Mengimpor bahan kunci untuk AWS KMS kunci

Anda dapat membuat AWS KMS keys (KMSkunci) dengan materi kunci yang Anda berikan.

KMSKunci adalah representasi logis dari kunci data. Metadata untuk KMS kunci mencakup ID dari bahan kunci yang digunakan untuk melakukan operasi kriptografi. Saat Anda membuat KMS kunci, secara default, AWS KMS menghasilkan materi kunci untuk KMS kunci itu. Tetapi Anda dapat membuat KMS kunci tanpa materi kunci dan kemudian mengimpor materi kunci Anda sendiri ke dalam KMS kunci itu, fitur yang sering dikenal sebagai “bawa kunci Anda sendiri” (BYOK).

Ikon kunci yang menyoroti materi utama yang diwakilinya.

catatan

AWS KMS tidak mendukung dekripsi AWS KMS ciphertext apa pun yang dienkripsi oleh kunci enkripsi simetris di luar AWS KMS, bahkan jika ciphertext dienkripsi di bawah KMS kunci dengan bahan kunci yang diimpor. KMS AWS KMS tidak mempublikasikan format ciphertext yang dibutuhkan tugas ini, dan formatnya mungkin berubah tanpa pemberitahuan.

Saat Anda menggunakan materi kunci impor, Anda tetap bertanggung jawab atas materi kunci sambil mengizinkan AWS KMS untuk menggunakan salinannya. Anda mungkin memilih untuk melakukan hal ini karena salah satu atau beberapa dari alasan berikut:

Untuk membuktikan materi utama dihasilkan menggunakan sumber entropi yang memenuhi kebutuhan Anda.
Untuk menggunakan materi utama dari infrastruktur Anda sendiri dengan AWS layanan, dan menggunakannya AWS KMS untuk mengelola siklus hidup materi utama tersebut di dalamnya. AWS
Untuk menggunakan kunci yang sudah ada dan mapan AWS KMS, seperti kunci untuk penandatanganan kode, penandatanganan PKI sertifikat, dan aplikasi yang disematkan sertifikat
Untuk mengatur waktu kedaluwarsa untuk materi kunci AWS dan menghapusnya secara manual, tetapi juga membuatnya tersedia lagi di masa mendatang. Sebaliknya, penjadwalan penghapusan kunci memerlukan masa tunggu 7 hingga 30 hari, setelah itu Anda tidak dapat memulihkan kunci yang dihapus. KMS
Untuk memiliki salinan asli dari bahan utama, dan menyimpannya di luar AWS untuk daya tahan tambahan dan pemulihan bencana selama siklus hidup lengkap bahan utama.
Untuk kunci dan kunci asimetris, mengimpor membuat HMAC kunci yang kompatibel dan dapat dioperasikan yang beroperasi di dalam dan di luar. AWS

Jenis KMS kunci yang didukung

AWS KMS mendukung bahan kunci yang diimpor untuk jenis KMS kunci berikut. Anda tidak dapat mengimpor materi kunci ke KMS kunci di toko kunci khusus.

Kunci enkripsi KMS simetris
Kunci asimetris KMS
HMACKMSkunci
Tombol Multi-Region dari semua jenis yang didukung.

Daerah

Materi kunci yang diimpor didukung dalam semua Wilayah AWS yang AWS KMS mendukung.

Di Wilayah China, persyaratan material utama untuk KMS kunci enkripsi simetris berbeda dari Wilayah lain. Untuk detailnya, lihat Langkah 3: Enkripsi material kunci.

Pelajari selengkapnya

Untuk membuat KMS kunci dengan materi kunci yang diimpor, lihatBuat KMS kunci dengan bahan kunci yang diimpor.
Untuk membuat alarm yang memberi tahu Anda saat materi kunci yang diimpor dalam KMS kunci mendekati waktu kedaluwarsa, lihat. Buat CloudWatch alarm untuk kedaluwarsa materi kunci yang diimpor
Untuk mengimpor kembali materi kunci ke dalam KMS kunci, lihatImpor ulang bahan kunci.
Untuk mengidentifikasi dan melihat KMS kunci dengan materi kunci yang diimpor, lihatIdentifikasi KMS kunci dengan bahan kunci yang diimpor.
Untuk mempelajari tentang pertimbangan khusus untuk menghapus KMS kunci dengan materi kunci yang diimpor, lihat. Deleting KMS keys with imported key material

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Cara kerja kunci multi-Wilayah

Pertimbangan khusus untuk bahan kunci impor