Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Prima di decidere di importare materiale chiave in AWS KMS, è necessario comprendere le seguenti caratteristiche del materiale chiave importato.
- Generare il materiale della chiave
-
Sei responsabile della generazione del materiale della chiave utilizzando una fonte di casualità che soddisfa i tuoi requisiti di sicurezza.
- Puoi eliminare il materiale chiave
-
Puoi eliminare il materiale della chiave importato da una chiave KMS, rendendo immediatamente inutilizzabile la chiave KMS. Quando importi il materiale della chiave in una chiave KMS, puoi determinare se la chiave scade e impostare la data di scadenza. Quando arriva la data di scadenza, AWS KMS elimina il materiale chiave. Senza materiale chiave, la chiave KMS non può essere utilizzata in nessuna operazione di crittografia. Per ripristinare la chiave, è necessario importare nuovamente lo stesso materiale chiave nella chiave.
- Non puoi modificare il materiale della chiave
-
Quando importi materiale della chiave in una chiave KMS, la chiave KMS viene associata in modo permanente a quel materiale della chiave. Puoi importare nuovamente lo stesso materiale della chiave, ma non puoi importare materiale della chiave diverso in quella chiave KMS. Inoltre, non puoi abilitare la rotazione automatica delle chiavi per una chiave KMS con materiale della chiave importato. Tuttavia, puoi ruotare manualmente una chiave KMS con materiale della chiave importato.
- Non puoi modificare l'origine del materiale della chiave
-
Le chiavi KMS progettate per il materiale chiave importato ha un valore di origine di
EXTERNALche non può essere modificato. Non è possibile convertire una chiave KMS per materiale chiave importato in modo da utilizzare materiale chiave proveniente da altre fonti, tra cui. AWS KMS Allo stesso modo, non è possibile convertire una chiave KMS con materiale AWS KMS chiave in una chiave progettata per il materiale chiave importato. - Non puoi esportare il materiale della chiave
-
Non è possibile esportare alcun materiale chiave importato. AWS KMS non può restituirti il materiale chiave importato in nessuna forma. È necessario conservare una copia del materiale chiave importato all'esterno AWS, preferibilmente in un gestore di chiavi, come un modulo di sicurezza hardware (HSM), in modo da poter reimportare il materiale chiave in caso di eliminazione o scadenza.
- Puoi creare chiavi multi-regione con materiale della chiave importato
-
Le chiavi multi-regione con il materiale della chiave importato includono le funzionalità delle chiavi KMS con il materiale della chiave importato e possono interoperare tra Regioni AWS. Per creare una chiave multi-regione con il materiale della chiave importato, devi importare lo stesso materiale della chiave nella chiave KMS primaria e in ogni chiave di replica.
- Le chiavi asimmetriche e le chiavi HMAC sono portatili e interoperabili
-
È possibile utilizzare il materiale chiave asimmetrico e il materiale chiave HMAC all'esterno AWS per interagire con chiavi con AWS KMS lo stesso materiale chiave importato.
A differenza del testo cifrato AWS KMS simmetrico, che è indissolubilmente legato alla chiave KMS utilizzata nell'algoritmo, AWS KMS utilizza formati HMAC standard e asimmetrici per la crittografia, la firma e la generazione MAC. Di conseguenza, le chiavi sono portatili e supportano gli scenari di chiavi di deposito tradizionali.
Quando la chiave KMS ha importato materiale chiave, puoi utilizzare il materiale chiave importato all'esterno per eseguire le seguenti operazioni. AWS
-
Chiavi HMAC: puoi verificare un tag HMAC generato dalla chiave KMS HMAC con il materiale della chiave importato. Puoi anche utilizzare la chiave KMS HMAC con il materiale chiave importato per verificare un tag HMAC generato dal materiale chiave all'esterno di. AWS
-
Chiavi di crittografia asimmetriche: puoi utilizzare la tua chiave di crittografia asimmetrica privata all'esterno di AWS per decrittografare un testo cifrato crittografato dalla chiave KMS con la chiave pubblica corrispondente. Puoi anche utilizzare la tua chiave KMS asimmetrica per decrittografare un testo cifrato asimmetrico generato all'esterno di. AWS
-
Chiavi di firma asimmetriche: puoi utilizzare la tua chiave KMS di firma asimmetrica con materiale chiave importato per verificare le firme digitali generate dalla tua chiave di firma privata all'esterno di. AWS Puoi anche utilizzare la tua chiave di firma pubblica asimmetrica all'esterno di per verificare le firme generate dalla tua chiave KMS asimmetrica. AWS
-
Chiavi di accordo con chiave asimmetrica: puoi utilizzare la tua chiave KMS con contratto a chiave asimmetrica con materiale chiave importato per ricavare segreti condivisi con un altro utente esterno. AWS
Se importi lo stesso materiale della chiave in chiavi KMS diverse nella stessa Regione AWS, anche queste chiavi sono interoperabili. Per creare chiavi KMS interoperabili in diversi formati, crea una chiave multiregionale con materiale chiave importato. Regioni AWS
-
- Le chiavi di crittografia simmetriche non sono portatili né interoperabili
-
I testi cifrati simmetrici che produce non sono portatili o interoperabili. AWS KMS AWS KMS non pubblica il formato di testo cifrato simmetrico richiesto dalla portabilità e il formato potrebbe cambiare senza preavviso.
-
AWS KMS non è in grado di decrittografare testi cifrati simmetrici crittografati all'esterno, anche se si utilizza materiale chiave importato. AWS
-
AWS KMS non supporta la decrittografia di alcun testo cifrato AWS KMS simmetrico al di fuori di, anche se il testo cifrato è stato crittografato con una chiave KMS con AWS KMS materiale chiave importato.
-
Le chiavi KMS con lo stesso materiale della chiave importato non sono interoperabili. Il testo cifrato simmetrico che genera testo cifrato specifico per ogni chiave KMS. AWS KMS Questo formato di testo criptato garantisce che solo la chiave KMS che ha crittografato i dati possa decrittografarli.
Inoltre, non è possibile utilizzare AWS strumenti, come la crittografia lato client di Amazon S3 AWS Encryption SDKo Amazon S3, per decrittografare testi cifrati simmetrici. AWS KMS
Di conseguenza, non è possibile utilizzare chiavi con materiale chiave importato per supportare accordi di deposito di chiavi in cui una terza parte autorizzata con accesso condizionato al materiale chiave possa decrittografare determinati testi cifrati all'esterno. AWS KMS Per supportare il deposito delle chiavi, utilizza il AWS Encryption SDK per crittografare il messaggio in una chiave indipendente da AWS KMS.
-
- Sei responsabile della disponibilità e della durata
-
AWS KMS è progettato per garantire un'elevata disponibilità del materiale chiave importato. Tuttavia, AWS KMS non mantiene la durabilità del materiale chiave importato allo stesso livello del materiale chiave che AWS KMS genera. Per informazioni dettagliate, consultare Protezione del materiale della chiave importato.
