As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Você pode criar uma AWS KMS keys (chave KMS) com o material de chave fornecido por você.
Uma chave do KMS é uma representação lógica de uma chave de dados. Os metadados de uma chave do KMS incluem o ID do material de chave usado para executar operações criptográficas. Quando você cria uma chave KMS, por padrão, AWS KMS gera o material da chave para essa chave KMS. No entanto, você pode criar uma chave do KMS sem material de chave e importar o seu próprio material de chaves para essa chave do KMS, um recurso normalmente conhecido como "traga sua própria chave" (BYOK).
nota
AWS KMS não suporta a descriptografia de nenhum AWS KMS texto cifrado criptografado por uma chave KMS de criptografia simétrica externa AWS KMS, mesmo que o texto cifrado tenha sido criptografado em uma chave KMS com material de chave importado. AWS KMS não publica o formato de texto cifrado exigido por essa tarefa e o formato pode ser alterado sem aviso prévio.
Ao usar material de chave importado, você permanece responsável pelo material de chaves, AWS KMS permitindo o uso de uma cópia dele. Você pode optar por fazer isso por um ou mais dos seguintes motivos:
-
Para comprovar que o material de chaves foi gerado usando uma origem de entropia que atende aos seus requisitos.
-
Para usar o material chave de sua própria infraestrutura com AWS serviços e AWS KMS para gerenciar o ciclo de vida desse material chave em seu interior. AWS
-
Para usar chaves existentes e bem estabelecidas AWS KMS, como chaves para assinatura de código, assinatura de certificado PKI e aplicativos fixados em certificados
-
Para definir um prazo de validade para o material de chave AWS e excluí-lo manualmente, mas também para disponibilizá-lo novamente no futuro. Por outro lado, programar a exclusão de chaves exige um período de espera de 7 a 30 dias, após os quais você não pode recuperar a chave do KMS excluída.
-
Possuir a cópia original do material principal e mantê-la do lado de fora AWS para maior durabilidade e recuperação de desastres durante todo o ciclo de vida do material principal.
-
Para chaves assimétricas e chaves HMAC, a importação cria chaves compatíveis e interoperáveis que operam dentro e fora dela. AWS
Tipos de chave do KMS com suporte
AWS KMS suporta material de chave importado para os seguintes tipos de chaves KMS. Não é possível importar material de chave para chaves do KMS em repositórios de chaves personalizados.
-
Chaves multirregionais de todos os tipos compatíveis.
Regiões
O material chave importado é suportado em todos Regiões da AWS os AWS KMS suportes.
Nas regiões da China, os requisitos de material de chave para chaves do KMS de criptografia simétrica são diferentes dos requisitos de outras regiões. Para obter detalhes, consulte Etapa 3: Criptografar o material de chave.
Saiba mais
-
Para criar chaves do KMS com material de chave importado, consulte Criar uma chave do KMS com material de chave importado.
-
Para criar um alarme que envie uma notificação quando o material de chave importado em uma chave do KMS estiver se aproximando da data de expiração, consulte Crie um CloudWatch alarme para expiração do material chave importado.
-
Para reimportar o material de chave para uma chave do KMS, consulte Reimportar material de chave.
-
Para identificar e visualizar chaves do KMS com material de chave importado, consulte Identificar chaves do KMS com material de chave importado.
-
Para conhecer considerações especiais sobre a exclusão de chaves do KMS com material de chave importado, consulte Deleting KMS keys with imported key material.
