Erstellen von KMS-Schlüsseln in einem externen Schlüsselspeicher - AWS Key Management Service
Anforderungen an einen KMS-Schlüssel in einem externen SchlüsselspeicherErstellen eines KMS-Schlüssels in einem externen Schlüsselspeicher (Konsole)Erstellen eines KMS-Schlüssels in einem externen Schlüsselspeicher (AWS KMS-API)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen von KMS-Schlüsseln in einem externen Schlüsselspeicher

Nachdem Sie Ihren externen Schlüsselspeicher erstellt und verbunden haben, können Sie AWS KMS keys in Ihrem Schlüsselspeicher erstellen. Dabei muss es sich um KMS-Schlüssel mit symmetrischer Verschlüsselung mit dem Ursprungswert External key store (Externer Schlüsselspeicher) (EXTERNAL_KEY_STORE) handeln. Sie können asymmetrische KMS-Schlüssel, HMAC-KMS-Schlüssel oder KMS-Schlüssel mit importiertem Schlüsselmaterial nicht in einem benutzerdefinierten Schlüsselspeicher erstellen. Außerdem können Sie auch keine KMS-Schlüssel mit symmetrischer Verschlüsselung in einem benutzerdefinierten Schlüsselspeicher verwenden, um asymmetrische Datenschlüsselpaare zu generieren.

Ein KMS-Schlüssel in einem externen Schlüsselspeicher hat möglicherweise eine schlechtere Latenz, Haltbarkeit und Verfügbarkeit als ein Standard-KMS-Schlüssel, da er von Komponenten abhängt, die sich außerhalb von AWS befinden. Bevor Sie einen KMS-Schlüssel in einem externen Schlüsselspeicher erstellen oder verwenden, prüfen Sie, ob Sie einen Schlüssel mit den Eigenschaften eines externen Schlüsselspeichers benötigen.

Anmerkung

Einige externe Schlüsselmanager bieten eine einfachere Methode zum Erstellen von KMS-Schlüsseln in einem externen Schlüsselspeicher. Weitere Informationen finden Sie in der Dokumentation zum externen Schlüsselmanager.

Zum Erstellen eines KMS-Schlüssels in Ihrem externen Schlüsselspeicher müssen Sie Folgendes angeben:

  • Die ID Ihres externen Schlüsselspeichers.

  • Externer Schlüsselspeicher (EXTERNAL_KEY_STORE) als Herkunft des Schlüsselmaterials.

  • Die ID eines vorhandenen externen Schlüssels im externen Schlüsselmanager, der Ihrem externen Schlüsselspeicher zugeordnet ist. Dieser externe Schlüssel dient als Schlüsselmaterial für den KMS-Schlüssel. Sie können die ID des externen Schlüssels nicht mehr ändern, nachdem Sie den KMS-Schlüssel erstellt haben.

    AWS KMS stellt die ID des externen Schlüssels dem Proxy Ihres externen Schlüsselspeichers in Anforderungen für Verschlüsselungs- und Entschlüsselungsvorgänge zur Verfügung. AWS KMS kann nicht direkt auf Ihren externen Schlüsselmanager oder einen seiner kryptografischen Schlüssel zugreifen.

Zusätzlich zum externen Schlüssel enthält ein KMS-Schlüssel in einem externen Schlüsselspeicher auch AWS KMS-Schlüsselmaterial. Alle unter dem KMS-Schlüssel verschlüsselten Daten werden zunächst in AWS KMS mit dem AWS KMS-Schlüsselmaterial des Schlüssels verschlüsselt und dann von Ihrem externen Schlüsselmanager mit Ihrem externen Schlüssel. Dieser Prozess der doppelten Verschlüsselung sorgt dafür, dass der durch einen KMS-Schlüssel in einem externen Schlüsselspeicher geschützte Geheimtext mindestens so stark ist wie nur durch AWS KMS geschützter Geheimtext. Details hierzu finden Sie unter Funktionsweise externer Schlüsselspeicher.

Wenn der CreateKey-Vorgang erfolgreich ist, lautet der Schlüsselstatus des neuen KMS-Schlüssels Enabled. Wenn Sie einen KMS-Schlüssel in einem externen Schlüsselspeicher anzeigen, können Sie typische Eigenschaften wie die Schlüssel-ID, die Schlüsselspezifikation, die Schlüsselnutzung, den Schlüsselstatus und das Erstellungsdatum sehen. Sie können aber auch die ID und den Verbindungsstatus des externen Schlüsselspeichers sowie die ID des externen Schlüssels sehen.

Wenn Ihr Versuch, einen KMS-Schlüssel in Ihrem externen Schlüsselspeicher zu erstellen, fehlschlägt, ermitteln Sie die Ursache anhand der Fehlermeldung. Sie kann darauf hinweisen, dass der externe Schlüsselspeicher nicht verbunden ist (CustomKeyStoreInvalidStateException), dass der Proxy Ihres externen Schlüsselspeichers keinen externen Schlüssel mit der angegebenen externen Schlüssel-ID finden kann (XksKeyNotFoundException) oder dass der externe Schlüssel bereits mit einem KMS-Schlüssel im selben externen Schlüsselspeicher verknüpft ist (XksKeyAlreadyInUseException).

