Izin untuk mengimpor material kunci Persyaratan untuk bahan kunci impor

Buat KMS kunci dengan bahan kunci yang diimpor

Materi kunci yang diimpor memungkinkan Anda melindungi AWS sumber daya Anda di bawah kunci kriptografi yang Anda hasilkan. Materi utama yang Anda impor dikaitkan dengan KMS kunci tertentu. Anda dapat mengimpor ulang materi kunci yang sama ke KMS kunci yang sama, tetapi Anda tidak dapat mengimpor materi kunci yang berbeda ke dalam KMS kunci dan Anda tidak dapat mengonversi KMS kunci yang dirancang untuk bahan kunci yang diimpor menjadi KMS kunci dengan bahan AWS KMS kunci.

Gambaran umum berikut menjelaskan cara mengimpor material kunci Anda ke dalam AWS KMS. Untuk detail selengkapnya tentang setiap langkah dalam proses, lihat topik yang sesuai.

Buat KMS kunci tanpa bahan kunci — Asal harusEXTERNAL. Asal kunci EXTERNAL menunjukkan bahwa kunci dirancang untuk bahan kunci impor dan AWS KMS mencegah menghasilkan bahan kunci untuk KMS kunci. Pada langkah selanjutnya Anda akan mengimpor materi kunci Anda sendiri ke dalam KMS kunci ini.

Materi kunci yang Anda impor harus kompatibel dengan spesifikasi kunci dari kunci terkait. AWS KMS Untuk informasi lebih lanjut tentang kompatibilitas, lihat. Persyaratan untuk bahan kunci impor
Unduh kunci publik pembungkus dan token impor — Setelah menyelesaikan langkah 1, unduh kunci publik pembungkus dan token impor. Barang-barang ini melindungi materi utama Anda saat diimpor AWS KMS.

Pada langkah ini, Anda memilih jenis (“spesifikasi kunci”) dari kunci RSA pembungkus dan algoritma pembungkus yang akan Anda gunakan untuk mengenkripsi data Anda dalam perjalanan. AWS KMS Anda dapat memilih spesifikasi kunci pembungkus dan algoritma kunci pembungkus yang berbeda setiap kali Anda mengimpor atau mengimpor ulang materi kunci yang sama.
Enkripsi materi kunci — Gunakan kunci publik pembungkus yang Anda unduh di langkah 2 untuk mengenkripsi materi kunci yang Anda buat di sistem Anda sendiri.
Mengimpor materi kunci — Unggah material kunci terenkripsi yang Anda buat pada langkah 3 dan token impor yang Anda unduh di langkah 2.

Pada tahap ini, Anda dapat mengatur waktu kedaluwarsa opsional. Ketika materi kunci yang diimpor kedaluwarsa, AWS KMS menghapusnya, dan KMS kuncinya menjadi tidak dapat digunakan. Untuk terus menggunakan KMS kunci, Anda harus mengimpor ulang materi kunci yang sama.

Ketika operasi impor selesai dengan sukses, status kunci dari KMS kunci berubah dari PendingImport keEnabled. Anda sekarang dapat menggunakan KMS kunci dalam operasi kriptografi.

AWS KMS merekam entri di AWS CloudTrail log Anda saat Anda membuat KMS kunci, mengunduh kunci publik pembungkus dan token impor, dan mengimpor materi kunci. AWS KMS juga mencatat entri saat Anda menghapus materi kunci yang diimpor atau saat AWS KMS menghapus materi kunci yang kedaluwarsa.

Izin untuk mengimpor material kunci

Untuk membuat dan mengelola KMS kunci dengan materi kunci yang diimpor, pengguna memerlukan izin untuk operasi dalam proses ini. Anda dapat memberikankms:GetParametersForImport,kms:ImportKeyMaterial, dan kms:DeleteImportedKeyMaterial izin dalam kebijakan kunci saat membuat KMS kunci. Di AWS KMS konsol, izin ini ditambahkan secara otomatis untuk administrator kunci saat Anda membuat kunci dengan asal materi kunci eksternal.

