匯入金鑰材料的特殊考量

您有責任使用符合您安全要求的隨機來源產生金鑰材料。

您可以從金鑰中刪除匯入的金鑰材料，立即使KMS金鑰無法使用。 KMS此外，當您將金鑰材料匯入KMS金鑰時，您可以判斷金鑰是否過期，並設定其過期時間 。過期時間到達時， AWS KMS 會刪除金鑰材料 。如果沒有金鑰材料，就無法在任何密碼編譯操作中使用KMS金鑰。若要還原金鑰，您必須將相同的金鑰材料重新匯入至金鑰。

當您將金鑰材料匯入KMS金鑰時，KMS金鑰會永久與該金鑰材料建立關聯。您可以重新匯入相同的金鑰材料 ，但無法將不同的金鑰材料匯入該KMS金鑰。此外，您無法為具有匯入金鑰材料的金鑰啟用自動金鑰輪換。 KMS不過，您可以使用匯入的KMS金鑰材料手動輪換金鑰。

KMS 為匯入金鑰材料設計的金鑰的原始值為 EXTERNAL ，無法變更。您無法轉換已匯入金鑰材料的KMS金鑰，以使用任何其他來源的金鑰材料，包括 AWS KMS。同樣地，您無法將具有 AWS KMS 金鑰材料的KMS金鑰轉換為專為匯入金鑰材料設計的金鑰。

您無法匯出匯入的任何金鑰材料。 AWS KMS 無法以任何形式將匯入的金鑰材料傳回給您。您必須將匯入的金鑰材料副本保留在 之外 AWS，最好在金鑰管理器中，例如硬體安全模組 （HSM），以便在刪除金鑰材料或金鑰材料過期時重新匯入。

具有匯入金鑰材料的多區域具有具有匯入金鑰材料的KMS金鑰功能，並且可以在 之間交互操作 AWS 區域。若要使用匯入的金鑰材料建立多區域金鑰，您必須將相同的金鑰材料匯入主KMS金鑰和每個複本金鑰。

您可以使用 外部的非對稱金鑰材料和HMAC金鑰材料 AWS ，與具有相同匯入金鑰材料的 AWS KMS 金鑰互操作。

與與演算法中使用的KMS金鑰密 AWS KMS 文密文不同， AWS KMS 使用標準HMAC和非對稱格式進行加密、簽署和MAC產生。因此，這些金鑰為可攜式，並且支援傳統委付金鑰案例。

當您KMS的金鑰已匯入金鑰材料時，您可以使用 以外的匯入金鑰材料 AWS 來執行下列操作。

如果您將相同的金鑰材料匯入相同的 中的不同KMS金鑰 AWS 區域，這些金鑰也可以互通。若要在不同 中建立可互操作KMS金鑰 AWS 區域，請使用匯入的金鑰材料建立多區域金鑰。

AWS KMS 產生的對稱密碼文字不是可攜或互通性。 AWS KMS 不會發佈可攜性所需的對稱密碼文字格式，而且格式可能會變更，恕不另行通知。

此外，您也無法使用任何 AWS 工具，例如 AWS Encryption SDK或 Amazon S3 用戶端加密 ，來解密 AWS KMS 對稱密碼文字。

因此，您無法將金鑰與匯入的金鑰材料搭配使用，以支援金鑰託管安排，其中具有金鑰材料條件存取的授權第三方可以解密 外部的某些密碼文字 AWS KMS。若要支援金鑰委付，請使用 AWS Encryption SDK 在獨立於 AWS KMS的金鑰下將您的訊息加密。

AWS KMS 旨在讓匯入的金鑰材料保持高可用性。但 AWS KMS 不會將匯入金鑰材料的耐久性維持在 AWS KMS 與產生的金鑰材料相同的層級。如需詳細資訊，請參閱 保護匯入的金鑰資料。