.

Ein Beispiel des AWS CloudTrail-Protokolls des Vorgang, der einen KMS-Schlüssel in einem externen Schlüsselspeicher erstellt, finden Sie unter CreateKey.

Anforderungen an einen KMS-Schlüssel in einem externen Schlüsselspeicher

Zum Erstellen eines KMS-Schlüssels in einem externen Schlüsselspeicher sind die folgenden Eigenschaften des externen Schlüsselspeichers, des KMS-Schlüssels und des externen Schlüssels, der als externes kryptografisches Schlüsselmaterial für den KMS-Schlüssel dient, erforderlich.

Anforderungen an einen externen Schlüsselspeicher

Anforderungen an KMS-Schlüssel

Diese Eigenschaften können nach dem Erstellen des KMS-Schlüssels nicht mehr geändert werden.

  • Schlüsselspezifikation: SYMMMETRIC_DEFAULT

  • Schlüsselnutzung: ENCRYPT_DECRYPT

  • Schlüsselmaterialursprung: EXTERNAL_KEY_STORE

  • Multi-Region: FALSE

Anforderungen an externe Schlüssel

  • Kryptografischer 256-Bit-AES-Schlüssel (256 zufällige Bits). Die KeySpec des externen Schlüssels muss AES_256 sein.

  • Aktiviert und zur Verwendung verfügbar. Die Status des externen Schlüssels muss ENABLED sein.

  • Konfiguriert für Verschlüsselung und Entschlüsselung. Die KeyUsage des externen Schlüssels muss ENCRYPT und DECRYPT enthalten.

  • Wird nur mit diesem KMS-Schlüssel verwendet. Jeder KMS key in einem externen Schlüsselspeicher muss mit einem anderen externen Schlüssel verbunden sein.

    AWS KMS empfiehlt außerdem, den externen Schlüssel ausschließlich für den externen Schlüsselspeicher zu verwenden. Diese Einschränkung macht es einfacher, Probleme mit dem Schlüssel zu erkennen und zu beheben.

  • Zugriff durch den Proxy des externen Schlüsselspeichers für den externen Schlüsselspeicher möglich.

    Wenn der Proxy des externen Schlüsselspeichers den Schlüssel mit der angegebenen externen Schlüssel-ID nicht finden kann, schlägt der Vorgang CreateKey fehl.

  • Kann den erwarteten Datenverkehr bewältigen, den Ihre Nutzung von AWS-Services erzeugt. AWS KMS empfiehlt, dass externe Schlüssel auf die Verarbeitung von bis zu 1 800 Anforderungen pro Sekunde vorbereitet sind.

Erstellen eines KMS-Schlüssels in einem externen Schlüsselspeicher (Konsole)

Es gibt zwei Möglichkeiten, einen KMS-Schlüssel in einem externen Schlüsselspeicher zu erstellen.

  • Methode 1 (empfohlen): Wählen Sie einen externen Schlüsselspeicher und erstellen Sie dann einen KMS-Schlüssel in diesem externen Schlüsselspeicher.

  • Methode 2: Erstellen Sie einen KMS-Schlüssel und geben Sie dann an, dass er sich in einem externen Schlüsselspeicher befindet.

Wenn Sie Methode 1 verwenden, bei der Sie Ihren externen Schlüsselspeicher auswählen, bevor Sie Ihren Schlüssel erstellen, wählt AWS KMS alle erforderlichen KMS-Schlüsseleigenschaften für Sie aus und trägt die ID Ihres externen Schlüsselspeichers ein. Diese Methode vermeidet Fehler, die Ihnen bei der Erstellung Ihres KMS-Schlüssels unterlaufen könnten.

Anmerkung

Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Alias, in der Beschreibung oder in den Tags auf. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben im Klartext vorkommen.

Methode 1 (empfohlen): Starten in Ihrem externen Schlüsselspeicher

Um diese Methode zu verwenden, wählen Sie Ihren externen Schlüsselspeicher und erstellen dann einen KMS-Schlüssel. Die AWS KMS-Konsole wählt alle erforderlichen Eigenschaften für Sie aus und trägt die ID Ihres externen Schlüsselspeichers ein. Diese Methode vermeidet viele Fehler, die Ihnen bei der Erstellung Ihres KMS-Schlüssels unterlaufen könnten.

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Key Management Service (AWS KMS)-Konsole unter https://console.aws.amazon.com/kms.

  2. Wenn Sie die AWS-Region ändern möchten, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Wählen Sie im Navigationsbereich Custom key stores (Benutzerdefinierte Schlüsselspeicher), External key stores (Externe Schlüsselspeicher) aus.