Untuk membuat KMS kunci dengan materi kunci yang diimpor, prinsipal memerlukan izin berikut.

kms: CreateKey (IAMkebijakan)

Untuk membatasi izin ini ke KMS kunci dengan materi kunci yang diimpor, gunakan kondisi KeyOrigin kebijakan kms: dengan nilai. EXTERNAL


{
  "Sid": "CreateKMSKeysWithoutKeyMaterial",
  "Effect": "Allow",
  "Resource": "*",
  "Action": "kms:CreateKey",
  "Condition": {
    "StringEquals": {
      "kms:KeyOrigin": "EXTERNAL"
    }
  }
}

kms: GetParametersForImport (Kebijakan atau IAM kebijakan utama)
- Untuk membatasi izin ini pada permintaan yang menggunakan algoritme pembungkus tertentu dan spesifikasi kunci pembungkus, gunakan kondisi kebijakan kms: WrappingAlgorithm dan kms:. WrappingKeySpec
kms: ImportKeyMaterial (Kebijakan atau IAM kebijakan utama)
- Untuk mengizinkan atau melarang materi utama yang kedaluwarsa dan mengontrol tanggal kedaluwarsa, gunakan ketentuan kebijakan kms: ExpirationModel dan kms:. ValidTo

Untuk mengimpor kembali materi kunci yang diimpor, prinsipal membutuhkan izin kms: GetParametersForImport dan kms:. ImportKeyMaterial

Untuk menghapus materi kunci yang diimpor, prinsipal membutuhkan DeleteImportedKeyMaterial izin kms:.

Misalnya, untuk memberikan KMSAdminRole izin contoh untuk mengelola semua aspek KMS kunci dengan materi kunci yang diimpor, sertakan pernyataan kebijakan kunci seperti berikut ini dalam kebijakan kunci KMS kunci.


{
  "Sid": "Manage KMS keys with imported key material",
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole"
  },
  "Action": [
    "kms:GetParametersForImport",
    "kms:ImportKeyMaterial",
    "kms:DeleteImportedKeyMaterial"
  ]  
}

Persyaratan untuk bahan kunci impor

Materi kunci yang Anda impor harus kompatibel dengan spesifikasi kunci dari KMS kunci terkait. Untuk pasangan kunci asimetris, impor hanya kunci pribadi pasangan. AWS KMS kunci publik berasal dari kunci privat.

AWS KMS mendukung spesifikasi kunci berikut untuk kunci dengan bahan KMS kunci yang diimpor.

KMSspesifikasi kunci kunci	Persyaratan material utama
Kunci enkripsi simetris SYMMETRIC_DEFAULT	256-bit (32 byte) data biner Di Wilayah China, itu harus berupa 128-bit (16 byte) data biner.
HMACkunci HMAC_224 HMAC_256 HMAC_384 HMAC_512	HMACbahan kunci harus sesuai dengan RFC2104. Panjang kunci harus sesuai dengan panjang yang ditentukan oleh spesifikasi kunci.
RSAkunci pribadi asimetris RSA_2048 RSA_3072 RSA_4096	Kunci pribadi RSA asimetris yang Anda impor harus menjadi bagian dari key pair yang sesuai dengan 3447. RFC Modulus: 2048 bit, 3072 bit atau 4096 bit Jumlah bilangan prima: 2 (RSAkunci multi-prima tidak didukung) Materi kunci asimetris harus BER dikodekan atau DER -dikodekan dalam Public-Key Cryptography Standards () #8 format yang sesuai dengan 5208. PKCS RFC
Kunci pribadi asimetris kurva elips ECC_ NIST _P256 (secp256r1) ECC_ NIST _P384 (secp384r1) ECC_ NIST _P521 (secp521r1) ECC_ SECG _P256K1 (secp256k1)	Kunci pribadi ECC asimetris yang Anda impor harus menjadi bagian dari key pair yang sesuai dengan 5915. RFC Kurva: NIST P-256, NIST P-384, P-521, NIST atau Secp256K1 Parameter: Kurva bernama saja (ECCkunci dengan parameter eksplisit ditolak) Koordinat titik publik: Dapat dikompresi, tidak dikompresi, atau proyektif Materi kunci asimetris harus BER dikodekan atau DER -dikodekan dalam Public-Key Cryptography Standards () #8 format yang sesuai dengan 5208. PKCS RFC
SM2kunci pribadi asimetris (hanya Wilayah China)	Kunci pribadi SM2 asimetris yang Anda impor harus menjadi bagian dari key pair yang sesuai dengan GM/T 0003. Kurva: SM2 Parameter: Kurva bernama saja (SM2kunci dengan parameter eksplisit ditolak) Koordinat titik publik: Dapat dikompresi, tidak dikompresi, atau proyektif Materi kunci asimetris harus BER dikodekan atau DER -dikodekan dalam Public-Key Cryptography Standards () #8 format yang sesuai dengan 5208. PKCS RFC

KMSspesifikasi kunci kunci

Persyaratan material utama

Kunci enkripsi simetris

SYMMETRIC_DEFAULT

256-bit (32 byte) data biner

Di Wilayah China, itu harus berupa 128-bit (16 byte) data biner.

HMACkunci

HMAC_224

HMAC_256

HMAC_384

HMAC_512

HMACbahan kunci harus sesuai dengan RFC2104