本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 保护导入的密钥材料 您导入的密钥材料在传输中和静态时都受到保护。在导入密钥材料之前,您需要使用在 [FIPS 140-3 加密模块验证计划下验证的 AWS KMS 硬件安全模块 () 中生成的 RSA 密钥对的公钥来加密](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884)(或 “包装”HSMs)密钥材料。您可以使用包装公有密钥直接加密密钥材料,也可以使用 AES 对称密钥加密密钥材料,然后使用 RSA 公有密钥加密 AES 对称密钥。 收到后,使用 HSM 中的相应私钥对 AWS KMS 密钥材料进行解密,然后使用仅存在于 AWS KMS HSM 易失性存储器中的 AES 对称密钥对其进行重新加密。您的密钥材料绝不会让 HSM 处于纯文本状态。它仅在使用时解密,并且仅在使用中解密。 AWS KMS HSMs 您的 KMS 密钥与导入的密钥材料的使用完全取决于您在 KMS 密钥上设置的[访问控制策略](control-access.md)。此外,您还可以使用[别名](kms-alias.md)和[标签](tagging-keys.md)来识别和[控制对 KMS 密钥的访问](abac.md)。您可以使用 AWS CloudTrail等服务[启用和禁用](enabling-keys.md)密钥,以及[查看](viewing-keys.md)和[监控](monitoring-overview.md)密钥。 但是,您将保留密钥材料的唯一故障保护副本。作为这种额外控制措施的回报,您应对进口密钥材料的耐用性和整体可用性负责。 AWS KMS 旨在保持导入的密钥材料的高可用性。但是 AWS KMS 不能将进口密钥材料的耐久性保持在与 AWS KMS 生成的密钥材料相同的水平。 在以下情况下,这种持久性的差异是有意义的: + 当您为导入[的密钥材料设置过期时间](importing-keys-import-key-material.md#importing-keys-expiration)时,将在密钥材料到期后将其 AWS KMS 删除。 AWS KMS 不会删除 KMS 密钥或其元数据。您可以[创建一个 Amazon CloudWatch 警报](imported-key-material-expiration-alarm.md),在导入的密钥材料即将到期时通知您。 您无法删除为 KMS 密钥 AWS KMS 生成的密钥材料,也不能将 AWS KMS 密钥材料设置为过期。 + [手动删除导入的密钥材料](importing-keys-delete-key-material.md)时, AWS KMS 会删除密钥材料,但不会删除 KMS 密钥或其元数据。相比之下,[计划删除密钥](deleting-keys.md#deleting-keys-how-it-works)需要等待 7 到 30 天,之后会 AWS KMS 永久删除 KMS 密钥、其元数据和密钥材料。 + 万一发生某些影响整个地区的故障 AWS KMS (例如完全断电), AWS KMS 则无法自动恢复导入的密钥材料。但是, AWS KMS 可以恢复 KMS 密钥及其元数据。 您*必须在*您控制的系统之外保留一份导入 AWS 的密钥材料的副本。我们建议您将导入的密钥材料的可导出副本存储在密钥管理系统中,例如 HSM。根据最佳实践要求,应将 AWS KMS 生成的对 KMS 密钥 ARN 和生成的密钥材料 ID 的引用与该密钥材料的可导出副本一同保存。如果您导入的密钥材料被删除或过期,则其关联的 KMS 密钥将无法使用,直到您重新导入相同的密钥材料。如果您导入的密钥材料永久丢失,则以 KMS 密钥加密的任何加密文字都将无法恢复。 **重要** 对称加密密钥可以有多个与之关联的密钥材料。一旦您删除其中任何一个密钥材料或其中任何一个密钥材料过期(除非已删除或即将到期的密钥材料为或),则整个 KMS 密钥将无法使用。`PENDING_ROTATION` `PENDING_MULTI_REGION_IMPORT_AND_ROTATION`您必须重新导入与密钥关联的所有已过期或已删除密钥材料,然后该密钥才能用于密码操作。