As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Importação de material chave para AWS KMS chaves
<a name="importing-keys"></a>

Você pode criar uma AWS KMS keys (chave KMS) com o material de chave fornecido por você. 

Uma chave do KMS é uma representação lógica de uma chave de dados. Os metadados de uma chave do KMS incluem o ID do material de chave usado para executar operações criptográficas. Quando você [cria uma chave KMS](create-keys.md), por padrão, AWS KMS gera o material da chave para essa chave KMS. No entanto, você pode criar uma chave do KMS sem material de chave e importar o seu próprio material de chaves para essa chave do KMS, um recurso normalmente conhecido como "traga sua própria chave" (BYOK).

![\[Ícone de chave que destaca o material de chave que ele representa.\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/import-key.png)


**nota**  
AWS KMS não suporta a descriptografia de nenhum AWS KMS texto cifrado criptografado por uma chave KMS de criptografia simétrica externa AWS KMS, mesmo que o texto cifrado tenha sido criptografado em uma chave KMS com material de chave importado. AWS KMS não publica o formato de texto cifrado exigido por essa tarefa e o formato pode ser alterado sem aviso prévio.

Ao usar material de chave importado, você permanece responsável pelo material de chaves, AWS KMS permitindo o uso de uma cópia dele. Você pode optar por fazer isso por um ou mais dos seguintes motivos:
+ Para comprovar que o material de chaves foi gerado usando uma origem de entropia que atende aos seus requisitos. 
+ Para usar o material chave de sua própria infraestrutura com AWS serviços e AWS KMS para gerenciar o ciclo de vida desse material chave em seu interior. AWS
+ Para usar chaves existentes e bem estabelecidas AWS KMS, como chaves para assinatura de código, assinatura de certificado PKI e aplicativos fixados em certificados
+ Para definir um prazo de validade para o material de chave AWS e [excluí-lo manualmente](importing-keys-delete-key-material.md), mas também para disponibilizá-lo novamente no futuro. Por outro lado, [programar a exclusão de chaves](deleting-keys.md#deleting-keys-how-it-works) exige um período de espera de 7 a 30 dias, após os quais você não pode recuperar a chave do KMS excluída.
+ Possuir a cópia original do material principal e mantê-la do lado de fora AWS para maior durabilidade e recuperação de desastres durante todo o ciclo de vida do material principal.
+ Para chaves assimétricas e chaves HMAC, a importação cria chaves compatíveis e interoperáveis que operam dentro e fora dela. AWS

**Tipos de chave do KMS com suporte**

AWS KMS suporta material de chave importado para os seguintes tipos de chaves KMS. Não é possível importar material de chave para chaves do KMS em [repositórios de chaves personalizados](key-store-overview.md#custom-key-store-overview).
+ [Chaves do KMS de criptografia simétrica](symm-asymm-choose-key-spec.md#symmetric-cmks)
+ [Chaves do KMS assimétricas (exceto chaves ML-DSA)](symmetric-asymmetric.md)
+ [Chaves do KMS de HMAC](hmac.md)
+ [Chaves multirregionais](multi-region-keys-overview.md) de todos os tipos compatíveis.

**Regiões**

O material chave importado é suportado em todos Regiões da AWS os AWS KMS suportes.

Nas regiões da China, os requisitos de material de chave para chaves do KMS de criptografia simétrica são diferentes dos requisitos de outras regiões. Para obter detalhes, consulte [Etapa 3: Criptografar o material de chave](importing-keys-encrypt-key-material.md).

**Saiba mais**
+ Para criar chaves do KMS com material de chave importado, consulte [Criar uma chave do KMS com material de chave importado](importing-keys-conceptual.md).
+ Para criar um alarme que envie uma notificação quando o material de chave importado em uma chave do KMS estiver se aproximando da data de expiração, consulte [Crie um CloudWatch alarme para expiração do material chave importado](imported-key-material-expiration-alarm.md).
+ Para reimportar o material de chave para uma chave do KMS, consulte [Reimportar material de chave](importing-keys-import-key-material.md#reimport-key-material).
+ Para importar novo material de chave para uma chave do KMS para rodízio sob demanda, consulte [Importar novo material de chave](importing-keys-import-key-material.md#import-new-key-material) e [Executar alternância de chaves sob demanda](rotating-keys-on-demand.md). 
+ Para identificar e visualizar chaves do KMS com material de chave importado, consulte [Identificar chaves do KMS com material de chave importado](identify-key-types.md#identify-imported-keys).
+ Para conhecer considerações especiais sobre a exclusão de chaves do KMS com material de chave importado, consulte [Deleting KMS keys with imported key material](deleting-keys.md#import-delete-key).

