As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Considerações espeicias para material de chave importado
Antes de decidir importar material de chave para AWS KMS, você deve compreender as seguintes características do material de chave importado.
- Você gera o material de chave
-
Você é responsável por gerar o material de chaves usando uma origem de aleatoriedade que atende aos seus requisitos de segurança.
- Você pode excluir o material de chave.
-
Você pode excluir o material de chave importado de uma KMS chave, tornando-a imediatamente KMS inutilizável. Além disso, ao importar material de chave em uma KMS chave, você pode determinar se a chave expira e definir seu tempo de expiração. Quando o prazo de validade chegar, AWS KMS exclui o material da chave. Sem o material da chave, a KMS chave não pode ser usada em nenhuma operação criptográfica. Para restaurar a chave, é necessário reimportar o mesmo material de chave para a chave.
- Não é possível alterar o material de chave
-
Quando você importa material de chave em uma KMS chave, a KMS chave é permanentemente associada a esse material de chave. Você pode reimportar o mesmo material de chave, mas não pode importar material de chave diferente para essa KMS chave. Além disso, você não pode ativar a rotação automática de chaves para uma KMS chave com material de chave importado. No entanto, você pode girar manualmente uma KMS chave com material de chave importado.
- Não é possível alterar a origem do material de chave
-
KMSas chaves projetadas para material de chave importado têm um valor de origem
EXTERNALque não pode ser alterado. Você não pode converter uma KMS chave de material de chave importado para usar material de chave de qualquer outra fonte, inclusive AWS KMS. Da mesma forma, você não pode converter uma KMS AWS KMS chave com material de chave em uma projetada para material de chave importado. - Não é possível exportar material de chave
-
Você não pode exportar nenhum material de chave que tenha importado. AWS KMS não é possível devolver o material da chave importada para você de nenhuma forma. Você deve manter uma cópia do material de chaves importado fora dele AWS, preferencialmente em um gerenciador de chaves, como um módulo de segurança de hardware (HSM), para que você possa reimportar o material de chaves se você excluí-lo ou se ele expirar.
- É possível criar chaves de várias regiões com material de chave importado.
-
A multirregião com material de chave importado tem as características de KMS chaves com material de chave importado e pode interoperar entre elas. Regiões da AWS Para criar uma chave multirregional com material de chave importado, você deve importar o mesmo material de chave para a chave primária e para cada KMS chave de réplica.
- As chaves assimétricas e as HMAC chaves são portáteis e interoperáveis
-
Você pode usar seu material de chave assimétrico e material de HMAC chave externo AWS para interoperar com AWS KMS chaves com o mesmo material de chave importado.
Ao contrário do texto cifrado AWS KMS simétrico, que está inextricavelmente vinculado à KMS chave usada no algoritmo, AWS KMS usa formatos padrão HMAC e assimétricos para criptografia, assinatura e geração. MAC Como resultado, as chaves são portáteis e compatíveis com cenários tradicionais de garantia de chaves.
Quando sua KMS chave tiver importado material de chave, você poderá usar o material de chave importado de fora AWS para realizar as seguintes operações.
-
HMACchaves — Você pode verificar uma HMAC tag que foi gerada pela HMAC KMS chave com material de chave importado. Você também pode usar a HMAC KMS chave com o material de chave importado para verificar uma HMAC tag que foi gerada pelo material de chave externo AWS.
-
Chaves de criptografia assimétricas — Você pode usar sua chave privada de criptografia assimétrica externa para AWS descriptografar um texto cifrado criptografado pela chave com a chave pública correspondente. KMS Você também pode usar sua KMS chave assimétrica para descriptografar um texto cifrado assimétrico que foi gerado fora do. AWS
-
Chaves de assinatura assimétricas — Você pode usar sua chave de assinatura assimétrica com material de KMS chave importado para verificar as assinaturas digitais geradas por sua chave de assinatura privada fora do. AWS Você também pode usar sua chave de assinatura pública assimétrica no exterior AWS para verificar as assinaturas geradas pela sua chave assimétrica. KMS
-
Chaves de acordo de chave assimétrica — Você pode usar sua chave de acordo de chave assimétrica com material de KMS chave importado para derivar segredos compartilhados com um colega externo. AWS
Se você importar o mesmo material de chave em KMS chaves diferentes na mesma chave Região da AWS, essas chaves também serão interoperáveis. Para criar KMS chaves interoperáveis em diferentes Regiões da AWS, crie uma chave multirregional com material de chave importado.
-
- As chaves de criptografia simétricas não são portáteis nem interoperáveis
-
Os textos cifrados simétricos que AWS KMS produz não são portáteis nem interoperáveis. AWS KMS não publica o formato de texto cifrado simétrico exigido pela portabilidade, e o formato pode mudar sem aviso prévio.
-
AWS KMS não é possível descriptografar textos cifrados simétricos que você criptografa fora AWS, mesmo se você usar material de chave que tenha importado.
-
AWS KMS não suporta a descriptografia de nenhum texto cifrado AWS KMS simétrico fora do AWS KMS, mesmo que o texto cifrado tenha sido criptografado sob uma chave com material de chave importado. KMS
-
KMSchaves com o mesmo material de chave importado não são interoperáveis. O texto cifrado simétrico que AWS KMS gera um texto cifrado específico para cada chave. KMS Esse formato de texto cifrado garante que somente a KMS chave que contém os dados criptografados possa descriptografá-los.
Além disso, você não pode usar nenhuma AWS ferramenta, como a criptografia do lado do cliente AWS Encryption SDKou do Amazon S3, para descriptografar textos cifrados simétricos. AWS KMS
Como resultado, você não pode usar chaves com material de chave importado para apoiar acordos de custódia de chaves em que um terceiro autorizado com acesso condicional ao material de chaves possa decifrar determinados textos cifrados fora do. AWS KMS Para oferecer suporte à garantia de chave, use o AWS Encryption SDK para criptografar sua mensagem em uma chave que seja independente do AWS KMS.
-
- Você é responsável pela disponibilidade e durabilidade
-
AWS KMS foi projetado para manter o material chave importado altamente disponível. Mas AWS KMS não mantém a durabilidade do material chave importado no mesmo nível do material chave AWS KMS gerado. Para obter detalhes, consulte Proteger o material de chave importada.
