本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 导入密钥的 AWS KMS 密钥材料 您可以使用您提供的密钥材料创建 AWS KMS keys (KMS 密钥)。 KMS 密钥是数据密钥的逻辑表示形式。KMS 密钥的元数据包括用于执行加密操作的密钥材料的 ID。在[创建 KMS 密钥](create-keys.md)时,默认情况下, AWS KMS 会生成该 KMS 密钥的密钥材料。但是,您可以创建不带密钥材料的 KMS 密钥,然后将自己的密钥材料导入该 KMS 密钥中,这个功能通常被称为“自带密钥 (BYOK)”。 ![\[突出显示其所代表的密钥材料的钥匙图标。\]](http://docs.aws.amazon.com/zh_cn/kms/latest/developerguide/images/import-key.png) **注意** AWS KMS 不支持解密通过外部对称加 AWS KMS 密 KMS 密钥加密的任何密文 AWS KMS,即使密文是使用导入的密钥材料在 KMS 密钥下加密的。 AWS KMS 不会发布此任务所需的密文格式,并且格式可能会更改,恕不另行通知。 当您使用导入的密钥材料时,您仍需对密钥材料负责,同时 AWS KMS 允许使用密钥材料的副本。出于以下一个或多个原因,您可以选择执行该操作: + 证明使用符合您要求的熵源生成了密钥材料。 + 将您自己的基础设施中的密钥材料与 AWS 服务一起使用,并用于管理 AWS KMS 其中的密钥材料的生命周期 AWS。 + 在中使用现有的、成熟的密钥 AWS KMS,例如用于代码签名、PKI 证书签名和证书固定的应用程序的密钥 + 为中的密钥材料设置过期时间 AWS 并[手动将其删除](importing-keys-delete-key-material.md),但也可以使其在将来再次可用。相比之下,[计划密钥删除](deleting-keys.md#deleting-keys-how-it-works)需要 7 到 30 天的等待期限,之后,您不能恢复已删除的 KMS 密钥。 + 拥有密钥材料的原始副本,并将其保存在外部,以便在密钥材料 AWS 的整个生命周期中提高耐用性和灾难恢复。 + 对于非对称密钥和 HMAC 密钥,导入会创建兼容且可互操作的密钥,这些密钥可在内部和外部运行。 AWS **支持的 KMS 密钥类型** AWS KMS 支持以下类型的 KMS 密钥的导入密钥材料。您无法将密钥材料导入[自定义密钥存储](key-store-overview.md#custom-key-store-overview)中的 KMS 密钥。 + [对称加密 KMS 密钥](symm-asymm-choose-key-spec.md#symmetric-cmks) + [非对称 KMS 密钥(ML-DSA 密钥除外)](symmetric-asymmetric.md) + [HMAC KMS 密钥](hmac.md) + 支持的所有类型的[多区域密钥](multi-region-keys-overview.md)。 **区域** 所有支持的密钥材料均 AWS 区域 支持导入的密钥材料。 AWS KMS 在中国区域,对称加密 KMS 密钥的密钥材料要求与其他区域不同。有关更多信息,请参阅 [步骤 3:加密密钥材料](importing-keys-encrypt-key-material.md)。 **了解详情** + 要创建具有导入密钥材料的 KMS 密钥,请参阅[删除具有导入密钥材料的 KMS 密钥](importing-keys-conceptual.md)。 + 要创建警报以在 KMS 密钥中导入的密钥材料即将到期时通知您,请参阅[为导入的密钥材料过期创建 CloudWatch 警报](imported-key-material-expiration-alarm.md)。 + 要将密钥材料重新导入 KMS 密钥中,请参阅[重新导入密钥材料](importing-keys-import-key-material.md#reimport-key-material)。 + 要将新密钥材料导入 KMS 密钥以进行按需轮换,请参阅[导入新密钥材料](importing-keys-import-key-material.md#import-new-key-material)和[执行按需密钥轮换](rotating-keys-on-demand.md)。 + 要识别和查看带导入的密钥材料的 KMS 密钥,请参阅[识别带导入的密钥材料的 KMS 密钥](identify-key-types.md#identify-imported-keys)。 + 如需了解删除带导入的密钥材料的 KMS 密钥的特殊注意事项,请参阅[Deleting KMS keys with imported key material](deleting-keys.md#import-delete-key)。