選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

匯入金鑰材料的特殊考量

PDF
RSS
焦點模式
匯入金鑰材料的特殊考量 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在您決定將金鑰材料匯入 之前 AWS KMS,您應該了解匯入金鑰材料的下列特性。

您可以產生關鍵材料

您有責任使用符合您安全要求的隨機來源產生金鑰材料。

您可以刪除金鑰材料

您可以從 KMS 金鑰中刪除匯入的金鑰材料,立即使 KMS 金鑰無法使用。此外,當您將金鑰材料匯入 KMS 金鑰時,您可以決定金鑰是否會過期,並設定其過期時間。當過期時間到達時, AWS KMS 會刪除金鑰材料。如果沒有金鑰材料,即無法在任何密碼編譯操作中使用 KMS 金鑰。若要還原金鑰,您必須將相同的金鑰材料重新匯入至金鑰。

您無法變更金鑰資料

當您將金鑰材料匯入 KMS 金鑰,KMS 金鑰將永久關聯到該金鑰材料。您可以重新匯入相同的金鑰材料,但您不能將不同的金鑰材料匯入 KMS 金鑰。此外,您無法為具有匯入金鑰材料的任何 KMS 金鑰啟用自動金鑰輪換。不過,您可以手動輪換具有匯入金鑰材料的 KMS 金鑰

您無法變更金鑰資料來源

設計用於匯入金鑰材料的 KMS 金鑰具有無法變更的 EXTERNAL 來源值。您無法轉換匯入金鑰材料的 KMS 金鑰,以使用任何其他來源的金鑰材料,包括 AWS KMS。同樣地,您無法將 KMS 金鑰與 AWS KMS 金鑰材料轉換為專為匯入金鑰材料設計的金鑰材料。

您無法匯出金鑰資料

您無法匯出您匯入的任何金鑰材料。 AWS KMS 無法以任何形式將匯入的金鑰材料傳回給您。您必須將匯入金鑰材料的副本保留在外部 AWS,最好在金鑰管理器中,例如硬體安全模組 (HSM),以便在刪除金鑰材料或金鑰材料過期時重新匯入。

您可利用匯入金鑰資料來建立多區域金鑰。

具匯入金鑰資料的多區域擁有匯入金鑰資料的 KMS 金鑰功能,且可在 AWS 區域之間互通。若要利用匯入金鑰資料來建立多區域金鑰,您必須匯入相同金鑰資料至主要 KMS 金鑰以及每個複本金鑰。

非對稱金鑰與 HMAC 金鑰為可攜式且可互通

您可以在 外部使用您的非對稱金鑰材料和 HMAC 金鑰材料 AWS ,與具有相同匯入金鑰材料的 AWS KMS 金鑰進行交互操作。

與演算法中使用的 KMS 金鑰不可分割繫結的 AWS KMS 對稱加密文字不同, AWS KMS 會使用標準 HMAC 和非對稱格式進行加密、簽署和產生 MAC。因此,這些金鑰為可攜式,並且支援傳統委付金鑰案例。

當您的 KMS 金鑰已匯入金鑰材料時,您可以使用 外部的匯入金鑰材料 AWS 來執行下列操作。

  • HMAC 金鑰 — 您可利用匯入金鑰資料來驗證 HMAC KMS 金鑰所產生的 HMAC 標籤。您也可以將 HMAC KMS 金鑰與匯入的金鑰材料搭配使用,以驗證金鑰材料在外部產生的 HMAC 標籤 AWS。

  • 非對稱加密金鑰 — 您可以使用 外部的私有非對稱加密金鑰 AWS ,以對應的公有金鑰解密 KMS 金鑰加密的密碼文字。您也可以使用非對稱 KMS 金鑰來解密在 外部產生的非對稱加密文字 AWS。

  • 非對稱簽署金鑰 — 您可以使用非對稱簽署 KMS 金鑰搭配匯入的金鑰材料,來驗證 外部私有簽署金鑰所產生的數位簽章 AWS。您也可以在 外部使用您的非對稱公有簽署金鑰 AWS ,驗證非對稱 KMS 金鑰所產生的簽章。

  • 非對稱金鑰協議金鑰:您可以將非對稱金鑰協議 KMS 金鑰與匯入的金鑰材料搭配使用,以衍生與外部對等的共用秘密 AWS。

如您匯入相同金鑰資料至位於相同 AWS 區域的不同 KMS 金鑰,則這些金鑰也可互通。若要在不同 中建立可互通的 KMS 金鑰 AWS 區域,請使用匯入的金鑰材料建立多區域金鑰。

對稱加密金鑰為不可攜式且不可互通

AWS KMS 產生的對稱加密文字不是可攜式或互通性。 AWS KMS 不會發佈可攜性所需的對稱加密文字格式,而且格式可能會變更,恕不另行通知。

  • AWS KMS 無法解密您在 外部加密的對稱加密文字 AWS,即使您使用已匯入的金鑰材料。

  • AWS KMS 不支援解密 AWS KMS 外部的任何對稱加密文字 AWS KMS,即使加密文字是在匯入金鑰材料的 KMS 金鑰下加密。

  • 具相同匯入金鑰資料的 KMS 金鑰無法互通。 AWS KMS 產生每個 KMS 金鑰特有之加密文字的對稱加密文字。此密文格式可保證僅加密該資料的 KMS 金鑰可解密。

此外,您也無法使用任何 AWS 工具,例如 AWS Encryption SDKAmazon S3 用戶端加密,來解密 AWS KMS 對稱密碼文字。

因此,您無法將金鑰與匯入的金鑰材料搭配使用,以支援金鑰託管安排,其中具有金鑰材料條件存取的獲授權第三方可以解密外部的特定加密文字 AWS KMS。若要支援金鑰委付,請使用 AWS Encryption SDK 在獨立於 AWS KMS的金鑰下將您的訊息加密。

您必須為可用性和耐久性負責

AWS KMS 旨在讓匯入的金鑰材料保持高可用性。但 AWS KMS 不會將匯入金鑰材料的耐久性維持在 AWS KMS 與產生的金鑰材料相同的層級。如需詳細資訊,請參閱 保護匯入的金鑰資料

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。