选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

导入的密钥材料的特殊注意事项

PDF
RSS
聚焦模式
导入的密钥材料的特殊注意事项 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在决定将密钥材料导入之前 AWS KMS,您应该了解导入的密钥材料的以下特征。

您可以生成密钥材料

您负责使用符合您的安全要求的随机源来生成密钥材料。

您可以删除密钥材料

您可以从 KMS 密钥中删除导入的密钥材料,以便立即使 KMS 密钥不可用。此外,当您将密钥材料导入 KMS 密钥中时,您可以确定密钥是否到期,并设置其到期时间。到期时间到来时, AWS KMS 删除密钥材料。如果没有密钥材料,则该 KMS 密钥无法用于任何加密操作。要还原密钥,必须将相同密钥材料重新导入到密钥中。

您无法更改密钥材料

当您将密钥材料导入 KMS 密钥中时,该 KMS 密钥将与该密钥材料永久关联。您可以重新导入相同的密钥材料,但不能将不同的密钥材料导入该 KMS 密钥。而且,您不能为具有导入密钥材料的 KMS 密钥启用自动密钥轮换。但是,您可以手动轮换带有导入密钥材料的 KMS 密钥。

您无法更改密钥材料源

专用于导入的密钥材料的 KMS 密钥拥有一个 EXTERNAL值,该值无法更改。您不能将导入的密钥材料的 KMS 密钥转换为使用任何其他来源(包括)的密钥材料 AWS KMS。同样,您不能将包含密钥材料的 KMS AWS KMS 密钥转换为专为导入的密钥材料而设计的密钥。

您无法导出密钥材料

您无法导出您导入的任何密钥材料。 AWS KMS 无法以任何形式将导入的密钥材料退还给您。您必须在外部保存导入的密钥材料的副本 AWS,最好是在密钥管理器中,例如硬件安全模块 (HSM),以便在删除密钥材料或密钥材料过期时可以重新导入。

您可创建具有导入密钥材料的多区域密钥

具有导入密钥材料的多区域具有包含导入密钥材料的 KMS 密钥的功能,并且可以在 AWS 区域之间进行互操作。要创建具有导入密钥材料的多区域密钥,您必须将相同的密钥材料导入 KMS 主密钥和每个副本密钥。

非对称密钥和 HMAC 密钥具有可移植性和互操作性

您可以在外部使用非对称密钥材料和 HMAC 密钥材料,与具有相同导入密钥材料的 AWS AWS KMS 密钥进行互操作。

与 AWS KMS 对称密文不同,对称密文与算法中使用的 KMS 密钥密不可分,它 AWS KMS 使用标准 HMAC 和非对称格式进行加密、签名和 MAC 生成。因此,这些密钥是可移植的,并且支持传统的托管密钥方案。

当您的 KMS 密钥导入了密钥材料后,您可以使用外部导入的密钥材料 AWS 来执行以下操作。

  • HMAC 密钥 – 您可以使用导入的密钥材料验证由 HMAC KMS 密钥生成的 HMAC 标签。您还可以将 HMAC KMS 密钥与导入的密钥材料一起使用,以验证由外部的密钥材料生成的 HMAC 标签。 AWS

  • 非对称加密密钥 — 您可以使用外部的私有非对称加密密钥 AWS 来解密由 KMS 密钥和相应的公钥加密的密文。您还可以使用非对称 KMS 密钥来解密在外部生成的非对称密文。 AWS

  • 非对称签名密钥 — 您可以使用带有导入密钥材料的非对称签名 KMS 密钥来验证由您的私有签名密钥在外部生成的数字签名。 AWS您还可以在外部使用非对称公有签名密钥 AWS 来验证非对称 KMS 密钥生成的签名。

  • 非对称密钥协议密钥 — 您可以使用非对称密钥协议 KMS 密钥和导入的密钥材料,与外部的对等方派生共享密钥。 AWS

如果您在相同的 AWS 区域中将相同的密钥材料导入不同的 KMS 密钥中,则这些密钥也是可以互操作的。要在不同版本中创建可互操作的 KMS 密钥 AWS 区域,请使用导入的密钥材料创建多区域密钥。

对称加密密钥不可移植或互操作

生 AWS KMS 成的对称密文不可移植或互操作。 AWS KMS 不会发布可移植性所需的对称密文格式,并且格式可能会更改,恕不另行通知。

  • AWS KMS 即使您使用已导入的密钥材料,也无法解密您在外部加密的 AWS对称密文。

  • AWS KMS 不支持解密外部的任何 AWS KMS 对称密文,即使密文是在 KMS 密钥下使用导入的密钥材料加密的。 AWS KMS

  • 具有相同导入密钥材料的 KMS 密钥不可互操作。 AWS KMS 生成每个 KMS 密钥特有的密文的对称密文。此加密文字格式保证只有加密数据的 KMS 密钥才能解密数据。

此外,您不能使用任何 AWS 工具(例如AWS Encryption SDKAmazon S3 客户端加密)来解密对称密文 AWS KMS 。

因此,您不能使用带有导入密钥材料的密钥来支持密钥托管安排,在这种安排中,有权有条件访问密钥材料的授权第三方可以在外部解密某些密文。 AWS KMS要支持密钥托管,请使用 AWS Encryption SDK 来通过独立于 AWS KMS的密钥加密您的消息。

您需要对可用性和持久性负责

AWS KMS 旨在保持导入的密钥材料的高可用性。但是 AWS KMS 不能将进口密钥材料的耐久性保持在与 AWS KMS 生成的密钥材料相同的水平。有关详细信息,请参阅保护导入的密钥材料

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。