As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Etapa 4: Importar o material de chave
Depois de criptografar o material de chave, você pode importá-lo para uso com uma AWS KMS key. Para importar o material de chaves, você faz upload do material de chaves criptografado de Etapa 3: Criptografar o material de chave e o token de importação que você baixou em Etapa 2: Fazer download da chave pública de empacotamento e do token de importação. É necessário importar o material de chaves para a mesma chave do KMS que especificou quando você baixou a chave pública e o token de importação. Quando o material da chaves é importado com êxito, o estado da chave da chave do KMS muda para Enabled, e você pode usar a chave do KMS em operações de criptografia.
Ao importar material de chaves, é possível definir uma hora de expiração opcional para ele. Quando o material de chave perde a validade, o AWS KMS exclui o material de chave e a chave KMS se torna inutilizável. Para usar a chave do KMS em operações criptográficas, você deve reimportar o mesmo material de chaves. Depois de importar o material de chaves, você não pode definir, alterar ou cancelar a data de expiração da importação atual. Para alterar esses valores, você deve deletar e reimportar o mesmo material de chaves.
Para importar o material de chaves, você pode usar o console do AWS KMS ou a API do ImportKeyMaterial. É possível usar a API diretamente, fazendo solicitações HTTP ou usando AWS SDKs
Ao importar o material de chave, uma entrada ImportKeyMaterial é adicionada ao log do AWS CloudTrail para registrar a operação ImportKeyMaterial. A entrada do CloudTrail é a mesma, quer você use o console do AWS KMS ou a API do AWS KMS.
Definir um prazo de validade (opcional)
Ao importar o material de chave para a chave do KMS, você pode definir uma data e hora de validade opcionais para o material de chave de até 365 dias a partir da data de importação. Quando o material de chave importado expira, o AWS KMS o exclui. Essa ação altera estado de chave da chave do KMS para PendingImport, impedindo que ela seja usada em operações de criptografia. Para usar a chave do KMS, você deve reimportar uma cópia do material de chave original.
Garantir que o material de chave importado expire com frequência pode ajudar a atender aos requisitos regulatórios, mas aumenta o risco dos dados criptografados sob a chave do KMS. Até que você reimporte uma cópia do material da chave original, uma chave do KMS com material de chave expirado ficará inutilizável, e todos os dados criptografados sob a chave do KMS ficarão inacessíveis. Se você não reimportar o material da chave por qualquer motivo, inclusive por perda da cópia do material da chave original, a chave do KMS ficará permanentemente inutilizável, e os dados criptografados sob a chave do KMS ficarão irrecuperáveis.
Para mitigar esse risco, verifique se sua cópia do material de chaves importado está acessível e crie um sistema para excluir e reimportar o material da chave antes que ele expire e interrompa sua workload da AWS. Recomendamos definir um alarme para a expiração do material de chave importado, o que lhe dará tempo suficiente para reimportar o material da chave antes que ele expire. Você também pode usar seus logs do CloudTrail para auditar operações que importam (e reimportam) material de chave e excluem material de chave importado, além da operação do AWS KMS para excluir material de chave expirado.
Você pode importar material de chave diferente para a chave do KMS, e o AWS KMS não pode restaurar, recuperar ou reproduzir o material da chave excluído. Em vez de definir um prazo de validade, você pode excluir e reimportar o material de chave importado de maneira programática periodicamente, mas os requisitos para reter uma cópia do material da chave original são os mesmos.
Ao importar o material de chave, você determina se o material de chave importado expirará e quando isso ocorrerá. Mas é possível ativar e desativar a expiração ou definir um novo prazo de validade excluindo e reimportando o material da chave. Use o parâmetro ExpirationModel de importKeyMaterial para ativar (KEY_MATERIAL_EXPIRES) e desativar (KEY_MATERIAL_DOES_NOT_EXPIRE) e o parâmetro ValidTo para definir o prazo de validade. O tempo máximo é de 365 dias a partir da importação de dados. Não há mínimo, mas o tempo deve estar no futuro.
Reimportar material de chave
Se você gerencia uma chave do KMS com material de chaves importado, talvez seja necessário importar novamente o material de chave. Você também reimportar o material de chave para substituir material de chave prestes a expirar ou excluído ou para alterar o modelo de expiração ou a data de validade do material de chave.
Quando você importa o material de chave para uma chave do KMS, esta é associada permanentemente a esse material de chave. Você pode reimportar o mesmo material de chaves, mas não pode importar outro material de chaves para essa chave do KMS. Você não pode alternar o material de chave e o AWS KMS não pode criar esse material de chave para uma chave do KMS com material de chave importado.
