Autorizzazioni per l'importazione del materiale della chiave Requisiti per il materiale della chiave importato

Crea una KMS chiave con materiale chiave importato

Il materiale chiave importato consente di proteggere le AWS risorse con le chiavi crittografiche generate dall'utente. Il materiale chiave importato è associato a una KMS chiave particolare. È possibile reimportare lo stesso materiale chiave nella stessa KMS chiave, ma non è possibile importare materiale chiave diverso nella KMS chiave e non è possibile convertire una KMS chiave progettata per il materiale chiave importato in una KMS chiave con materiale AWS KMS chiave.

La seguente panoramica illustra come importare il materiale della chiave in AWS KMS. Per ulteriori dettagli su ogni fase del processo, consulta l'argomento corrispondente.

Create una KMS chiave senza materiale chiave: l'origine deve essereEXTERNAL. Un'origine chiave di EXTERNAL indica che la chiave è progettata per il materiale chiave importato e AWS KMS impedisce la generazione di materiale chiave per la KMS chiave. In una fase successiva importerai il tuo materiale chiave in questa KMS chiave.

Il materiale chiave che importate deve essere compatibile con le specifiche chiave della chiave associata AWS KMS . Per ulteriori informazioni sulla compatibilità, consulta Requisiti per il materiale della chiave importato.
Scarica la chiave pubblica di wrapping e il token di importazione: dopo aver completato la fase 1, scarica una chiave pubblica di wrapping e un token di importazione. Questi elementi proteggono il tuo materiale della chiave mentre viene importato in AWS KMS.

In questo passaggio, scegli il tipo («specifica chiave») della chiave di RSA wrapping e l'algoritmo di wrapping che utilizzerai per crittografare i dati in transito. AWS KMS Puoi scegliere una specifica della chiave di wrapping e un algoritmo della chiave di wrapping diversi ogni volta che importi o reimporti lo stesso materiale della chiave.
Decripta il materiale della chiave: usa la chiave pubblica di wrapping che hai scaricato nella fase 2 per crittografare il materiale della chiave che hai creato sul tuo sistema.
Importa il materiale chiave – Carica il materiale della chiave crittografato che hai creato nella fase 3 e il token di importazione che hai scaricato nella fase 2.

In questa fase, puoi impostare una scadenza facoltativa. Quando il materiale chiave importato scade, lo AWS KMS elimina e la chiave diventa inutilizzabile. KMS Per continuare a utilizzare la KMS chiave, è necessario reimportare lo stesso materiale chiave.

Quando l'operazione di importazione viene completata correttamente, lo stato della KMS chiave cambia da aPendingImport. Enabled È ora possibile utilizzare la KMS chiave nelle operazioni crittografiche.

AWS KMS registra una voce nel AWS CloudTrail registro quando si crea la KMS chiave, si scarica la chiave pubblica di wrapping e si importa il token e si importa il materiale chiave. AWS KMS registra anche una voce quando si elimina materiale chiave importato o quando si AWS KMS elimina materiale chiave scaduto.

Autorizzazioni per l'importazione del materiale della chiave

Per creare e gestire KMS chiavi con materiale chiave importato, l'utente deve disporre dell'autorizzazione per le operazioni di questo processo. È possibile fornire le kms:GetParametersForImport autorizzazioni e kms:DeleteImportedKeyMaterial le autorizzazioni nella politica chiave al momento della creazione della KMS chiave. kms:ImportKeyMaterial Nella AWS KMS console, queste autorizzazioni vengono aggiunte automaticamente per gli amministratori chiave quando si crea una chiave con un'origine materiale esterna.

Per creare KMS chiavi con materiale chiave importato, il principale necessita delle seguenti autorizzazioni.

kms: CreateKey (politica) IAM

Per limitare questa autorizzazione alle KMS chiavi con materiale chiave importato, usa la condizione kms: KeyOrigin policy con un valore di. EXTERNAL


{
  "Sid": "CreateKMSKeysWithoutKeyMaterial",
  "Effect": "Allow",
  "Resource": "*",
  "Action": "kms:CreateKey",
  "Condition": {
    "StringEquals": {
      "kms:KeyOrigin": "EXTERNAL"
    }
  }
}

kms: GetParametersForImport (Politica o IAM politica chiave)
- Per limitare questa autorizzazione alle richieste che utilizzano un particolare algoritmo di wrapping e una specifica chiave di wrapping, utilizza le condizioni delle policy kms: WrappingAlgorithm e kms:. WrappingKeySpec
kms: ImportKeyMaterial (Politica o politica chiave) IAM
- Per consentire o vietare la scadenza del materiale chiave e controllare la data di scadenza, utilizza le condizioni delle politiche kms: ExpirationModel e kms:. ValidTo

Per reimportare il materiale chiave importato, il principale necessita delle autorizzazioni kms: e kms:. GetParametersForImport ImportKeyMaterial

Per eliminare il materiale chiave importato, il principale necessita dell'autorizzazione kms:. DeleteImportedKeyMaterial

Ad esempio, per KMSAdminRole autorizzare l'esempio a gestire tutti gli aspetti di una KMS chiave con materiale chiave importato, includi una dichiarazione politica chiave come la seguente nella politica chiave della KMS chiave.