# Considerações espeicias para material de chave importado
<a name="importing-keys-considerations"></a>

Antes de decidir importar material de chave para AWS KMS, você deve compreender as seguintes características do material de chave importado.

**Você gera o material de chave**  
Você é responsável por gerar o material de chaves usando uma origem de aleatoriedade que atende aos seus requisitos de segurança.

**Você é responsável pela disponibilidade e durabilidade**  
AWS KMS foi projetado para manter o material chave importado altamente disponível. Mas AWS KMS não mantém a durabilidade do material chave importado no mesmo nível do material chave AWS KMS gerado. Para obter detalhes, consulte [Proteger o material de chave importada](import-keys-protect.md).

**Você pode excluir o material de chave.**  
Você pode [excluir material de chave importado](importing-keys-delete-key-material.md) de uma chave do KMS, tornando imediatamente a chave do KMS inutilizável. Além disso, ao importar o material de chave para uma chave do KMS, é possível determinar se a chave expira e [definir seu prazo de validade](importing-keys-import-key-material.md#importing-keys-expiration). Quando o prazo de validade chegar, AWS KMS [exclui o material da chave](importing-keys-delete-key-material.md). Sem o material de chave, a chave do KMS não pode ser usada em nenhuma operação criptográfica. Para restaurar a chave, é necessário reimportar o mesmo material de chave para a chave. 

**Você não pode alterar o material da chave para chaves assimétricas e HMAC**  
Quando você importa o material de chave para uma chave do KMS, esta é associada permanentemente a esse material de chave. Você pode [reimportar o mesmo material de chaves](importing-keys-import-key-material.md#reimport-key-material), mas não pode importar outro material de chaves para essa chave do KMS. Além disso, não é possível [habilitar a alternância automática de chaves](rotate-keys.md) de uma chave do KMS com material de chaves importado. No entanto, você pode [alternar manualmente uma chave do KMS](rotate-keys-manually.md) com material de chave importado. 

**Você pode executar a rotação sob demanda em chaves de criptografia simétricas**  
Chaves de criptografia simétricas com material de chave importado oferecem suporte à rotação sob demanda. Você pode [importar vários materiais de chave](importing-keys-import-key-material.md#import-new-key-material) para essas chaves e usar [rodízio sob demanda](rotating-keys-on-demand.md) para atualizar o material de chave atual. O material de chave atual é usado tanto para criptografia quanto para descriptografia, mas outros materiais de chave (não atuais) podem ser usados somente para decodificação. 

**Não é possível alterar a origem do material de chave**  
As chaves do KMS projetadas para material de chave importado têm um valor de [origem](create-keys.md#key-origin) de `EXTERNAL` que não pode ser alterado. Você não pode converter uma chave KMS de material de chave importado para usar material de chave de qualquer outra fonte, inclusive AWS KMS. Da mesma forma, você não pode converter uma chave KMS com material de AWS KMS chave em uma projetada para material de chave importado.

**Não é possível exportar material de chave**  
Você não pode exportar nenhum material de chave que tenha importado. AWS KMS não é possível devolver o material da chave importada para você de nenhuma forma. Você deve manter uma cópia do material de chaves importado fora dele AWS, de preferência em um gerenciador de chaves, como um módulo de segurança de hardware (HSM), para poder reimportar o material de chaves se você excluí-lo ou se ele expirar.

