Buat KMS kunci dengan bahan kunci yang diimpor - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat KMS kunci dengan bahan kunci yang diimpor

Materi kunci yang diimpor memungkinkan Anda melindungi AWS sumber daya Anda di bawah kunci kriptografi yang Anda hasilkan. Materi utama yang Anda impor dikaitkan dengan KMS kunci tertentu. Anda dapat mengimpor ulang materi kunci yang sama ke KMS kunci yang sama, tetapi Anda tidak dapat mengimpor materi kunci yang berbeda ke dalam KMS kunci dan Anda tidak dapat mengonversi KMS kunci yang dirancang untuk bahan kunci yang diimpor menjadi KMS kunci dengan bahan AWS KMS kunci.

Gambaran umum berikut menjelaskan cara mengimpor material kunci Anda ke dalam AWS KMS. Untuk detail selengkapnya tentang setiap langkah dalam proses, lihat topik yang sesuai.

  1. Buat KMS kunci tanpa bahan kunci — Asal harusEXTERNAL. Asal kunci EXTERNAL menunjukkan bahwa kunci dirancang untuk bahan kunci impor dan AWS KMS mencegah menghasilkan bahan kunci untuk KMS kunci. Pada langkah selanjutnya Anda akan mengimpor materi kunci Anda sendiri ke dalam KMS kunci ini.

    Materi kunci yang Anda impor harus kompatibel dengan spesifikasi kunci dari kunci terkait. AWS KMS Untuk informasi lebih lanjut tentang kompatibilitas, lihat. Persyaratan untuk bahan kunci impor

  2. Unduh kunci publik pembungkus dan token impor — Setelah menyelesaikan langkah 1, unduh kunci publik pembungkus dan token impor. Barang-barang ini melindungi materi utama Anda saat diimpor AWS KMS.

    Pada langkah ini, Anda memilih jenis (“spesifikasi kunci”) dari kunci RSA pembungkus dan algoritma pembungkus yang akan Anda gunakan untuk mengenkripsi data Anda dalam perjalanan. AWS KMS Anda dapat memilih spesifikasi kunci pembungkus dan algoritma kunci pembungkus yang berbeda setiap kali Anda mengimpor atau mengimpor ulang materi kunci yang sama.

  3. Enkripsi materi kunci — Gunakan kunci publik pembungkus yang Anda unduh di langkah 2 untuk mengenkripsi materi kunci yang Anda buat di sistem Anda sendiri.

  4. Mengimpor materi kunci — Unggah material kunci terenkripsi yang Anda buat pada langkah 3 dan token impor yang Anda unduh di langkah 2.

    Pada tahap ini, Anda dapat mengatur waktu kedaluwarsa opsional. Ketika materi kunci yang diimpor kedaluwarsa, AWS KMS menghapusnya, dan KMS kuncinya menjadi tidak dapat digunakan. Untuk terus menggunakan KMS kunci, Anda harus mengimpor ulang materi kunci yang sama.

    Ketika operasi impor selesai dengan sukses, status kunci dari KMS kunci berubah dari PendingImport keEnabled. Anda sekarang dapat menggunakan KMS kunci dalam operasi kriptografi.

AWS KMS merekam entri di AWS CloudTrail log Anda saat Anda membuat KMS kunci, mengunduh kunci publik pembungkus dan token impor, dan mengimpor materi kunci. AWS KMS juga mencatat entri saat Anda menghapus materi kunci yang diimpor atau saat AWS KMS menghapus materi kunci yang kedaluwarsa.

Izin untuk mengimpor material kunci

Untuk membuat dan mengelola KMS kunci dengan materi kunci yang diimpor, pengguna memerlukan izin untuk operasi dalam proses ini. Anda dapat memberikankms:GetParametersForImport,kms:ImportKeyMaterial, dan kms:DeleteImportedKeyMaterial izin dalam kebijakan kunci saat membuat KMS kunci. Di AWS KMS konsol, izin ini ditambahkan secara otomatis untuk administrator kunci saat Anda membuat kunci dengan asal materi kunci eksternal.

