Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Importazione del materiale della chiave - Fase 1: creare una AWS KMS key senza materiale chiave
Per impostazione predefinita, quando crei una chiave KMS, AWS KMS crea automaticamente il materiale della chiave. Per importare invece il materiale della propria chiave, avvia creando una chiave KMS senza materiale chiave. Quindi, importare il materiale chiave. Per creare una chiave KMS senza materiale chiave, usa la AWS KMS console o l'CreateKeyoperazione.
Per creare una chiave senza materiale della chiave, specifica un'origine EXTERNAL. La proprietà dell'origine di una chiave KMS è immutabile. Una volta creato, non è possibile convertire una chiave KMS progettata per il materiale chiave importato in una chiave KMS con materiale chiave da AWS KMS o da qualsiasi altra fonte.
Lo stato della chiave di una chiave KMS con un origine EXTERNAL e nessun materiale chiave è PendingImport. Una chiave KMS può rimanere in uno stato PendingImport indefinitamente. Tuttavia, non puoi utilizzare una chiave KMS in stato PendingImport in operazioni crittografiche. Quando importi il materiale della chiave, lo stato della chiave KMS diventa Enabled e puoi utilizzarla in operazioni crittografiche.
AWS KMSregistra un evento nel AWS CloudTrail registro quando si crea la chiave KMS, si scarica la chiave pubblica, si importa il token e si importa il materiale chiave. AWS KMSregistra anche un CloudTrail evento quando si elimina materiale chiave importato o quando si AWS KMS elimina materiale chiave scaduto.
Per ulteriori informazioni sulla creazione di chiavi multiregione con materiale della chiave importato, consulta Importazione di materiale chiave in chiavi multiregione.
Argomenti
Creazione di una chiave KMS senza materiale della chiave (console)
Devi solo creare una sola volta una chiave KMS per il materiale della chiave importato. Puoi importare e reimportare quando vuoi lo stesso materiale della chiave nella chiave KMS, ma non puoi importare materiale della chiave diverso in una chiave KMS. Per informazioni dettagliate, vedi Fase 2: download della chiave pubblica di wrapping e del token di importazione.
Per trovare le chiavi KMS esistenti con materiale della chiave importato nella tabella Customer managed keys (Chiavi gestite dal cliente), utilizza l'icona a forma di ingranaggio nell'angolo in alto a destra per mostrare la colonna Origin (Origine) nell'elenco delle chiavi KMS. Il valore di Origine per le chiavi importate è Esterna (Importa il materiale della chiave).
Per creare una chiave KMS con il materiale della chiave importato, inizia seguendo le istruzioni basilari per creare una chiave KMS del tipo preferito, con l'eccezione indicata di seguito.
Una volta scelto l'utilizzo della chiave, effettua le seguenti operazioni:
-
Espandere Advanced options (Opzioni avanzate).
-
In Key material origin (Origine del materiale della chiave), seleziona External (Import key material) (Esterna (Importa materiale della chiave)).
-
Scegli la casella di controllo accanto a Comprendo le implicazioni in termini di sicurezza e durabilità derivanti dall'utilizzo di una chiave importata) per confermare di aver compreso le implicazioni dell'utilizzo del materiale della chiave importato. Per leggere queste implicazioni, consulta Protezione del materiale della chiave importato.
-
Torna alle istruzioni basilari. Le fasi rimanenti della procedura basilare sono identici per tutte le chiavi KMS di tale tipo.
Quando scegli Fine, hai creato una chiave KMS senza materiale della chiave con lo stato (stato chiave) Importazione in attesa.
Tuttavia, invece di tornare alla tabella delle Chiavi gestite dal cliente, la console visualizza una pagina in cui puoi scaricare la chiave pubblica e importare il token necessario per l'importazione del materiale della chiave. A questo punto, puoi continuare con la fase di download o scegliere Annulla per fermarti a questo punto. Puoi tornare a questa fase di download in qualunque momento.
Successivo: Fase 2: download della chiave pubblica di wrapping e del token di importazione.
Creazione di una chiave KMS senza materiale chiave (API AWS KMS)
Per utilizzare l'AWS KMSAPI per creare una chiave KMS di crittografia simmetrica senza materiale chiave, invia una CreateKeyrichiesta con il parametro impostato su. Origin EXTERNAL L'esempio seguente mostra come eseguire questa operazione con l'AWS Command Line Interface (AWS CLI)
$aws kms create-key --origin EXTERNAL
Se il comando viene eseguito correttamente, verrà visualizzato un output simile al seguente. L'Origin della chiave AWS KMS è EXTERNAL e il suo KeyState è PendingImport.
Suggerimento
Se l'esito del comando non è positivo, potresti visualizzare un'KMSInvalidStateException o un'NotFoundException. Puoi ritentare la richiesta.
{ "KeyMetadata": { "Origin": "EXTERNAL", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "Enabled": false, "MultiRegion": false, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingImport", "CreationDate": 1568289600.0, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }
Copia il valore KeyId dall'output del comando per utilizzarlo in un secondo momento, quindi passa a Fase 2: download della chiave pubblica di wrapping e del token di importazione.
Nota
Questo comando crea una chiave KMS di crittografia simmetrica con KeySpec SYMMETRIC_DEFAULT e KeyUsage ENCRYPT_DECRYPT. Puoi utilizzare i parametri opzionali --key-spec e --key-usage per creare una chiave KMS HMAC o asimmetrica. Per maggiori informazioni, vedi l'operazione CreateKey.