**É possível criar chaves de várias regiões com material de chave importado.**  
A chave de várias regiões com material de chave importado tem recursos das chaves do KMS com material de chave importado e pode interoperar entre as Regiões da AWS. Para criar uma chave de várias regiões com material de chave importado, você deve importar o mesmo material de chave para a chave do KMS primária e para cada chave de réplica. Para obter mais detalhes sobre a importação de materiais essenciais para chaves multirregionais, consulte. [Importar novo material de chave](importing-keys-import-key-material.md#import-new-key-material)

**As chaves assimétricas e as chaves de HMAC são portáteis e interoperáveis**  
Você pode usar seu material de chave assimétrica e material de chave HMAC externamente AWS para interoperar com AWS KMS chaves com o mesmo material de chave importado.   
Ao contrário do texto cifrado AWS KMS simétrico, que está inextricavelmente vinculado à chave KMS usada no algoritmo, AWS KMS usa formatos HMAC e assimétricos padrão para criptografia, assinatura e geração de MAC. Como resultado, as chaves são portáteis e compatíveis com cenários tradicionais de garantia de chaves.  
Quando sua chave KMS tiver importado material de chave, você poderá usar o material de chave importado de fora AWS para realizar as seguintes operações.  
+ Chaves de HMAC — É possível verificar uma etiqueta de HMAC que foi gerada pela chave do KMS de HMAC com material de chave importado. Você também pode usar a chave HMAC KMS com o material de chave importado para verificar uma tag HMAC que foi gerada pelo material de chave externo. AWS
+ Chaves de criptografia assimétricas — Você pode usar sua chave privada de criptografia assimétrica externa para AWS descriptografar um texto cifrado criptografado pela chave KMS com a chave pública correspondente. Você também pode usar sua chave KMS assimétrica para descriptografar um texto cifrado assimétrico que foi gerado fora do. AWS
+ Chaves de assinatura assimétrica — Você pode usar sua chave KMS de assinatura assimétrica com material de chave importado para verificar as assinaturas digitais geradas por sua chave de assinatura privada fora da. AWS Você também pode usar sua chave de assinatura pública assimétrica no exterior AWS para verificar as assinaturas geradas pela sua chave KMS assimétrica.
+ Chaves de acordo de chave assimétrica: é possível usar a chave do KMS de acordo de chave assimétrica com material de chave importado para obter segredos compartilhados com um par fora da AWS.
Se você importar o mesmo material de chave para chaves do KMS diferentes da mesma Região da AWS, essas chaves também serão interoperáveis. Para criar chaves KMS interoperáveis em diferentes Regiões da AWS, crie uma chave multirregional com material de chave importado.  

**Chaves privadas RSA**
+ AWS KMS exige que as chaves privadas RSA importadas tenham fatores primos em conformidade com o teste descrito no [FIPS 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf), Seção A. 1.3. Outros software ou dispositivos podem usar algoritmos diferentes para validar esses fatores primos de chaves privadas RSA. Em casos raros, chaves validadas usando outros algoritmos podem não ser aceitas pelo AWS KMS.

**As chaves de criptografia simétricas não são portáteis nem interoperáveis**  
Os textos cifrados simétricos que AWS KMS produz não são portáteis nem interoperáveis. AWS KMS não publica o formato de texto cifrado simétrico exigido pela portabilidade, e o formato pode mudar sem aviso prévio.   
+ AWS KMS não é possível descriptografar textos cifrados simétricos que você criptografa fora AWS, mesmo se você usar material de chave que tenha importado. 
+ AWS KMS não suporta a descriptografia de nenhum texto cifrado AWS KMS simétrico fora do AWS KMS, mesmo que o texto cifrado tenha sido criptografado em uma chave KMS com material de chave importado.
+ As chaves do KMS com o mesmo material de chave importado não são interoperáveis. O texto cifrado simétrico que AWS KMS gera um texto cifrado específico para cada chave KMS. Esse formato de texto cifrado garante que somente a chave do KMS que criptografou os dados poderá descriptografá-los. 
Além disso, você não pode usar nenhuma AWS ferramenta, como a [criptografia do lado do cliente [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)ou do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html), para descriptografar textos cifrados simétricos. AWS KMS   
Como resultado, você não pode usar chaves com material de chave importado para apoiar acordos de custódia de chaves em que um terceiro autorizado com acesso condicional ao material de chaves possa decifrar determinados textos cifrados fora do. AWS KMS Para oferecer suporte à garantia de chave, use o [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/java-example-code.html#java-example-multiple-providers) para criptografar sua mensagem em uma chave que seja independente do AWS KMS.

