本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
保護匯入的金鑰資料
您匯入的金鑰資料在傳輸過程及靜態狀態都受到保護。在匯入金鑰材料之前,您可以使用在 FIPS 140-3 密碼編譯模組驗證計畫下驗證的 AWS KMS 硬體安全模組 (HSMs) 中產生的 RSA 金鑰對公有金鑰來加密 (或「包裝」) 金鑰材料。 https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884
收到後, 會在 AWS KMS HSM 中以對應的私有金鑰 AWS KMS 解密金鑰材料,並在僅存在於 HSM 揮發性記憶體中的 AES 對稱金鑰下重新加密。您的金鑰資料永遠不會以純文字形式離開 HSM。它只有在使用中且僅在 AWS KMS HSMs內才會解密。
與匯入的金鑰資料搭配運用的 KMS 金鑰取決於您在 KMS 金鑰設定的存取控制政策。此外,您可利用別名與標籤來識別及控制 KMS 金鑰的存取權。您可以使用 等服務來啟用和停用金鑰、檢視和監控金鑰 AWS CloudTrail。
然而,您要維護金鑰資料的唯一故障安全副本。為了獲得此額外控制,您必須負責匯入金鑰材料的耐久性和整體可用性。 AWS KMS 旨在保持匯入金鑰材料高度可用。但 AWS KMS 不會將匯入金鑰材料的耐久性維持在 AWS KMS 與產生的金鑰材料相同的層級。
這種持久性差異在以下情況具有意義:
-
當您為匯入的金鑰材料設定過期時間時, 會在金鑰材料過期後 AWS KMS 刪除金鑰材料。 AWS KMS 不會刪除 KMS 金鑰或其中繼資料。您可以建立 Amazon CloudWatch 警示,在匯入的金鑰資料臨近其到期日期時通知您。
您無法刪除為 KMS 金鑰 AWS KMS 產生的金鑰材料,而且您無法將 AWS KMS 金鑰材料設定為過期,雖然您可以輪換它。
-
當您手動刪除匯入的金鑰材料時, 會 AWS KMS 刪除金鑰材料,但不會刪除 KMS 金鑰或其中繼資料。相反地,排程金鑰刪除需要 7 到 30 天的等待期,之後會 AWS KMS 永久刪除 KMS 金鑰、中繼資料及其金鑰材料。
-
萬一發生影響 AWS KMS (例如總停電) 的特定全區域故障, AWS KMS 無法自動還原您匯入的金鑰材料。不過, AWS KMS 可以還原 KMS 金鑰及其中繼資料。
您必須將匯入金鑰材料的副本保留 AWS 在您控制的系統中的 外部。建議您將匯入金鑰資料的可匯出複本儲存在金鑰管理系統,例如 HSM。如匯入的金鑰資料遭到刪除或到期,則在您重新匯入相同金鑰資料之前,其關聯的 KMS 金鑰將無法運用。如匯入的金鑰資料永久遺失,則利用 KMS 金鑰加密的任何密文均無法復原。
