使用匯入KMS的金鑰材料建立金鑰 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用匯入KMS的金鑰材料建立金鑰

匯入的金鑰材料可讓您使用產生的密碼編譯金鑰來保護 AWS 資源。您匯入的金鑰材料與特定KMS金鑰相關聯。您可以將相同的金鑰材料重新匯入相同的KMS金鑰,但無法將不同的金鑰材料匯入KMS金鑰,也無法將專為匯入金鑰材料設計的KMS金鑰轉換為具有 AWS KMS 金鑰材料的KMS金鑰。

以下概觀說明如何將金鑰材料匯入 AWS KMS。如需程序每個步驟的更多詳細資訊,請參閱對應的主題。

  1. 建立不含KMS金鑰材料的金鑰 – 原始伺服器必須為 EXTERNAL。金鑰來源 EXTERNAL表示金鑰是針對匯入的金鑰材料所設計,並 AWS KMS 防止 產生KMS金鑰的金鑰材料。在稍後的步驟中,您將匯入自己的金鑰材料到此KMS金鑰。

    您匯入的金鑰材料必須與相關聯 AWS KMS 金鑰的金鑰規格相容。如需關於相容的詳細資訊,請參閱 匯入金鑰資料需求

  2. 下載包裝公有金鑰及匯入字符 — 在完成步驟 1 之後,請下載包裝公有金鑰及匯入字符。這些項目可在金鑰材料匯入 AWS KMS時對其進行保護。

    在此步驟中,您可以選擇RSA包裝金鑰的類型 ("key spec"),以及您將用來加密傳輸到 的資料的包裝演算法 AWS KMS。每次匯入或重新匯入相同金鑰資料時,您都可選擇不同包裝金鑰規格與包裝金鑰演算法。

  3. 加密金鑰資料 — 利用您在步驟 2 下載的包裝公有金鑰來加密您在自己系統建立的金鑰資料。

  4. 匯入金鑰材料 – 上傳您在步驟 3 建立的加密金鑰材料,以及您在步驟 2 下載的匯入字符。

    在此階段,您可以設定選用的到期時間。當匯入的金鑰材料過期時, 會將其 AWS KMS 刪除,而KMS金鑰會變成無法使用。若要繼續使用KMS金鑰,您必須重新匯入相同的金鑰材料。

    當匯入操作成功完成時,金鑰的KMS金鑰狀態會從 變更為 PendingImport Enabled。您現在可以在密碼編譯操作中使用 KMS金鑰。

AWS KMS 當您建立KMS金鑰 下載包裝公有金鑰和匯入權杖 ,以及匯入金鑰材料 時, 會在 AWS CloudTrail 日誌中記錄項目。當您刪除匯入的金鑰材料 或 AWS KMS 刪除過期的金鑰材料 時, AWS KMS 也會記錄項目。 ImportKeyMaterial

匯入金鑰材料的許可

若要使用匯入的KMS金鑰材料建立和管理金鑰,使用者需要此程序中操作的許可。您可以在建立金鑰時提供KMS金鑰政策中的 kms:ImportKeyMaterialkms:GetParametersForImportkms:DeleteImportedKeyMaterial許可。在 AWS KMS 主控台中,當您建立具有外部金鑰材料來源的金鑰時,系統會自動為金鑰管理員新增這些許可。

若要使用匯入的KMS金鑰材料建立金鑰,主體需要下列許可。

若要重新匯入匯入的金鑰材料,主體需要 kms:GetParametersForImportkms:ImportKeyMaterial 許可。

若要刪除匯入的金鑰材料,主體需要 公里: DeleteImportedKeyMaterial許可。

例如,若要提供範例KMSAdminRole許可,以使用匯入的KMS金鑰材料管理金鑰的所有方面,請在KMS金鑰政策中包含下列金鑰政策陳述式。

{ "Sid": "Manage KMS keys with imported key material", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole" }, "Action": [ "kms:GetParametersForImport", "kms:ImportKeyMaterial", "kms:DeleteImportedKeyMaterial" ] }

匯入金鑰資料需求

您匯入的金鑰材料必須與相關聯金鑰的KMS金鑰規格相容。對於非對稱金鑰對,請僅匯入對的私有金鑰。從私有金鑰 AWS KMS 衍生公有金鑰。

AWS KMS 支援下列具有匯入金鑰材料之KMS金鑰的金鑰規格。

KMS 金鑰金鑰規格 金鑰資料要求

對稱加密金鑰

SYMMETRIC_DEFAULT

256 位元 (32 位元組) 的二進位資料

在中國區域,必須是 128 位元 (16 位元組) 的二進位資料。

HMAC 金鑰

HMAC_224

HMAC_256

HMAC_384

HMAC_512

HMAC 金鑰材料必須符合 RFC 2104

金鑰長度必須符合金鑰規格所指定的長度。

RSA 非對稱私有金鑰

RSA_2048

RSA_3072

RSA_4096

您匯入RSA的非對稱私有金鑰必須是符合 RFC3447 的金鑰對的一部分。

模數:2048 位元、3072 位元或 4096 位元

主詞數量:2 (不支援多主詞RSA金鑰)

非對稱金鑰材料必須以符合 RFC5208 的 Public-Key 密碼編譯標準 (PKCS) #8 格式進行BER編碼或DER編碼。

橢圓曲線非對稱私有金鑰

ECC_NIST_P256 (secp256r1)

ECC_NIST_P384 (secp384r1)

ECC_NIST_P521 (secp521r1)

ECC_SECG_P256K1 (secp256k1)

您匯入ECC的非對稱私有金鑰必須是符合 RFC5915 之金鑰對的一部分。

曲線:NISTP-256、NISTP-384、NISTP-521 或 Secp256k1

參數 :僅限具名曲線 (ECC具有明確參數的索引鍵會遭到拒絕)

公有點座標:可壓縮、解壓縮或投影

非對稱金鑰材料必須以符合 RFC5208 的 Public-Key 密碼編譯標準 (PKCS) #8 格式進行BER編碼或DER編碼。

SM2 非對稱私有金鑰 (僅限中國區域)

您匯入SM2的非對稱私有金鑰必須是符合 GM/T 0003 的金鑰對的一部分。

曲線: SM2

參數 :僅限具名曲線 (SM2具有明確參數的索引鍵會遭到拒絕)

公有點座標:可壓縮、解壓縮或投影

非對稱金鑰材料必須以符合 RFC5208 的 Public-Key 密碼編譯標準 (PKCS) #8 格式進行BER編碼或DER編碼。