匯入金鑰材料步驟 1:建立不含金鑰材料的 AWS KMS key - AWS Key Management Service
建立不含金鑰材料的 KMS 金鑰 (主控台)建立不含金鑰材料的 KMS 金鑰 (AWS KMS API)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

匯入金鑰材料步驟 1:建立不含金鑰材料的 AWS KMS key

在預設情況,當您建立 KMS 金鑰時,AWS KMS 會為您建立金鑰資料。若是要匯入您自己的金鑰材料,請從建立一個不含金鑰材料的 KMS 金鑰開始。然後再匯入金鑰材料。若要建立不含金鑰材料的 KMS 金鑰,請使用AWS KMS主控台或CreateKey作業。

若要建立不含金鑰資料的金鑰,請指定 EXTERNAL來源。KMS 金鑰的來源屬性不可變。建立後,即無法將設計用於匯入金鑰材料的 KMS 金鑰轉換為具有 AWS KMS 或任何其他來源之金鑰材料的 KMS 金鑰。

具有 EXTERNAL 來源且沒有金鑰材料的 KMS 金鑰的金鑰狀態PendingImport。KMS 金鑰可以無限期保持在 PendingImport 狀態。然而,您無法在密碼編譯操作採用 PendingImport 狀態的 KMS 金鑰。在匯入金鑰資料之後,KMS 金鑰的金鑰狀態會變為 Enabled,且您可在密碼編譯操作使用該 KMS 金鑰。

AWS KMS當您建立 KMS 金鑰、下載公開金鑰和匯入權杖,以及匯入金鑰材料時,會在記錄AWS CloudTrail檔中記錄事件。 AWS KMS當您刪除匯入的金鑰材料或刪除過期的金鑰材料時,也AWS KMS會記錄 CloudTrail 事件。

如需有關建立具有匯入金鑰材料之多區域金鑰的資訊,請參閱 將金鑰材料匯入多區域金鑰

建立不含金鑰材料的 KMS 金鑰 (主控台)

您只需為匯入的金鑰資料建立一次 KMS 金鑰。您可視需要無限次匯入及重新匯入相同金鑰資料至現有 KMS 金鑰,但您不能匯入不同金鑰資料至一個 KMS 金鑰。如需詳細資訊,請參閱 步驟 2:下載包裝公有金鑰及匯入字符

若要在 Customer managed keys (客戶受管金鑰) 資料表中尋找具有匯入金鑰材料的現有 KMS 金鑰,請使用右上角的齒輪圖示在 KMS 金鑰清單中顯示 Origin (來源) 資料欄。匯入金鑰的來源值為外部 (匯入金鑰資料)

若要建立包含匯入金鑰資料的 KMS 金鑰,請依照基本說明來開始建立偏好金鑰類型的 KMS 金鑰,但下列情況例外。

在選擇金鑰用途之後,請執行下列步驟:

  1. 展開 Advanced options (進階選項)

  2. 對於 Key material origin (金鑰材料來源),選擇 External (Import key material) (外部 (匯入金鑰材料))。

  3. 然後選擇我了解採用已匯入金鑰的安全性及持久性隱憂旁邊的核取方塊,表示您了解使用匯入金鑰資料的隱憂。如要閱讀這些隱憂的相關資訊,請參閱 保護匯入的金鑰資料

  4. 返回基本說明。對於該類型的所有 KMS 金鑰,基本程序的其餘步驟均相同。

當您選擇完成時,您已建立不含金鑰資料的 KMS 金鑰,且狀態 (金鑰狀態) 為待匯入

然而,主控台不會返回客戶自管金鑰表,而是顯示頁面讓您可在其中下載匯入金鑰資料所需的公有金鑰與匯入字符。您可立即繼續執行下載步驟,或選擇取消並在此時停止。您可隨時返回此下載步驟。

下一步:步驟 2:下載包裝公有金鑰及匯入字符

建立不含金鑰材料的 KMS 金鑰 (AWS KMS API)

若要使用 AWS KMSAPI 建立不含金鑰材料的對稱加密 KMS 金鑰,請傳送Origin參數設定為EXTERNALCreateKey要求。以下範例顯示如何使用 AWS Command Line Interface (AWS CLI) 執行此作業。

$ aws kms create-key --origin EXTERNAL

如果命令成功執行,您會看到類似如下的輸出。AWS KMS 金鑰的 OriginEXTERNAL 及其 KeyStatePendingImport

提示

如果命令未成功,您可能看到 KMSInvalidStateExceptionNotFoundException。您可重試請求。

{
    "KeyMetadata": {
        "Origin": "EXTERNAL",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "Enabled": false,
        "MultiRegion": false,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "PendingImport",
        "CreationDate": 1568289600.0,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

從命令輸出複製 KeyId 值以供後續步驟使用,然後繼續進行 步驟 2:下載包裝公有金鑰及匯入字符

注意

此命令會利用 SYMMETRIC_DEFAULTKeySpecENCRYPT_DECRYPTKeyUsage 來建立對稱加密 KMS 金鑰。您可利用選用參數 --key-spec--key-usage 來建立非對稱 HMAC KMS 金鑰。有關更多資訊,請參閱 CreateKey 操作。