# Proteger o material de chave importada
<a name="import-keys-protect"></a>

O material de chave importada é protegido em trânsito e em repouso. Antes de importar o material da chave, você criptografa (ou “empacota”) o material da chave com a chave pública de um par de chaves RSA gerado nos módulos de segurança de AWS KMS hardware (HSMs) validados pelo Programa de Validação do Módulo Criptográfico [FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884). É possível criptografar o material da chave diretamente com a chave pública de empacotamento ou criptografar o material da chave com uma chave simétrica AES e, em seguida, criptografar a chave simétrica AES com a chave pública RSA.

Após o recebimento, AWS KMS descriptografa o material da chave com a chave privada correspondente em um AWS KMS HSM e o recriptografa sob uma chave simétrica AES que existe somente na memória volátil do HSM. O material de chave nunca sai do HSM em texto sem formatação. Ele é descriptografado somente enquanto está em uso e somente dentro dele. AWS KMS HSMs

O uso da chave do KMS com material de chave importado é determinado exclusivamente pelas [políticas de controle de acesso](control-access.md) que você define na chave do KMS. Além disso, é possível usar [aliases](kms-alias.md) e [tags](tagging-keys.md) para identificar e [controlar o acesso](abac.md) à chave do KMS. É possível [habilitar e desabilitar](enabling-keys.md) a chave, [visualizar](viewing-keys.md) e [monitorar](monitoring-overview.md) a chave usando serviços como o AWS CloudTrail. 

No entanto, você mantém a única cópia à prova de falhas do seu material de chave. Em troca dessa medida extra de controle, você é responsável pela durabilidade e disponibilidade geral do material chave importado. AWS KMS foi projetado para manter o material chave importado altamente disponível. Mas AWS KMS não mantém a durabilidade do material chave importado no mesmo nível do material chave AWS KMS gerado.

Essa diferença em durabilidade é importante nos seguintes casos:
+ Quando você [define um prazo de validade](importing-keys-import-key-material.md#importing-keys-expiration) para o material de chaves importado, AWS KMS exclui o material de chaves depois que ele expira. AWS KMS não exclui a chave KMS nem seus metadados. Você pode [criar um CloudWatch alarme da Amazon](imported-key-material-expiration-alarm.md) que o notifique quando o material de chave importado estiver se aproximando da data de expiração.

  Você não pode excluir o material de chave AWS KMS gerado para uma chave KMS e não pode definir que o material de AWS KMS chave expire.
+ Quando você [exclui manualmente o material da chave importada](importing-keys-delete-key-material.md), AWS KMS exclui o material da chave, mas não exclui a chave KMS ou seus metadados. Por outro lado, o [agendamento da exclusão da chave](deleting-keys.md#deleting-keys-how-it-works) requer um período de espera de 7 a 30 dias, após o qual exclui AWS KMS permanentemente a chave KMS, seus metadados e seu material de chaves.
+ No caso improvável de certas falhas em toda a região que afetem AWS KMS (como perda total de energia), AWS KMS não é possível restaurar automaticamente o material de chave importado. No entanto, AWS KMS pode restaurar a chave KMS e seus metadados.

Você *deve* reter uma cópia do material de chave importado fora AWS de um sistema que você controla. Recomendamos armazenar uma cópia exportável do material de chave importado em um sistema de gerenciamento de chaves, como um HSM. Como prática recomendada, você deve armazenar uma referência ao ARN da chave do KMS e ao ID do material de chave gerado pelo AWS KMS junto com a cópia exportável do material de chave. Se o material de chave importado for excluído ou expirar, a chave do KMS associada se tornará inutilizável até que você reimporte o mesmo material de chave. Se o material de chave importada for perdido permanentemente, todo texto cifrado criptografado sob a chave do KMS será irrecuperável. 

**Importante**  
As chaves de criptografia simétricas podem ter vários materiais de chave associados a elas. Toda a chave KMS se torna inutilizável assim que você exclui qualquer um desses materiais de chave ou se algum desses materiais de chave expirar (a menos que o material de chave excluído ou expirado seja ou). `PENDING_ROTATION` `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` Você deve reimportar qualquer material de chave expirado ou excluído associado a essa chave antes que a chave se torne utilizável para operações criptográficas.