Verwenden von KMS-Schlüsseln in einem externen Schlüsselspeicher - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von KMS-Schlüsseln in einem externen Schlüsselspeicher

Nachdem Sie einen KMS-Schlüssel zur symmetrischen Verschlüsselung in einem externen Schlüsselspeicher erstellt haben, können Sie ihn für die folgenden kryptografischen Vorgänge verwenden:

Die Operationen zur symmetrischen Verschlüsselung, die asymmetrische Datenschlüsselpaare generieren, GenerateDataKeyPair und GenerateDataKeyPairWithoutPlaintext, werden in benutzerdefinierten Schlüsselspeichern nicht unterstützt.

Ein Verschlüsselungskontext wird für alle kryptografischen Vorgänge mit KMS-Schlüsseln in einem externen Schlüsselspeicher unterstützt. Wie immer ist die Verwendung eines Verschlüsselungskontexts eine bewährte Methode, die AWS KMS empfiehlt.

Wenn Sie Ihren KMS-Schlüssel in einer Anforderung verwenden, identifizieren Sie den KMS-Schlüssel durch Schlüssel-ID, Schlüssel-ARN, Alias oder Alias-ARN. Sie müssen den externen Schlüsselspeicher nicht angeben. Die Antwort enthält die gleichen Felder, die auch für alle anderen KMS-Schlüssel mit symmetrischer Verschlüsselung zurückgegeben werden. Wenn Sie jedoch einen KMS-Schlüssel in einem externen Schlüsselspeicher verwenden, werden die Ver- und Entschlüsselungsvorgänge von Ihrem externen Schlüsselmanager unter Verwendung des externen Schlüssels ausgeführt, der dem KMS-Schlüssel zugeordnet ist.

Um sicherzustellen, dass ein mit einem KMS-Schlüssel in einem externen Schlüsselspeicher verschlüsselter Geheimtext mindestens so sicher ist wie ein mit einem Standard-KMS-Schlüssel verschlüsselter Geheimtext, verwendet AWS KMS eine doppelte Verschlüsselung. Die Daten werden zunächst in AWS KMS mit AWS KMS-Schlüsselmaterial verschlüsselt. Dann werden sie von Ihrem externen Schlüsselmanager mit dem externen Schlüssel für den KMS-Schlüssel verschlüsselt. Um doppelt verschlüsselten Geheimtext zu entschlüsseln, wird der Geheimtext zunächst von Ihrem externen Schlüsselmanager mit dem externen Schlüssel für den KMS-Schlüssel entschlüsselt. Dann wird er in AWS KMS entschlüsselt, wobei das AWS KMS-Schlüsselmaterial für den KMS-Schlüssel verwendet wird.

Damit dies möglich ist, sind die folgenden Bedingungen erforderlich.

  • Der Schlüsselstatus des KMS-Schlüssels muss Enabled lauten. Den Schlüsselstatus finden Sie im Feld Status für vom Kunden verwaltete Schlüssel in der AWS KMS Konsole oder im KeyState Feld in der DescribeKey Antwort.

  • Der externe Schlüsselspeicher, der den KMS-Schlüssel hostet, muss mit seinem externen Schlüsselspeicher-Proxy verbunden sein, d. h. der Verbindungsstatus des externen Schlüsselspeichers muss CONNECTED sein.

    Sie können den Verbindungsstatus auf der Seite Externe Schlüsselspeicher in der AWS KMS Konsole oder in der DescribeCustomKeyStores Antwort anzeigen. Der Verbindungsstatus des externen Schlüsselspeicher wird auch auf der Detailseite für den KMS-Schlüssel in der AWS KMS-Konsole angezeigt. Wählen Sie auf der Detailseite die Registerkarte Cryptographic configuration (Kryptografische Konfiguration) und sehen Sie im Feld Connection state (Verbindungsstatus) im Abschnitt Custom key store (Benutzerdefinierter Schlüsselspeicher) nach.

    Wenn der Verbindungsstatus DISCONNECTED ist, müssen Sie zuerst eine Verbindung herstellen. Wenn der Verbindungsstatus FAILED lautet, müssen Sie das Problem lösen, den externen Schlüsselspeicher trennen und ihn dann verbinden. Entsprechende Anweisungen finden Sie unter Herstellen und Trennen der Verbindung eines externen Schlüsselspeichers.

  • Der Proxy des externen Schlüsselspeichers muss in der Lage sein, den externen Schlüssel zu finden.

  • Der externe Schlüssel muss aktiviert sein und er muss die Verschlüsselung und Entschlüsselung durchführen.

    Der Status des externen Schlüssels ist unabhängig von Änderungen des Schlüsselstatus des KMS-Schlüssels, einschließlich der Aktivierung und Deaktivierung des KMS-Schlüssels, und wird von diesen nicht beeinflusst. Ebenso ändert das Deaktivieren oder Löschen des externen Schlüssels nicht den Schlüsselstatus des KMS-Schlüssels, aber kryptografische Vorgänge, die den zugehörigen KMS-Schlüssel verwenden, schlagen fehl.

Wenn diese Bedingungen nicht erfüllt sind, schlägt die kryptografische Produktion fehl und AWS KMS gibt die Ausnahme KMSInvalidStateException zurück. Möglicherweise müssen Sie den externen Schlüsselspeicher erneut verbinden oder Tools Ihres externen Schlüsselmanagers verwenden, um Ihren externen Schlüssel neu zu konfigurieren oder zu reparieren. Weitere Informationen finden Sie unter Fehlerbehebung bei externen Schlüsselspeichern.

Bei der Verwendung von KMS-Schlüsseln in einem externen Schlüsselspeicher ist zu beachten, dass die KMS-Schlüssel in jedem externen Schlüsselspeicher gemeinsam ein Anforderungskontingent für benutzerdefinierte Schlüsselspeicher für kryptografische Vorgänge nutzen. Wenn Sie das Kontingent überschreiten, gibt AWS KMS ThrottlingException zurück. Details zum Anforderungskontingent für benutzerdefinierte Schlüsselspeicher finden Sie unter Anforderungskontingente für benutzerdefinierte Schlüsselspeicher.