Untuk membuat KMS kunci dengan materi kunci yang diimpor, prinsipal memerlukan izin berikut.

Untuk mengimpor kembali materi kunci yang diimpor, prinsipal membutuhkan izin kms: GetParametersForImport dan kms:. ImportKeyMaterial

Untuk menghapus materi kunci yang diimpor, prinsipal membutuhkan DeleteImportedKeyMaterial izin kms:.

Misalnya, untuk memberikan KMSAdminRole izin contoh untuk mengelola semua aspek KMS kunci dengan materi kunci yang diimpor, sertakan pernyataan kebijakan kunci seperti berikut ini dalam kebijakan kunci KMS kunci.

{ "Sid": "Manage KMS keys with imported key material", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole" }, "Action": [ "kms:GetParametersForImport", "kms:ImportKeyMaterial", "kms:DeleteImportedKeyMaterial" ] }

Persyaratan untuk bahan kunci impor

Materi kunci yang Anda impor harus kompatibel dengan spesifikasi kunci dari KMS kunci terkait. Untuk pasangan kunci asimetris, impor hanya kunci pribadi pasangan. AWS KMS kunci publik berasal dari kunci privat.

AWS KMS mendukung spesifikasi kunci berikut untuk kunci dengan bahan KMS kunci yang diimpor.

KMSspesifikasi kunci kunci Persyaratan material utama

Kunci enkripsi simetris

SYMMETRIC_DEFAULT

256-bit (32 byte) data biner

Di Wilayah China, itu harus berupa 128-bit (16 byte) data biner.

HMACkunci

HMAC_224

HMAC_256

HMAC_384

HMAC_512

HMACbahan kunci harus sesuai dengan RFC2104.

Panjang kunci harus sesuai dengan panjang yang ditentukan oleh spesifikasi kunci.

RSAkunci pribadi asimetris

RSA_2048

RSA_3072

RSA_4096

Kunci pribadi RSA asimetris yang Anda impor harus menjadi bagian dari key pair yang sesuai dengan 3447. RFC

Modulus: 2048 bit, 3072 bit atau 4096 bit

Jumlah bilangan prima: 2 (RSAkunci multi-prima tidak didukung)

Materi kunci asimetris harus BER dikodekan atau DER -dikodekan dalam Public-Key Cryptography Standards () #8 format yang sesuai dengan 5208. PKCS RFC

Kunci pribadi asimetris kurva elips

ECC_ NIST _P256 (secp256r1)

ECC_ NIST _P384 (secp384r1)

ECC_ NIST _P521 (secp521r1)

ECC_ SECG _P256K1 (secp256k1)

Kunci pribadi ECC asimetris yang Anda impor harus menjadi bagian dari key pair yang sesuai dengan 5915. RFC

Kurva: NIST P-256, NIST P-384, P-521, NIST atau Secp256K1

Parameter: Kurva bernama saja (ECCkunci dengan parameter eksplisit ditolak)

Koordinat titik publik: Dapat dikompresi, tidak dikompresi, atau proyektif

Materi kunci asimetris harus BER dikodekan atau DER -dikodekan dalam Public-Key Cryptography Standards () #8 format yang sesuai dengan 5208. PKCS RFC

SM2kunci pribadi asimetris (hanya Wilayah China)

Kunci pribadi SM2 asimetris yang Anda impor harus menjadi bagian dari key pair yang sesuai dengan GM/T 0003.

Kurva: SM2

Parameter: Kurva bernama saja (SM2kunci dengan parameter eksplisit ditolak)

Koordinat titik publik: Dapat dikompresi, tidak dikompresi, atau proyektif

Materi kunci asimetris harus BER dikodekan atau DER -dikodekan dalam Public-Key Cryptography Standards () #8 format yang sesuai dengan 5208. PKCS RFC