导入的密钥材料的特殊注意事项

您负责使用符合您的安全要求的随机源来生成密钥材料。

您可以从密钥中删除导入的KMS密钥材料，从而立即使KMS密钥无法使用。此外，当您将密钥材料导入KMS密钥时，您可以确定密钥是否过期并设置其到期时间。到期时间到来时， AWS KMS 删除密钥材料。如果没有密钥材料，KMS密钥就不能用于任何加密操作。要还原密钥，必须将相同密钥材料重新导入到密钥中。

当您将密钥材料导入KMS密钥时，该KMS密钥将与该密钥材料永久关联。您可以重新导入相同的密钥材料，但不能将不同的密钥材料导入该KMS密钥。此外，您无法为已导入密钥材料的KMS密钥启用自动密钥轮换。但是，您可以使用导入的KMS密钥材料手动轮换密钥。

KMS为导入的密钥材料设计的密钥的原始值为EXTERNAL，无法更改。您不能将导入的KMS密钥材料的密钥转换为使用任何其他来源（包括）的密钥材料 AWS KMS。同样，您不能将带有KMS密钥材料的密 AWS KMS 钥转换为专为导入的密钥材料而设计的密钥。

您无法导出您导入的任何密钥材料。 AWS KMS 无法以任何形式将导入的密钥材料退还给您。您必须在外部保存导入的密钥材料的副本 AWS，最好是在密钥管理器中，例如硬件安全模块 (HSM)，以便在删除密钥材料或密钥材料过期时可以重新导入密钥材料。

具有导入密钥材料的多区域具有导入KMS密钥材料的密钥的特征，并且可以在两者之间互操作。 AWS 区域要使用导入的密钥材料创建多区域密钥，必须将相同的密钥材料导入到主KMS密钥和每个副本密钥中。

您可以使用外部的非对称密钥材料和HMAC密钥材料，与具有相同导入 AWS KMS 密钥材料的密钥进行互操作。 AWS

与对 AWS KMS 称密文不同，对称密文与算法中使用的密KMS钥密不可分，它 AWS KMS 使用标准HMAC和非对称格式进行加密、签名和生成。MAC因此，这些密钥是可移植的，并且支持传统的托管密钥方案。

当您的KMS密钥导入了密钥材料后，您可以使用外部导入的密钥材料 AWS 来执行以下操作。

如果您将相同的密钥材料导入到同一个KMS密钥中的不同密钥中 AWS 区域，则这些密钥也是可以互操作的。要在不同版本中创建可互操作的KMS密钥 AWS 区域，请使用导入的密钥材料创建多区域密钥。

生 AWS KMS 成的对称密文不可移植或互操作。 AWS KMS 不会发布可移植性所需的对称密文格式，并且格式可能会更改，恕不另行通知。

此外，您不能使用任何 AWS 工具（例如AWS Encryption SDK或 Amazon S3 客户端加密）来解密对称密文 AWS KMS 。

因此，您不能使用带有导入密钥材料的密钥来支持密钥托管安排，在这种安排中，有权有条件访问密钥材料的授权第三方可以在外部解密某些密文。 AWS KMS要支持密钥托管，请使用 AWS Encryption SDK 来通过独立于 AWS KMS的密钥加密您的消息。

AWS KMS 旨在保持导入的密钥材料的高可用性。但是 AWS KMS 不能将进口密钥材料的耐久性保持在与 AWS KMS 生成的密钥材料相同的水平。有关详细信息，请参阅保护导入的密钥材料。