本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 匯入和匯出金鑰 您可以從其他解決方案匯入 AWS 付款密碼編譯金鑰,並將其匯出至其他解決方案,例如 HSMs。許多客戶使用匯入和匯出功能與服務供應商交換金鑰。我們設計 AWS 了付款密碼編譯,以使用現代化的電子方法來管理金鑰,協助您維持合規和控制。我們建議您使用標準型電子金鑰交換,而非紙質型金鑰元件。 **最低金鑰強度和對匯入和匯出函數的影響** PCI 需要密碼編譯操作、金鑰儲存和金鑰傳輸的特定最低金鑰強度。修改 PCI 標準時,這些要求可能會變更。規則指定用於儲存或傳輸的包裝金鑰必須至少與受保護的金鑰一樣強。我們在匯出期間自動強制執行此要求,並防止金鑰受到較弱金鑰的保護,如下表所示。 下表顯示支援的包裝金鑰、要保護的金鑰和保護方法組合。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/payment-cryptography/latest/userguide/keys-importexport.html) 如需詳細資訊,請參閱 PCI HSM 標準中的[附錄 D - 已核准演算法的最小和同等金鑰大小和強度](https://docs-prv.pcisecuritystandards.org/PTS/Derived%20Test%20Requirements/PCI_HSM_DTRs_v4.pdf)。 **金鑰加密金鑰 (KEK) 交換** 建議使用 [ANSI X9.24 TR-34 ](terminology.md#terms.tr34)標準。此初始金鑰類型可以稱為金鑰加密金鑰 (KEK)、區域主金鑰 (ZMK) 或區域控制主金鑰 (ZCMK)。如果您的系統或合作夥伴尚未支援 TR-34,您可以使用 [RSA Wrap/Unwrap](terminology.md#terms.rsawrap)。如果您的需求包括交換 AES-256 金鑰,您可以使用 [ECDH](terminology.md#terms.ecdh)。 如果您需要繼續處理紙質金鑰元件,直到所有合作夥伴都支援電子金鑰交換,請考慮使用離線 HSM 或使用第三方[金鑰託管人作為服務](terminology.md#terms.kcaas)。 若要匯入您自己的測試金鑰或將金鑰與現有的 HSMs 同步,請參閱 [GitHub](https://github.com/aws-samples/samples-for-payment-cryptography-service/tree/main/key-import-export) 上的 AWS 付款密碼編譯範例程式碼。 **工作金鑰 (WK) 交換** 我們使用業界標準 ([ANSI X9.24 TR 31-2018](terminology.md#terms.tr31) 和 X9.143) 來交換工作金鑰。這需要您已使用 TR-34、RSA Wrap、ECDH 或類似結構描述交換 KEK。此方法符合一律以密碼編譯方式將金鑰材料繫結至其類型和用量的 PCI PIN 要求。工作金鑰包括取得者工作金鑰、發行者工作金鑰、BDK 和 IPEK。 **Topics** + [匯入金鑰](keys-import.md) + [匯出金鑰](keys-export.md) + [進階主題](keyexchange-advanced.md)