signaturalgorithmen sind außerhalb von nicht wirksam. AWS KMS Wenn Sie Daten mit dem öffentlichen Schlüssel eines externen Schlüssels verschlüsseln und einen KMS Verschlüsselungsalgorithmus verwenden AWS KMS, der AWS KMS dies nicht unterstützt, können die Daten nicht entschlüsselt werden.

Schlüssel deaktivieren und löschen KMS

Maßnahmen, die Sie ergreifen können, um die Verwendung eines KMS Schlüssels bei einem kryptografischen Vorgang innerhalb von zu verhindern, verhindern AWS KMS nicht, dass jemand den öffentlichen Schlüssel außerhalb von verwendet. AWS KMS Das Deaktivieren eines KMS Schlüssels, das Planen des Löschens eines KMS Schlüssels, das Löschen eines KMS Schlüssels oder das Löschen des Schlüsselmaterials aus einem KMS Schlüssel haben beispielsweise keine Auswirkungen auf einen öffentlichen Schlüssel außerhalb von. AWS KMS Wenn Sie einen asymmetrischen KMS Schlüssel löschen oder sein Schlüsselmaterial löschen oder verlieren, können Daten, die Sie mit einem öffentlichen Schlüssel außerhalb von AWS KMS verschlüsseln, nicht wiederhergestellt werden.

Protokollierung

AWS CloudTrail Protokolle, die jeden AWS KMS Vorgang aufzeichnen, einschließlich der Anfrage, der Antwort, des Datums, der Uhrzeit und des autorisierten Benutzers, zeichnen nicht die Verwendung des öffentlichen Schlüssels außerhalb von auf. AWS KMS

Offline-Überprüfung mit SM2 Schlüsselpaaren (nur Regionen Chinas)

Um eine Signatur außerhalb oder AWS KMS mit einem SM2 öffentlichen Schlüssel zu verifizieren, müssen Sie die identifizierende ID angeben. Wird standardmäßig 1234567812345678 als Unterscheidungs-ID AWS KMS verwendet. Weitere Informationen finden Sie unter Offline-Überprüfung mit SM2 Schlüsselpaaren (nur Regionen in China).