Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Fase 2: download della chiave pubblica di wrapping e del token di importazione
Dopo aver creato un materiale AWS KMS key senza chiave, scarica una chiave pubblica di wrapping e un token di importazione per quella KMS chiave utilizzando la AWS KMS console o il. GetParametersForImportAPI La chiave pubblica di wrapping e il token di importazione costituiscono due elementi di un set indivisibile che devono essere usati assieme.
Utilizzerai la chiave pubblica di wrapping per crittografare il materiale della chiave per il trasporto. Prima di scaricare una coppia di chiavi di RSA wrapping, selezionate la lunghezza (specifiche chiave) della RSA coppia di chiavi di wrapping e l'algoritmo di wrapping che utilizzerete per crittografare il materiale chiave importato per il trasporto nella fase 3. AWS KMS supporta anche la specifica della chiave di SM2 avvolgimento (solo per le regioni cinesi).
Ogni set di chiave pubblica di wrapping e token di importazione è valido per 24 ore. Se non lo utilizzi per importare il materiale della chiave entro 24 ore dal download, devi scaricare un nuovo set. Puoi scaricare set con una nuova chiave pubblica di wrapping e token di importazione in qualunque momento. Ciò consente di modificare la lunghezza della chiave di RSA avvolgimento («specifica chiave») o di sostituire un set perso.
Puoi anche scaricare una chiave pubblica di avvolgimento e importare un set di token per reimportare lo stesso materiale chiave in una chiave. KMS Puoi eseguire questa operazione per importare o modificare la data di scadenza del materiale della chiave o per ripristinare materiale della chiave scaduto o eliminato. È necessario scaricare e crittografare nuovamente il materiale chiave ogni volta che lo si importa in. AWS KMS
- Utilizzo della chiave pubblica di wrapping
-
Il download include una chiave pubblica unica per te Account AWS, chiamata anche chiave pubblica di wrapping.
Prima di importare il materiale chiave, crittografate il materiale chiave con la chiave di wrapping pubblica, quindi caricate il materiale della chiave crittografata su. AWS KMS Quando AWS KMS riceve il materiale della chiave crittografata, lo decripta con la chiave privata corrispondente, quindi cripta nuovamente il materiale chiave con una chiave AES simmetrica, il tutto all'interno di un modulo di sicurezza hardware (). AWS KMS HSM
- Utilizzo dei token di importazione
-
Il download include un token di importazione con i metadati che assicura che il materiale della chiave sia stato importato correttamente. Quando carichi il materiale della tua chiave crittografata su AWS KMS, devi caricare lo stesso token di importazione scaricato in questa fase.
Selezione di una specifica della chiave pubblica di wrapping
Per proteggere il materiale chiave durante l'importazione, lo crittografate utilizzando la chiave pubblica di wrapping da AWS KMS cui scaricate e un algoritmo di wrapping supportato. Seleziona una specifica chiave prima di scaricare la chiave pubblica di wrapping e il token di importazione. Tutte le coppie di chiavi di wrapping vengono generate in moduli di sicurezza AWS KMS hardware (). HSMs La chiave privata non li lascia mai HSM in testo semplice.
- RSAspecifiche chiave del confezionamento
-
Le specifiche della chiave pubblica di imballaggio determinano la lunghezza delle chiavi nella coppia di chiavi che protegge il RSA materiale della chiave durante il trasporto verso. AWS KMS In generale, consigliamo di utilizzare la chiave pubblica di wrapping più lunga possibile tale che sia pratica. Offriamo diverse specifiche di chiave pubblica di imballaggio per supportare una varietà di HSMs gestori chiave.
AWS KMS supporta le seguenti specifiche chiave per le chiavi di RSA avvolgimento utilizzate per importare materiale chiave di tutti i tipi, ad eccezione di quanto indicato.
-
RSA_4096 (preferito)
-
RSA_3072
-
RSA_2048
Nota
È NOT supportata la seguente combinazione: materiale chiave ECC _ NIST _P521, la specifica della chiave di wrapping pubblica RSA _2048 e un algoritmo di wrapping _ _ _*. RSAES OAEP SHA
Non è possibile avvolgere direttamente il materiale chiave ECC _ NIST _P521 con una chiave di wrapping pubblica _2048. RSA Utilizzate una chiave di avvolgimento più grande o un algoritmo di avvolgimento RSA _ _ _ _ _*AES. KEY WRAP SHA
-
- SM2specifiche della chiave di avvolgimento (solo regioni cinesi)
-
AWS KMS supporta le seguenti specifiche chiave per le chiavi di SM2 avvolgimento utilizzate per importare materiale chiave asimmetrico.
