本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用匯入KMS的金鑰材料建立金鑰
匯入的金鑰材料可讓您使用產生的密碼編譯金鑰來保護 AWS 資源。您匯入的金鑰材料與特定KMS金鑰相關聯。您可以將相同的金鑰材料重新匯入相同的KMS金鑰,但無法將不同的金鑰材料匯入KMS金鑰,也無法將專為匯入金鑰材料設計的KMS金鑰轉換為具有 AWS KMS 金鑰材料的KMS金鑰。
以下概觀說明如何將金鑰材料匯入 AWS KMS。如需程序每個步驟的更多詳細資訊,請參閱對應的主題。
-
建立不含KMS金鑰材料的金鑰 – 原始伺服器必須為
EXTERNAL
。金鑰來源EXTERNAL
表示金鑰是針對匯入的金鑰材料所設計,並 AWS KMS 防止 產生KMS金鑰的金鑰材料。在稍後的步驟中,您將匯入自己的金鑰材料到此KMS金鑰。您匯入的金鑰材料必須與相關聯 AWS KMS 金鑰的金鑰規格相容。如需關於相容的詳細資訊,請參閱 匯入金鑰資料需求。
-
下載包裝公有金鑰及匯入字符 — 在完成步驟 1 之後,請下載包裝公有金鑰及匯入字符。這些項目可在金鑰材料匯入 AWS KMS時對其進行保護。
在此步驟中,您可以選擇RSA包裝金鑰的類型 ("key spec"),以及您將用來加密傳輸到 的資料的包裝演算法 AWS KMS。每次匯入或重新匯入相同金鑰資料時,您都可選擇不同包裝金鑰規格與包裝金鑰演算法。
-
加密金鑰資料 — 利用您在步驟 2 下載的包裝公有金鑰來加密您在自己系統建立的金鑰資料。
-
匯入金鑰材料 – 上傳您在步驟 3 建立的加密金鑰材料,以及您在步驟 2 下載的匯入字符。
在此階段,您可以設定選用的到期時間。當匯入的金鑰材料過期時, 會將其 AWS KMS 刪除,而KMS金鑰會變成無法使用。若要繼續使用KMS金鑰,您必須重新匯入相同的金鑰材料。
當匯入操作成功完成時,金鑰的KMS金鑰狀態會從 變更為
PendingImport
Enabled
。您現在可以在密碼編譯操作中使用 KMS金鑰。
AWS KMS 當您建立KMS金鑰 、下載包裝公有金鑰和匯入權杖 ,以及匯入金鑰材料 時, 會在 AWS CloudTrail 日誌中記錄項目。當您刪除匯入的金鑰材料 或 AWS KMS 刪除過期的金鑰材料 時, AWS KMS 也會記錄項目。 ImportKeyMaterial
匯入金鑰材料的許可
若要使用匯入的KMS金鑰材料建立和管理金鑰,使用者需要此程序中操作的許可。您可以在建立金鑰時提供KMS金鑰政策中的 kms:ImportKeyMaterial
、 kms:GetParametersForImport
和 kms:DeleteImportedKeyMaterial
許可。在 AWS KMS 主控台中,當您建立具有外部金鑰材料來源的金鑰時,系統會自動為金鑰管理員新增這些許可。
若要使用匯入的KMS金鑰材料建立金鑰,主體需要下列許可。
-
公里:CreateKey(IAM 政策)
-
若要將此許可限制為具有匯入KMS金鑰材料的金鑰,請使用 km:KeyOrigin政策條件,值為
EXTERNAL
。{ "Sid": "CreateKMSKeysWithoutKeyMaterial", "Effect": "Allow", "Resource": "*", "Action": "kms:CreateKey", "Condition": { "StringEquals": { "kms:KeyOrigin": "EXTERNAL" } } }
-
-
kms:GetParametersForImport (金鑰政策) IAM
-
若要將此許可限制為使用特定包裝演算法和包裝金鑰規格的請求,請使用 kms:WrappingAlgorithm 和 kms:WrappingKeySpec 政策條件。
-
-
kms:ImportKeyMaterial (金鑰政策) IAM
-
若要允許或禁止過期的金鑰材料並控制過期日期,請使用 kms:ExpirationModel 和 kms:ValidTo 政策條件。
-
若要重新匯入匯入的金鑰材料,主體需要 kms:GetParametersForImport 和 kms:ImportKeyMaterial 許可。
若要刪除匯入的金鑰材料,主體需要 公里: DeleteImportedKeyMaterial許可。
例如,若要提供範例KMSAdminRole
許可,以使用匯入的KMS金鑰材料管理金鑰的所有方面,請在KMS金鑰政策中包含下列金鑰政策陳述式。
{ "Sid": "Manage KMS keys with imported key material", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole" }, "Action": [ "kms:GetParametersForImport", "kms:ImportKeyMaterial", "kms:DeleteImportedKeyMaterial" ] }
匯入金鑰資料需求
您匯入的金鑰材料必須與相關聯金鑰的KMS金鑰規格相容。對於非對稱金鑰對,請僅匯入對的私有金鑰。從私有金鑰 AWS KMS 衍生公有金鑰。
AWS KMS 支援下列具有匯入金鑰材料之KMS金鑰的金鑰規格。
KMS 金鑰金鑰規格 | 金鑰資料要求 |
---|---|
對稱加密金鑰 SYMMETRIC_DEFAULT |
256 位元 (32 位元組) 的二進位資料 在中國區域,必須是 128 位元 (16 位元組) 的二進位資料。 |
HMAC 金鑰 HMAC_224 HMAC_256 HMAC_384 HMAC_512 |
HMAC 金鑰材料必須符合 RFC 2104 金鑰長度必須符合金鑰規格所指定的長度。 |
RSA 非對稱私有金鑰 RSA_2048 RSA_3072 RSA_4096 |
您匯入RSA的非對稱私有金鑰必須是符合 RFC3447 模數:2048 位元、3072 位元或 4096 位元 主詞數量:2 (不支援多主詞RSA金鑰) 非對稱金鑰材料必須以符合 RFC520 |
橢圓曲線非對稱私有金鑰 ECC_NIST_P256 (secp256r1) ECC_NIST_P384 (secp384r1) ECC_NIST_P521 (secp521r1) ECC_SECG_P256K1 (secp256k1) |
您匯入ECC的非對稱私有金鑰必須是符合 RFC5915 曲線:NISTP-256、NISTP-384、NISTP-521 或 Secp256k1 參數 :僅限具名曲線 (ECC具有明確參數的索引鍵會遭到拒絕) 公有點座標:可壓縮、解壓縮或投影 非對稱金鑰材料必須以符合 RFC5208 |
SM2 非對稱私有金鑰 (僅限中國區域) |
您匯入SM2的非對稱私有金鑰必須是符合 GM/T 0003 的金鑰對的一部分。 曲線: SM2 參數 :僅限具名曲線 (SM2具有明確參數的索引鍵會遭到拒絕) 公有點座標:可壓縮、解壓縮或投影 非對稱金鑰材料必須以符合 RFC520 |