Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crea una chiave KMS con materiale chiave importato
Il materiale chiave importato consente di proteggere le AWS risorse con le chiavi crittografiche generate dall'utente. Il materiale della chiave che importi è associato a una chiave KMS particolare. Puoi reimportare lo stesso materiale chiave nella stessa chiave KMS, ma non puoi importare materiale chiave diverso nella chiave KMS e non puoi convertire una chiave KMS progettata per il materiale chiave importato in una chiave KMS con materiale chiave. AWS KMS
La seguente panoramica illustra come importare il materiale della chiave in AWS KMS. Per ulteriori dettagli su ogni fase del processo, consulta l'argomento corrispondente.
-
Crea una chiave KMS senza materiale della chiave: l'origine deve essere
EXTERNAL. Un'origine chiave diEXTERNALindica che la chiave è progettata per il materiale chiave importato e AWS KMS impedisce la generazione di materiale chiave per la chiave KMS. In una fase successiva importerai il tuo materiale della chiave in questa chiave KMS.Il materiale chiave che importate deve essere compatibile con le specifiche chiave della chiave associata. AWS KMS Per ulteriori informazioni sulla compatibilità, consulta Requisiti per il materiale della chiave importato.
-
Scarica la chiave pubblica di wrapping e il token di importazione: dopo aver completato la fase 1, scarica una chiave pubblica di wrapping e un token di importazione. Questi elementi proteggono il tuo materiale della chiave mentre viene importato in AWS KMS.
In questa fase, scegli il tipo ("specifica chiave") della chiave di wrapping RSA e l'algoritmo di wrapping che utilizzerai per la crittografia dei dati in transito in AWS KMS. Puoi scegliere una specifica della chiave di wrapping e un algoritmo della chiave di wrapping diversi ogni volta che importi o reimporti lo stesso materiale della chiave.
-
Decripta il materiale della chiave: usa la chiave pubblica di wrapping che hai scaricato nella fase 2 per crittografare il materiale della chiave che hai creato sul tuo sistema.
-
Importa il materiale chiave – Carica il materiale della chiave crittografato che hai creato nella fase 3 e il token di importazione che hai scaricato nella fase 2.
In questa fase, puoi impostare una scadenza facoltativa. Quando il materiale chiave importato scade, lo AWS KMS elimina e la chiave KMS diventa inutilizzabile. Per continuare a utilizzare la chiave KMS, devi importare nuovamente lo stesso materiale della chiave.
Quando l'operazione di importazione viene completata correttamente, lo stato della chiave della chiave KMS cambia da
PendingImportaEnabled. ora, puoi utilizzare la chiave KMS nelle operazioni di crittografia.
AWS KMS registra una voce nel AWS CloudTrail registro quando si crea la chiave KMS, si scarica la chiavepubblica di wrapping e si importa il token e si importa il materiale chiave. AWS KMS registra anche una voce quando si elimina materiale chiave importato o quando si AWS KMS elimina materiale chiave scaduto.
Autorizzazioni per l'importazione del materiale della chiave
Per creare e gestire le chiave KMS con materiale della chiave importato, l'utente deve avere l'autorizzazione per le operazioni di questo processo. Puoi fornire le autorizzazioni kms:GetParametersForImport, kms:ImportKeyMaterial, e kms:DeleteImportedKeyMaterial nella policy delle chiavi quando crei la chiave KMS. Nella AWS KMS console, queste autorizzazioni vengono aggiunte automaticamente per gli amministratori chiave quando si crea una chiave con un'origine materiale esterna.
Per creare chiavi KMS con materiale della chiave importato, il principale richiede le seguenti autorizzazioni.
-
-
Per limitare questa autorizzazione alle chiavi KMS con materiale chiave importato, utilizza la condizione kms: KeyOrigin policy con un valore di.
