Importazione di materiale chiave per le AWS KMS chiavi - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Importazione di materiale chiave per le AWS KMS chiavi

Puoi creare una AWS KMS keys (chiave KMS) con il materiale della chiave fornito da te.

Una chiave KMS è la rappresentazione logica di una chiave crittografica. I metadati per una chiave KMS includono l'ID del materiale della chiave utilizzato per crittografare e decrittografare i dati. Quando crei una chiave KMS, per impostazione predefinita, AWS KMS genera il materiale della chiave per quella chiave KMS. Tuttavia è possibile creare una chiave KMS senza materiale della chiave e importare il proprio materiale in quella chiave KMS. Questa caratteristica è definita "bring your own key" (BYOK).

Icona a forma di chiave che evidenzia il materiale chiave che rappresenta.
Nota

AWS KMS non supporta la decrittografia di alcun testo AWS KMS cifrato esterno a AWS KMS, anche se il testo cifrato è stato crittografato con una chiave KMS con materiale chiave importato. AWS KMS non pubblica il formato di testo cifrato richiesto da questa attività e il formato potrebbe cambiare senza preavviso.

Il materiale della chiave importato è supportato su tutti i tipi di chiavi KMS ad eccezione delle chiavi KMS in archivi di chiavi personalizzate.

Quando si utilizza materiale chiave importato, l'utente rimane responsabile del materiale chiave, consentendone AWS KMS al contempo l'utilizzo di una copia. Potresti scegliere di farlo per uno o più dei seguenti motivi:

  • Per dimostrare che il materiale della chiave è stato generato utilizzando una sorgente di entropia che soddisfa i tuoi requisiti.

  • Utilizzare materiale chiave proveniente dalla propria infrastruttura con AWS servizi e utilizzarlo per AWS KMS gestire il ciclo di vita di tale materiale chiave all'interno. AWS

  • Utilizzare chiavi esistenti e consolidate, ad esempio le chiavi per la firma del codice AWS KMS, la firma dei certificati PKI e le applicazioni con certificato bloccato

  • Per impostare una scadenza per il materiale chiave AWS e per eliminarlo manualmente, ma anche per renderlo nuovamente disponibile in futuro. La pianificazione, dell'eliminazione di una chiave, invece, richiede un periodo di attesa compreso tra 7 e 30 giorni, trascorso il quale non puoi più recuperare la chiave KMS eliminata.

  • Possedere la copia originale del materiale chiave e conservarla all'esterno AWS per una maggiore durabilità e ripristino di emergenza durante l'intero ciclo di vita del materiale chiave.

  • Per le chiavi asimmetriche e le chiavi HMAC, l'importazione crea chiavi compatibili e interoperabili che funzionano all'interno e all'esterno di. AWS

È possibile controllare e monitorare l'uso e la gestione di una chiave KMS con materiale chiave importato. AWS KMS registra un evento nel AWS CloudTrail registro quando crei la chiave KMS, scarichi la chiave pubblica di wrapping e importi il token e importi il materiale chiave. AWS KMS registra anche un evento quando si elimina manualmente il materiale chiave importato o quando si AWS KMS elimina il materiale chiave scaduto.

Per informazioni sulle differenze importanti tra le chiavi KMS con materiale chiave importato e quelle con materiale chiave generato da AWS KMS, vedere. Informazioni sul materiale della chiave importato

Chiavi KMS supportate

AWS KMS supporta materiale chiave importato per i seguenti tipi di chiavi KMS. Non puoi importare il materiale della chiave in chiavi KMS in archivi di chiavi personalizzate.

Regioni

Il materiale chiave importato è supportato in tutti i supporti. Regioni AWS AWS KMS

Nelle regioni della Cina, i requisiti materiali chiave per le chiavi KMS con crittografia simmetrica sono diversi da quelli delle altre regioni. Per informazioni dettagliate, vedi Importazione del materiale delle chiavi Fase 3: crittografare il materiale delle chiavi.

Argomenti