Você pode reimportar material da chave a qualquer momento, em qualquer programação que atenda aos seus requisitos de segurança. Não é necessário esperar até que o material da chave esteja expirando ou prestes a expirar.
Os procedimentos para reimportar material de chave são iguais ao procedimento que você usou para importar o material de chave na primeira vez, com as seguintes exceções.
-
Utilize uma chave do KMS existente em vez de criar uma nova. Você pode ignorar a Etapa 1 do procedimento de importação.
-
Ao reimportar o material de chave, você pode alterar o modelo de expiração e data de expiração.
Cada vez que você importa o material de chave para uma chave do KMS, é necessário baixar e usar uma nova chave de empacotamento e token de importação da chave do KMS. O procedimento de empacotamento não afeta o conteúdo do material de chave, portanto você pode usar diferentes chaves públicas de empacotamento e diferentes algoritmos de empacotamento para importar o mesmo material de chave.
Importar o material de chave (console)
Você pode usar o AWS Management Console para importar o material de chaves.
-
Se você estiver na página Upload your wrapped key material (Fazer upload de chave empacotada), vá para Passo 8.
-
Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms
. -
Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.
-
No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).
-
Escolha o alias ou o ID da chave do KMS para a qual você baixou a chave pública e o token de importação.
-
Expanda a seção Cryptographic configuration (Configuração criptográfica) e visualize seus valores. As guias estão na página de detalhes de uma chave do KMS, abaixo da seção General configuration (Configuração geral).
É possível importar material de chaves somente para uma chave do KMS com uma Origin (Origem) de External (Import key material) (Externa [Importar material de chave]). Para obter informações sobre como criar chaves do KMS com material de chave importado, consulte Importação de material chave para AWS KMS chaves.
-
Escolha a guia Key material (Material de chaves) e, em seguida, Import key material (Importar material de chave). A guia Key material (Material de chave) aparece somente para chaves do KMS com um valor Origin (Origem) de External (Import key material) (Externo (Importar material de chave)).
Se você baixou o material da chave, o token de importação e criptografou o material da chave, escolha Next (Avançar).
-
Na seção Encrypted key material and import token (Material de chave criptografada e token de importação), faça o seguinte:
-
Em Wrapped key material (material de chave empacotada), escolha Choose file (Escolher arquivo). Faça upload do arquivo que contém o material de chaves encapsulado (criptografado).
-
Em Import token (Importar token), escolha Choose file (Escolher arquivo). Faça upload do arquivo que contém o token de importação obtido por download.
-
-
Na seção Expiration option (Opção de expiração), determine se o material de chave expira. Para definir uma data e hora de expiração, escolha Key material expires (O material de chaves expira), e use o calendário para selecionar uma data e hora. Você pode especificar uma data de até 365 dias da data e hora atuais.
-
Selecione Upload key material (Fazer upload do material de chaves).
Importar material de chave (API do AWS KMS)
Para importar material de chaves, use a operação ImportKeyMaterial. O exemplo a seguir usa a AWS CLI
Para usar este exemplo:
-
Substitua
1234abcd-12ab-34cd-56ef-1234567890ab -
Substitua
EncryptedKeyMaterial.bin -
Substitua
ImportToken.bin -
Se você quiser que o material da chave importada expire, defina o valor do parâmetro
expiration-modelpara seu valor padrão,KEY_MATERIAL_EXPIRES, ou omita o parâmetroexpiration-model. Em seguida, substitua o valor do parâmetrovalid-tocom a data e a hora em que você deseja que o material da chave expire. A data e a hora podem ser de até 365 dias a partir do momento da solicitação.$aws kms import-key-material --key-id1234abcd-12ab-34cd-56ef-1234567890ab\ --encrypted-key-material fileb://EncryptedKeyMaterial.bin\ --import-token fileb://ImportToken.bin\ --expiration-modelKEY_MATERIAL_EXPIRES\ --valid-to2023-06-17T12:00:00-08:00Se você não quiser que o material da chave importada expire, defina o valor do parâmetro
expiration-modelcomoKEY_MATERIAL_DOES_NOT_EXPIREe omita o parâmetrovalid-todo comando.$aws kms import-key-material --key-id1234abcd-12ab-34cd-56ef-1234567890ab\ --encrypted-key-material fileb://EncryptedKeyMaterial.bin\ --import-token fileb://ImportToken.bin\ --expiration-modelKEY_MATERIAL_DOES_NOT_EXPIRE
dica
Se o comando não for bem-sucedido, você poderá ver uma KMSInvalidStateException ou NotFoundException. Você poderá repetir a solicitação.