EXTERNAL{ "Sid": "CreateKMSKeysWithoutKeyMaterial", "Effect": "Allow", "Resource": "*", "Action": "kms:CreateKey", "Condition": { "StringEquals": { "kms:KeyOrigin": "EXTERNAL" } } }
-
-
kms: GetParametersForImport (Politica chiave o politica IAM)
-
kms: ImportKeyMaterial (Politica chiave o politica IAM)
-
Per consentire o vietare la scadenza del materiale chiave e controllare la data di scadenza, utilizza le condizioni delle politiche kms: ExpirationModel e kms:. ValidTo
-
Per reimportare il materiale chiave importato, il principale necessita delle autorizzazioni kms: e kms:. GetParametersForImport ImportKeyMaterial
Ad esempio, per dare a KMSAdminRole di esempio l'autorizzazione per gestire tutti gli aspetti di una chiave KMS con materiale chiave importato, includi una dichiarazione di policy delle chiavi come la seguente nella policy della chiave KMS.
{ "Sid": "Manage KMS keys with imported key material", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole" }, "Action": [ "kms:GetParametersForImport", "kms:ImportKeyMaterial", "kms:DeleteImportedKeyMaterial" ] }
Requisiti per il materiale della chiave importato
Il materiale della chiave importato deve essere compatibile con le specifiche chiave della chiave KMS associata. Per le coppie di chiavi asimmetriche, importa solo la chiave privata della coppia. AWS KMS ricava la chiave pubblica dalla chiave privata.
AWS KMS supporta le seguenti specifiche chiave per le chiavi KMS con materiale chiave importato.
| Specifiche della chiave KMS | Requisiti del materiale della chiave |
|---|---|
Chiavi di crittografia simmetrica SYMMETRIC_DEFAULT |
256 bit (32 byte) di dati binari Nelle regioni cinesi, devono essere dati binari a 128 bit (16 byte). |
| Chiavi HMAC HMAC_224 HMAC_256 HMAC_384 HMAC_512 |
Il materiale della chiave HMAC deve essere conforme alla RFC 2104 La lunghezza della chiave deve corrispondere alla lunghezza specificata dalle specifiche della chiave. |
| Chiave privata asimmetrica RSA RSA_2048 RSA_3072 RSA_4096 |
La chiave privata asimmetrica RSA importata deve far parte di una coppia di chiavi conforme alla RFC 3447. Modulo: 2048 bit, 3072 bit o 4096 bit Numero di numeri primi: 2 (le chiavi RSA con più numeri primi non sono supportate) Il materiale a chiave asimmetrica deve essere codificato in BER o DER nel formato Public-Key Cryptography Standards (PKCS) #8 conforme alla RFC 5208. |
| Chiave privata asimmetrica a curva ellittica ECC_NIST_P256 (secp256r1) ECC_NIST_P384 (secp384r1) ECC_NIST_P521 (secp521r1) ECC_SECG_P256K1 (secp256k1) |
La chiave privata asimmetrica RSA importata deve far parte di una coppia di chiavi conforme alla RFC 5915 Curva: NIST P-256, NIST P-384, NIST P-521 o Secp256k1 Parametri: solo curve denominate (le chiavi ECC con parametri espliciti vengono rifiutate) Coordinate pubbliche dei punti: possono essere compresse, non compresse o proiettive Il materiale a chiave asimmetrica deve essere codificato in BER o DER nel formato Public-Key Cryptography Standards (PKCS) #8 conforme a RFC 5208. |
| SM2 chiave privata asimmetrica (solo regioni della Cina) |
La chiave privata SM2 asimmetrica importata deve far parte di una coppia di chiavi conforme a GM/T 0003. Curva: SM2 Parametri: solo curva con nome (SM2 le chiavi con parametri espliciti vengono rifiutate) Coordinate pubbliche dei punti: possono essere compresse, non compresse o proiettive Il materiale a chiave asimmetrica deve essere codificato in BER o in DER nel formato Public-Key Cryptography Standards (PKCS) #8 conforme alla RFC 5208. |