-
SM2
-
Selezione di un algoritmo di wrapping
Per proteggere il materiale della chiave durante l'importazione, crittografalo utilizzando la chiave pubblica di wrapping scaricata e un algoritmo di wrapping supportato.
AWS KMS supporta diversi algoritmi di avvolgimento standard e un algoritmo di RSA avvolgimento ibrido in due fasi. In generale, consigliamo di utilizzare l'algoritmo di wrapping più sicuro che sia compatibile con il materiale della chiave importato e con le specifiche della chiave di wrapping. In genere, si sceglie un algoritmo supportato dal modulo di sicurezza hardware (HSM) o dal sistema di gestione delle chiavi che protegge il materiale chiave.
La tabella seguente mostra gli algoritmi di wrapping supportati per ogni tipo di materiale e KMS chiave chiave. Gli algoritmi sono elencati in ordine di preferenza.
| Materiale chiave | Specifiche e algoritmo di wrapping supportati |
|---|---|
| Chiave di crittografia simmetrica Chiave a 256 bit AES
SM4Chiave a 128 bit (solo regioni cinesi) |
|
| Chiave privata asimmetrica RSA |
|
| Chiave privata a curva ellittica asimmetrica () ECC
Non è possibile utilizzare gli algoritmi di wrapping RSAES _ OAEP _ SHA _* con la specifica della chiave di wrapping RSA _2048 per avvolgere il materiale chiave _ _P521. ECC NIST |
|
| Chiave SM2 privata asimmetrica (solo regioni cinesi) |
|
| HMACchiave |
|
Nota
Gli algoritmi RSA_AES_KEY_WRAP_SHA_256 and RSA_AES_KEY_WRAP_SHA_1 wrapping non sono supportati nelle regioni cinesi.
-
RSA_AES_KEY_WRAP_SHA_256— Un algoritmo di wrapping ibrido in due fasi che combina la crittografia del materiale chiave con una chiave AES simmetrica generata dall'utente e quindi la crittografia della chiave AES simmetrica con la chiave di wrapping RSA pubblica scaricata e l'algoritmo di wrapping _ _ _256. RSAES OAEP SHAÈ necessario un algoritmo di
RSA_AES_KEY_WRAP_SHA_*wrapping per racchiudere il materiale a chiave RSA privata, tranne che nelle regioni cinesi, dove è necessario utilizzare l'algoritmo di wrapping.SM2PKE -
RSA_AES_KEY_WRAP_SHA_1— Un algoritmo di wrapping ibrido in due fasi che combina la crittografia del materiale chiave con una chiave AES simmetrica generata dall'utente e quindi la crittografia della chiave simmetrica con la chiave pubblica di wrapping scaricata RSA e l'AESalgoritmo di wrapping _ _ _1. RSAES OAEP SHAÈ necessario un algoritmo di
RSA_AES_KEY_WRAP_SHA_*wrapping per racchiudere il materiale a chiave RSA privata, tranne che nelle regioni cinesi, dove è necessario utilizzare l'algoritmo di wrapping.SM2PKE -
RSAES_OAEP_SHA_256— L'algoritmo di RSA crittografia con Optimal Asymmetric Encryption Padding () OAEP con la funzione hash -256. SHA -
RSAES_OAEP_SHA_1— L'algoritmo di RSA crittografia con Optimal Asymmetric Encryption Padding () con la funzione hash -1. OAEP SHA -
RSAES_PKCS1_V1_5(Obsoleto; al 10 ottobre 2023, AWS KMS non supporta l'algoritmo di wrapping RSAES _ PKCS1 _V1_5) — L'algoritmo di crittografia con il formato di riempimento definito nella versione #1 1.5. RSA PKCS -
SM2PKE(Solo regioni cinesi) — Un algoritmo di crittografia basato su curve ellittiche definito in GM/T 0003.4-2012. OSCCA
Argomenti
Download della chiave pubblica di wrapping e del token di importazione (console)
È possibile utilizzare la AWS KMS console per scaricare la chiave pubblica di wrapping e importare il token.
-
Se hai appena completato i passaggi per creare una KMS chiave senza materiale chiave e ti trovi nella pagina Scarica la chiave di wrapping e importa il token, vai a. Passo 9
-
Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
-
Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.
Suggerimento
È possibile importare materiale chiave solo in una KMS chiave con Origine esterna (Importa materiale chiave). Ciò indica che la KMS chiave è stata creata senza materiale chiave. Per aggiungere una colonna Origin (Origine) alla tabella, nell'angolo in alto a destra della pagina scegliere l'icona delle impostazioni (
). Attivare l'origine in Origine (Origine), quindi scegliere Confirm (Conferma). -
Scegliete l'alias o l'ID della KMS chiave in attesa di importazione.
