本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
匯入金鑰的 AWS KMS 金鑰材料
您可以使用您提供的金鑰材料來建立 AWS KMS keys (KMS 金鑰)。
KMS 金鑰是資料金鑰的邏輯表示法。KMS 金鑰的中繼資料包含用於執行密碼編譯操作的金鑰材料 ID。根據預設,當您建立 KMS 金鑰時, AWS KMS 會產生該 KMS 金鑰的金鑰材料。但是,您可以建立不含金鑰材料的 KMS 金鑰,然後將您自己的金鑰材料匯入該 KMS 金鑰。這項功能通常稱為「使用自有金鑰 (BYOK)」。
注意
AWS KMS 不支援解密由外部對稱加密 KMS AWS KMS 金鑰所加密的任何加密文字 AWS KMS,即使加密文字是在 KMS 金鑰下以匯入的金鑰材料加密。 AWS KMS 不會發佈此任務所需的加密文字格式,而且格式可能會變更,恕不另行通知。
當您使用匯入的金鑰材料時,您仍需對金鑰材料負責,同時 AWS KMS 允許 使用其副本。您可能因為以下一個或多個原因而選擇這樣做:
-
為證明您採用符合要求的熵來源產生金鑰資料。
-
使用來自您自有基礎設施的金鑰材料搭配 AWS 服務,並使用 AWS KMS 管理其中金鑰材料的生命週期 AWS。
-
若要在 中使用現有、建立良好的金鑰 AWS KMS,例如程式碼簽署金鑰、PKI 憑證簽署和憑證鎖定應用程式
-
設定 中金鑰材料的過期時間, AWS 並手動刪除該材料,但也讓它在未來再次可用。反之,排程金鑰刪除需要等候 7 到 30 天,超過此期間將無法恢復已刪除的 KMS 金鑰。
-
擁有金鑰材料的原始副本,並在金鑰材料的完整生命週期期間將其保留在 之外 AWS ,以獲得額外的耐用性和災難復原。
-
對於非對稱金鑰和 HMAC 金鑰,匯入會建立相容且可互操作的金鑰,可在 內外操作 AWS。
支援的 KMS 金鑰類型
AWS KMS 支援下列 KMS 金鑰類型的匯入金鑰材料。您無法匯入金鑰資料至自訂金鑰存放區的 KMS 金鑰。
-
所有支援類型的多區域金鑰。
區域
支援的所有 都支援匯入 AWS 區域 的 AWS KMS 金鑰材料。
在中國區域中,對稱加密 KMS 金鑰的金鑰材料需求與其他區域不同。如需詳細資訊,請參閱 步驟 3:加密金鑰材料。
進一步了解
-
若要使用匯入的金鑰材料建立 KMS 金鑰,請參閱 使用匯入的金鑰材料建立 KMS 金鑰。
-
若要建立警示,在 KMS 金鑰中匯入的金鑰材料接近其過期時間時通知您,請參閱 建立 CloudWatch 警示以因應匯入金鑰材料過期。
-
若要將金鑰材料重新匯入 KMS 金鑰,請參閱 重新匯入金鑰材料。
-
若要使用匯入的金鑰材料來識別和檢視 KMS 金鑰,請參閱 使用匯入的金鑰材料識別 KMS 金鑰。
-
若要了解使用匯入金鑰材料刪除 KMS 金鑰的特殊考量,請參閱 Deleting KMS keys with imported key material。
