本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 保護匯入的金鑰資料 您匯入的金鑰資料在傳輸過程及靜態狀態都受到保護。在匯入金鑰材料之前,您可以使用在 FIPS 140-3 密碼編譯模組驗證計畫下驗證的 AWS KMS 硬體安全模組 (HSMs) 中產生的 RSA 金鑰對公有金鑰來加密 (或「包裝」) 金鑰材料。 [https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884)您可利用包裝公有金鑰直接加密金鑰資料,或利用 AES 對稱金鑰來加密金鑰資料,然後利用 RSA 公有金鑰加密 AES 對稱金鑰。 收到時, 會使用 AWS KMS HSM 中對應的私有金鑰 AWS KMS 來解密金鑰材料,並在僅存在於 HSM 揮發性記憶體中的 AES 對稱金鑰下重新加密。您的金鑰資料永遠不會以純文字形式離開 HSM。它只會在使用中且僅在 AWS KMS HSMs內解密。 與匯入的金鑰資料搭配運用的 KMS 金鑰取決於您在 KMS 金鑰設定的[存取控制政策](control-access.md)。此外,您可利用[別名](kms-alias.md)與[標籤](tagging-keys.md)來識別及[控制 KMS 金鑰的存取權](abac.md)。您可以使用 等服務[來啟用和停用](enabling-keys.md)金鑰、[檢視](viewing-keys.md)和[監控](monitoring-overview.md)金鑰 AWS CloudTrail。 然而,您要維護金鑰資料的唯一故障安全副本。為了獲得此額外控制,您必須負責匯入金鑰材料的耐用性和整體可用性。 AWS KMS 旨在讓匯入金鑰材料保持高可用性。但 AWS KMS 不會將匯入金鑰材料的耐久性維持在與 AWS KMS 產生的金鑰材料相同的層級。 這種持久性差異在以下情況具有意義: + 當您[為匯入的金鑰材料設定過期時間](importing-keys-import-key-material.md#importing-keys-expiration)時, 會在金鑰材料過期後 AWS KMS 刪除金鑰材料。 AWS KMS 不會刪除 KMS 金鑰或其中繼資料。您可以[建立 Amazon CloudWatch 警示](imported-key-material-expiration-alarm.md),在匯入的金鑰資料臨近其到期日期時通知您。 您無法刪除為 KMS 金鑰 AWS KMS 產生的金鑰材料,也無法將 AWS KMS 金鑰材料設定為過期。 + 當您[手動刪除匯入的金鑰材料](importing-keys-delete-key-material.md)時, 會 AWS KMS 刪除金鑰材料,但不會刪除 KMS 金鑰或其中繼資料。相反地,[排程金鑰刪除](deleting-keys.md#deleting-keys-how-it-works)需要 7 到 30 天的等待期間,之後會 AWS KMS 永久刪除 KMS 金鑰、其中繼資料及其金鑰材料。 + 萬一發生影響 AWS KMS (例如總停電) 的特定全區域故障, AWS KMS 無法自動還原您匯入的金鑰材料。不過, AWS KMS 可以還原 KMS 金鑰及其中繼資料。 *您必須*將 外部匯入金鑰材料的副本保留 AWS 在您控制的系統中。建議您將匯入金鑰資料的可匯出複本儲存在金鑰管理系統,例如 HSM。最佳實務是,您應該將 KMS 金鑰 ARN 和 AWS KMS 產生的金鑰材料 ID 的參考與可匯出的金鑰材料複本一起存放。如匯入的金鑰資料遭到刪除或到期,則在您重新匯入相同金鑰資料之前,其關聯的 KMS 金鑰將無法運用。如匯入的金鑰資料永久遺失,則利用 KMS 金鑰加密的任何密文均無法復原。 **重要** 對稱加密金鑰可以有多個與其相關聯的金鑰材料。一旦您刪除其中一個金鑰資料,或其中一個金鑰資料過期 (除非已刪除或即將過期的金鑰資料為 `PENDING_ROTATION`或 ),整個 KMS 金鑰就會變得無法使用`PENDING_MULTI_REGION_IMPORT_AND_ROTATION`。您必須重新匯入與此類金鑰相關聯的任何過期或刪除的金鑰資料,金鑰才能用於密碼編譯操作。