本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
保护导入的密钥材料
您导入的密钥材料在传输中和静态时都受到保护。在导入密钥材料之前,您需要使用在 FIPS140-2 加密模块验证计划下验证的 AWS KMS 硬件安全模块 () 中生成的RSA密钥对的公钥来加密(或 “包装”HSMs)密钥
收到后,使用相应的私钥对 AWS KMS 密钥材料进行解密, AWS KMS HSM并使用仅存在于易失性存储器中的对AES称密钥对其进行重新加密。HSM您的密钥材料永远不会以纯文本HSM形式留下。它仅在使用时解密,并且仅在使用中解密。 AWS KMS HSMs
将KMS密钥与导入的密钥材料一起使用完全取决于您在KMS密钥上设置的访问控制策略。此外,您还可以使用别名和标签来识别和控制对KMS密钥的访问。您可以使用 AWS CloudTrail等服务启用和禁用密钥,以及查看和监控密钥。
但是,您将保留密钥材料的唯一故障保护副本。作为这种额外控制措施的回报,您应对进口密钥材料的耐用性和整体可用性负责。 AWS KMS 旨在保持导入的密钥材料的高可用性。但是 AWS KMS 不能将进口密钥材料的耐久性保持在与 AWS KMS 生成的密钥材料相同的水平。
在以下情况下,这种持久性的差异是有意义的:
-
当您为导入的密钥材料设置过期时间时,将在密钥材料到期后将其 AWS KMS 删除。 AWS KMS 不会删除KMS密钥或其元数据。您可以创建一个 Amazon CloudWatch 警报,在导入的密钥材料即将到期时通知您。
您不能删除为密钥 AWS KMS 生成的KMS密钥材料,也不能将 AWS KMS 密钥材料设置为过期,尽管您可以轮换密钥材料。
-
手动删除导入的密钥材料时, AWS KMS 会删除密钥材料,但不会删除KMS密钥或其元数据。相比之下,计划删除密钥需要等待 7 到 30 天,之后将 AWS KMS 永久删除KMS密钥、其元数据和密钥材料。
-
万一发生某些影响整个地区的故障 AWS KMS (例如完全断电), AWS KMS 则无法自动恢复导入的密钥材料。但是, AWS KMS 可以恢复KMS密钥及其元数据。
您必须在您控制的系统之外保留一份导入 AWS 的密钥材料的副本。我们建议您将导入的密钥材料的可导出副本存储在密钥管理系统中,HSM例如。如果您导入的密钥材料被删除或过期,则其关联的KMS密钥将无法使用,直到您重新导入相同的密钥材料。如果您导入的密钥材料永久丢失,则在该密钥下加密的任何密文都将无法KMS恢复。
