As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Antes de decidir importar material de chave para AWS KMS, você deve compreender as seguintes características do material de chave importado.
- Você gera o material de chave
-
Você é responsável por gerar o material de chaves usando uma origem de aleatoriedade que atende aos seus requisitos de segurança.
- Você pode excluir o material de chave.
-
Você pode excluir material de chave importado de uma chave do KMS, tornando imediatamente a chave do KMS inutilizável. Além disso, ao importar o material de chave para uma chave do KMS, é possível determinar se a chave expira e definir seu prazo de validade. Quando o prazo de validade chegar, AWS KMS exclui o material da chave. Sem o material de chave, a chave do KMS não pode ser usada em nenhuma operação criptográfica. Para restaurar a chave, é necessário reimportar o mesmo material de chave para a chave.
- Não é possível alterar o material de chave
-
Quando você importa o material de chave para uma chave do KMS, esta é associada permanentemente a esse material de chave. Você pode reimportar o mesmo material de chaves, mas não pode importar outro material de chaves para essa chave do KMS. Além disso, não é possível habilitar a alternância automática de chaves de uma chave do KMS com material de chaves importado. No entanto, você pode alternar manualmente uma chave do KMS com material de chave importado.
- Não é possível alterar a origem do material de chave
-
As chaves do KMS projetadas para material de chave importado têm um valor de origem de
EXTERNALque não pode ser alterado. Você não pode converter uma chave KMS de material de chave importado para usar material de chave de qualquer outra fonte, inclusive AWS KMS. Da mesma forma, você não pode converter uma chave KMS com material de AWS KMS chave em uma projetada para material de chave importado. - Não é possível exportar material de chave
-
Você não pode exportar nenhum material de chave que tenha importado. AWS KMS não é possível devolver o material da chave importada para você de nenhuma forma. Você deve manter uma cópia do material de chaves importado fora dele AWS, de preferência em um gerenciador de chaves, como um módulo de segurança de hardware (HSM), para poder reimportar o material de chaves se você excluí-lo ou se ele expirar.
- É possível criar chaves de várias regiões com material de chave importado.
-
A chave de várias regiões com material de chave importado tem recursos das chaves do KMS com material de chave importado e pode interoperar entre as Regiões da AWS. Para criar uma chave de várias regiões com material de chave importado, você deve importar o mesmo material de chave para a chave do KMS primária e para cada chave de réplica.
- As chaves assimétricas e as chaves de HMAC são portáteis e interoperáveis
-
Você pode usar seu material de chave assimétrica e material de chave HMAC externamente AWS para interoperar com AWS KMS chaves com o mesmo material de chave importado.
Ao contrário do texto cifrado AWS KMS simétrico, que está inextricavelmente vinculado à chave KMS usada no algoritmo, AWS KMS usa formatos HMAC e assimétricos padrão para criptografia, assinatura e geração de MAC. Como resultado, as chaves são portáteis e compatíveis com cenários tradicionais de garantia de chaves.
Quando sua chave KMS tiver importado material de chave, você poderá usar o material de chave importado de fora AWS para realizar as seguintes operações.
-
Chaves de HMAC — É possível verificar uma etiqueta de HMAC que foi gerada pela chave do KMS de HMAC com material de chave importado. Você também pode usar a chave HMAC KMS com o material de chave importado para verificar uma tag HMAC que foi gerada pelo material de chave externo. AWS
-
Chaves de criptografia assimétricas — Você pode usar sua chave privada de criptografia assimétrica externa para AWS descriptografar um texto cifrado criptografado pela chave KMS com a chave pública correspondente. Você também pode usar sua chave KMS assimétrica para descriptografar um texto cifrado assimétrico que foi gerado fora do. AWS
-
Chaves de assinatura assimétrica — Você pode usar sua chave KMS de assinatura assimétrica com material de chave importado para verificar as assinaturas digitais geradas por sua chave de assinatura privada fora da. AWS Você também pode usar sua chave de assinatura pública assimétrica no exterior AWS para verificar as assinaturas geradas pela sua chave KMS assimétrica.
-
Chaves de acordo de chave assimétrica — Você pode usar sua chave KMS de acordo de chave assimétrica com material de chave importado para derivar segredos compartilhados com um colega externo. AWS
Se você importar o mesmo material de chave para chaves do KMS diferentes da mesma Região da AWS, essas chaves também serão interoperáveis. Para criar chaves KMS interoperáveis em diferentes Regiões da AWS, crie uma chave multirregional com material de chave importado.
-
- As chaves de criptografia simétricas não são portáteis nem interoperáveis
-
Os textos cifrados simétricos que AWS KMS produz não são portáteis nem interoperáveis. AWS KMS não publica o formato de texto cifrado simétrico exigido pela portabilidade, e o formato pode mudar sem aviso prévio.
-
AWS KMS não é possível descriptografar textos cifrados simétricos que você criptografa fora AWS, mesmo se você usar material de chave que tenha importado.
-
AWS KMS não suporta a descriptografia de nenhum texto cifrado AWS KMS simétrico fora do AWS KMS, mesmo que o texto cifrado tenha sido criptografado em uma chave KMS com material de chave importado.
-
As chaves do KMS com o mesmo material de chave importado não são interoperáveis. O texto cifrado simétrico que AWS KMS gera um texto cifrado específico para cada chave KMS. Esse formato de texto cifrado garante que somente a chave do KMS que criptografou os dados poderá descriptografá-los.
Além disso, você não pode usar nenhuma AWS ferramenta, como a criptografia do lado do cliente AWS Encryption SDKou do Amazon S3, para descriptografar textos cifrados simétricos. AWS KMS
Como resultado, você não pode usar chaves com material de chave importado para apoiar acordos de custódia de chaves em que um terceiro autorizado com acesso condicional ao material de chaves possa decifrar determinados textos cifrados fora do. AWS KMS Para oferecer suporte à garantia de chave, use o AWS Encryption SDK para criptografar sua mensagem em uma chave que seja independente do AWS KMS.
-
- Você é responsável pela disponibilidade e durabilidade
-
AWS KMS foi projetado para manter o material chave importado altamente disponível. Mas AWS KMS não mantém a durabilidade do material chave importado no mesmo nível do material chave AWS KMS gerado. Para obter detalhes, consulte Proteger o material de chave importada.