-
Scegli la tab Configurazione crittografica e visualizzane i valori. Le tab si trovano nella sezione Configurazione generale.
È possibile importare solo materiale chiave nelle KMS chiavi di Origin of External (Import Key Material). Per informazioni sulla creazione di KMS chiavi con materiale chiave importato, consultate,Importazione di materiale chiave per le AWS KMS chiavi.
-
Scegli la scheda Materiale della chiave, quindi scegli Importa il materiale della chiave.
La scheda Materiale chiave viene visualizzata solo per KMS le chiavi il cui valore Origin è Esterno (Importa materiale chiave).
-
Per Select wrapping key spec, scegli la configurazione per la tua KMS chiave. Dopo aver creato questa chiave, non puoi modificare le specifiche della chiave.
-
In Select wrapping algorithm (Seleziona algoritmo di wrapping), scegliere l'opzione da utilizzare per crittografare il materiale della chiave. Per ulteriori informazioni sulle opzioni, consulta Selezione di un algoritmo di wrapping.
-
Scegli Scarica la chiave pubblica di wrapping e il token di importazione), quindi salva il file.
Se è presente un'opzione Next (Successivo), per continuare il processo ora scegliere Next (Successivo). Per continuare in un secondo momento, scegliere Cancel (Annulla).
-
Decomprimere il file
.zipsalvato nella fase precedente (Import_Parameters_).<key_id>_<timestamp>La cartella contiene i file seguenti:
-
Una chiave pubblica che avvolge un file denominato.
WrappingPublicKey.bin -
Un token di importazione in un file denominato
ImportToken.bin. -
Un file di testo denominato README .txt. Questo file contiene informazioni sulla chiave pubblica di wrapping, l'algoritmo di wrapping da utilizzare per crittografare il materiale della chiave e la data e l'ora in cui di scadenza della chiave pubblica di wrapping e del token di importazione.
-
-
Per continuare il processo, crittografare il materiale della chiave.
Scaricamento della chiave pubblica di wrapping e del token di importazione ()AWS KMS API
Per scaricare la chiave pubblica e il token di importazione, usa il GetParametersForImportAPI. Specificate la KMS chiave che verrà associata al materiale chiave importato. Questa KMS chiave deve avere un valore Origin pari aEXTERNAL.
Questo esempio specifica l'algoritmo di RSA_AES_KEY_WRAP_SHA_256 wrapping, la specifica della chiave pubblica di wrapping RSA _3072 e un ID di chiave di esempio. Sostituisci questi valori di esempio con valori validi per il download. Per l'ID della chiave, è possibile utilizzare un ID o una chiave ARN, ma non è possibile utilizzare un nome alias o un alias in questa operazione. ARN
$aws kms get-parameters-for-import \ --key-id1234abcd-12ab-34cd-56ef-1234567890ab\ --wrapping-algorithmRSA_AES_KEY_WRAP_SHA_256\ --wrapping-key-specRSA_3072
Se il comando viene eseguito correttamente, verrà visualizzato un output simile al seguente:
{ "ParametersValidTo": 1568290320.0, "PublicKey": "public key (base64 encoded)", "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "ImportToken": "import token (base64 encoded)" }
Per preparare i dati per il passaggio successivo, base64 decodifica la chiave pubblica e il token di importazione e salva i valori decodificati nei file.
Perché base64 decodifichi la chiave pubblica e importi il token:
-
Copia la chiave pubblica codificata in base64 (rappresentata da
public key (base64 encoded)nell'output di esempio), incollatela in un nuovo file, quindi salvate il file. Assegna al file un nome descrittivo, ad esempioPublicKey.b64. -
Usa Open SSL
to base64 per decodificare il contenuto del file e salvare i dati decodificati in un nuovo file. L'esempio seguente decodifica i dati nel file salvato nel passaggio precedente ( PublicKey.b64) e salva l'output in un nuovo file con nomeWrappingPublicKey.bin.$openssl enc -d -base64 -A -in PublicKey.b64 -out WrappingPublicKey.bin -
Copia il token di importazione codificato in base64 (rappresentato da
import token (base64 encoded)nell'output di esempio), incollatelo in un nuovo file, quindi salvatelo. Assegna al file un nome descrittivo, ad esempioimporttoken.b64. -
Usa Open SSL
to base64 per decodificare il contenuto del file e salvare i dati decodificati in un nuovo file. L'esempio seguente decodifica i dati nel file salvato nel passaggio precedente ( ImportToken.b64) e salva l'output in un nuovo file con nomeImportToken.bin.$openssl enc -d -base64 -A -in importtoken.b64 -out ImportToken.bin
Passa a Fase 3: crittografare il materiale delle chiavi.
