本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
导入密钥的 AWS KMS 密钥材料
您可以使用您提供的KMS密钥材料创建 AWS KMS keys (密钥)。
KMS密钥是数据密钥的逻辑表示形式。KMS密钥的元数据包括用于执行加密操作的密钥材料的 ID。默认情况下,当您创建KMS密钥时, AWS KMS 会生成该密钥的KMS密钥材料。但是你可以创建一个没有KMS密钥材料的密钥,然后将自己的密钥材料导入到该KMS密钥中,这个功能通常被称为 “自带密钥” (BYOK)。
注意
AWS KMS 不支持解密由外部对称 AWS KMS 加密密钥加密的任何密文 AWS KMS,即使密文是在使用导入的KMS密钥材料的密钥下加密的。KMS AWS KMS 不会发布此任务所需的密文格式,并且格式可能会更改,恕不另行通知。
当您使用导入的密钥材料时,您仍需对密钥材料负责,同时 AWS KMS 允许使用密钥材料的副本。出于以下一个或多个原因,您可以选择执行该操作:
-
证明使用符合您要求的熵源生成了密钥材料。
-
将您自己的基础设施中的密钥材料与 AWS 服务一起使用,并用于管理 AWS KMS 其中的密钥材料的生命周期 AWS。
-
在中使用现有的、成熟的密钥 AWS KMS,例如用于代码签名、PKI证书签名和证书固定的应用程序的密钥
-
为中的密钥材料设置过期时间 AWS 并手动将其删除,但也可以使其在将来再次可用。相比之下,计划删除密钥需要等待 7 到 30 天,之后您将无法恢复已删除的KMS密钥。
-
拥有密钥材料的原始副本,并将其保存在外部,以便在密钥材料 AWS 的整个生命周期中提高耐用性和灾难恢复。
-
对于非对称密钥和密HMAC钥,导入会创建兼容且可互操作的密钥,这些密钥可在内部和外部运行。 AWS
支持的KMS密钥类型
AWS KMS 支持为以下类型的密钥导入KMS密钥材料。您无法将密钥材料导入到自定义KMS密钥存储库中的密钥中。
-
支持的所有类型的多区域密钥。
区域
所有支持的密钥材料均 AWS 区域 支持导入的密钥材料。 AWS KMS
在中国区域,对称加密密钥的KMS密钥材料要求与其他地区不同。有关详细信息,请参阅步骤 3:加密密钥材料。
了解更多
-
要使用导入的KMS密钥材料创建密钥,请参阅删除具有导入密钥材料的 KMS 密钥。
-
要创建警报,在密钥中导入的密钥材料即将到期时通知您,请参阅针对导入密钥材料的到期创建 CloudWatch 警报。KMS
-
要将密钥材料重新导入KMS密钥,请参阅重新导入密钥材料。
-
要使用导入的KMS密钥材料识别和查看密钥,请参阅识别带导入的密钥材料的 KMS 密钥。
-
要了解删除包含已导入密钥材料的KMS密钥的特殊注意事项,请参阅Deleting KMS keys with imported key material。