{
  "Sid": "Manage KMS keys with imported key material",
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole"
  },
  "Action": [
    "kms:GetParametersForImport",
    "kms:ImportKeyMaterial",
    "kms:DeleteImportedKeyMaterial"
  ]  
}

Requisiti per il materiale della chiave importato

Il materiale chiave che importate deve essere compatibile con le specifiche chiave della KMS chiave associata. Per le coppie di chiavi asimmetriche, importate solo la chiave privata della coppia. AWS KMS ricava la chiave pubblica dalla chiave privata.

AWS KMS supporta le seguenti specifiche chiave per KMS le chiavi con materiale chiave importato.

KMSspecifiche chiave	Requisiti del materiale della chiave
Chiavi di crittografia simmetrica SYMMETRIC_DEFAULT	256 bit (32 byte) di dati binari Nelle regioni cinesi, devono essere dati binari a 128 bit (16 byte).
HMACtasti HMAC_224 HMAC_256 HMAC_384 HMAC_512	HMACil materiale chiave deve essere conforme al 2104. RFC La lunghezza della chiave deve corrispondere alla lunghezza specificata dalle specifiche della chiave.
RSAchiave privata asimmetrica RSA_2048 RSA_3072 RSA_4096	La chiave privata RSA asimmetrica importata deve far parte di una coppia di chiavi conforme a 3447. RFC Modulo: 2048 bit, 3072 bit o 4096 bit Numero di numeri primi: 2 (le chiavi con più numeri primi non sono supportate) RSA Il materiale a chiave asimmetrica deve essere BER codificato o codificato nel formato Public-Key DER Cryptography Standards () #8 conforme alla norma 5208. PKCS RFC
Chiave privata asimmetrica a curva ellittica ECC_ NIST _P256 (secp256r1) ECCNIST_ P384 (secp384r1) ECCNIST_ P521 (secp521r1) ECC_ SECG _P256K1 (secp256k1)	La chiave privata ECC asimmetrica importata deve far parte di una coppia di chiavi conforme a 5915. RFC Curva: NIST P-256, P-384, NIST P-521 o SecP256k1 NIST Parametri: solo curve con nome (le chiavi con parametri espliciti vengono rifiutate) ECC Coordinate pubbliche dei punti: possono essere compresse, non compresse o proiettive Il materiale a chiave asimmetrica deve essere BER codificato o codificato nel formato Public-Key DER Cryptography Standards () #8 conforme alla norma 5208. PKCS RFC
SM2chiave privata asimmetrica (solo per le regioni cinesi)	La chiave privata SM2 asimmetrica importata deve far parte di una coppia di chiavi conforme a GM/T 0003. Curva: SM2 Parametri: solo curva con nome (SM2le chiavi con parametri espliciti vengono rifiutate) Coordinate pubbliche dei punti: possono essere compresse, non compresse o proiettive Il materiale a chiave asimmetrica deve essere BER codificato o codificato nel formato Public-Key DER Cryptography Standards () #8 conforme alla norma 5208. PKCS RFC

KMSspecifiche chiave

Requisiti del materiale della chiave

Chiavi di crittografia simmetrica

SYMMETRIC_DEFAULT

256 bit (32 byte) di dati binari

Nelle regioni cinesi, devono essere dati binari a 128 bit (16 byte).

HMACtasti

HMAC_224

HMAC_256

HMAC_384

HMAC_512

HMACil materiale chiave deve essere conforme al 2104. RFC

La lunghezza della chiave deve corrispondere alla lunghezza specificata dalle specifiche della chiave.

RSAchiave privata asimmetrica

RSA_2048

RSA_3072

RSA_4096

La chiave privata RSA asimmetrica importata deve far parte di una coppia di chiavi conforme a 3447. RFC

Modulo: 2048 bit, 3072 bit o 4096 bit

Numero di numeri primi: 2 (le chiavi con più numeri primi non sono supportate) RSA

Il materiale a chiave asimmetrica deve essere BER codificato o codificato nel formato Public-Key DER Cryptography Standards () #8 conforme alla norma 5208. PKCS RFC

Chiave privata asimmetrica a curva ellittica

ECC_ NIST _P256 (secp256r1)

ECCNIST_ P384 (secp384r1)

ECCNIST_ P521 (secp521r1)

ECC_ SECG _P256K1 (secp256k1)

La chiave privata ECC asimmetrica importata deve far parte di una coppia di chiavi conforme a 5915. RFC

Curva: NIST P-256, P-384, NIST P-521 o SecP256k1 NIST

Parametri: solo curve con nome (le chiavi con parametri espliciti vengono rifiutate) ECC

Coordinate pubbliche dei punti: possono essere compresse, non compresse o proiettive

Il materiale a chiave asimmetrica deve essere BER codificato o codificato nel formato Public-Key DER Cryptography Standards () #8 conforme alla norma 5208. PKCS RFC

SM2chiave privata asimmetrica (solo per le regioni cinesi)

La chiave privata SM2 asimmetrica importata deve far parte di una coppia di chiavi conforme a GM/T 0003.

Curva: SM2

Parametri: solo curva con nome (SM2le chiavi con parametri espliciti vengono rifiutate)

Coordinate pubbliche dei punti: possono essere compresse, non compresse o proiettive

Il materiale a chiave asimmetrica deve essere BER codificato o codificato nel formato Public-Key DER Cryptography Standards () #8 conforme alla norma 5208. PKCS RFC

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Creazione di chiavi di replica multiregionali

Fase 1: Creare un materiale AWS KMS key senza chiave