  4. Wählen Sie den Namen Ihres externen Schlüsselspeichers aus.

  5. Wählen Sie oben rechts die Option Create a KMS key in this key store (Erstellen eines KMS-Schlüssels in diesem Schlüsselspeicher) aus.

    Wenn der externe Schlüsselspeicher nicht verbunden ist, werden Sie aufgefordert, ihn zu verbinden. Wenn der Verbindungsversuch fehlschlägt, müssen Sie das Problem lösen und den externen Schlüsselspeicher verbinden, bevor Sie darin einen neuen KMS-Schlüssel erstellen können.

    Wenn der externe Schlüsselspeicher verbunden ist, werden Sie zur Seite Customer managed keys (Kundenverwaltete Schlüssel) weitergeleitet, auf der Sie einen Schlüssel erstellen können. Die erforderlichen Schlüsselkonfigurationswerte wurden bereits für Sie ausgewählt. Außerdem ist die benutzerdefinierte Schlüsselspeicher-ID Ihres externen Schlüsselspeichers ausgefüllt, Sie können diese aber ändern.

  6. Geben Sie die Schlüssel-ID eines externen Schlüssels in Ihren externen Schlüsselmanager ein. Dieser externe Schlüssel muss die Anforderungen für die Verwendung mit einem KMS-Schlüssel erfüllen. Sie können diesen Wert nach der Erstellung des KMS-Schlüssels nicht mehr ändern.

    Wenn der externe Schlüssel mehrere IDs hat, geben Sie die Schlüssel-ID ein, die der externe Schlüsselspeicher-Proxy zur Identifizierung des externen Schlüssels verwendet.

  7. Bestätigen Sie, dass Sie beabsichtigen, einen KMS-Schlüssel im angegebenen externen Schlüsselspeicher zu erstellen.

  8. Wählen Sie Weiter aus.

    Der Rest dieses Verfahrens entspricht dem Erstellen eines Standard-KMS-Schlüssels.

  9. Geben Sie einen Alias (erforderlich) und eine Beschreibung (optional) für den KMS-Schlüssel ein.

  10. (Optional). Fügen Sie auf der Seite Add Tags (Tags hinzufügen) Tags hinzu, um Ihre KMS-Schlüssel identifizieren zu können und sie zu kategorisieren.

    Wenn Sie Tags auf AWS-Ressourcen anwenden, erzeugt AWS einen Kostenzuordnungsbericht mit Nutzungs- und Kostendaten der Tags. Markierungen können auch verwendet werden, um den Zugriff auf einen KMS-Schlüssel zu steuern. Weitere Informationen über das Markieren von KMS-Schlüsseln finden Sie unter Tagging von Schlüsseln und ABAC für AWS KMS.

  11. Wählen Sie Weiter aus.

  12. Sie können im Abschnitt Key administrators (Schlüsseladministratoren) die IAM-Benutzer und -Rollen auswählen, die den KMS-Schlüssel verwalten dürfen. Weitere Informationen finden Sie unter Erlaubt Schlüsseladministratoren die Verwaltung des KMS-Schlüssels.

    Anmerkung

    Daneben können IAM-Benutzer und -Rollen die erforderlichen Berechtigungen zur Verwendung des KMS-Schlüssel auch über IAM-Richtlinien erhalten.

    Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

  13. (Optional) Um zu verhindern, dass diese Schlüsseladministratoren diesen KMS-Schlüssel löschen, deaktivieren Sie das Kontrollkästchen Allow key administrators to delete this key (Ermöglicht Schlüsseladministratoren das Löschen dieses Schlüssels).

    Das Löschen eines KMS-Schlüssels ist ein endgültiger und irreversibler Vorgang, der dazu führen kann, dass Geheimtext nicht wiederhergestellt werden kann. Sie können einen symmetrischen KMS-Schlüssel in einem externen Schlüsselspeicher nicht wiederherstellen, selbst wenn Sie über das externe Schlüsselmaterial verfügen. Das Löschen eines KMS-Schlüssels hat jedoch keine Auswirkungen auf den zugehörigen externen Schlüssel. Informationen zum Löschen eines KMS-Schlüssels aus einem externen Schlüsselspeicher finden Sie unter Planen der Löschung von KMS-Schlüsseln aus einem externen Schlüsselspeicher.

  14. Wählen Sie Weiter aus.

  15. Wählen Sie im Abschnitt This account (dieses Konto) die IAM-Benutzer und -Rollen in diesem AWS-Konto aus, die den KMS-Schlüssel für kryptografische Operationen verwenden dürfen. Weitere Informationen finden Sie unter Erlaubt Schlüsselbenutzern die Verwendung des KMS-Schlüssels.

    Anmerkung

    Daneben können IAM-Benutzer und -Rollen die erforderlichen Berechtigungen zur Verwendung des KMS-Schlüssels auch über IAM-Richtlinien erhalten.

    Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

  16. (Optional) Sie können anderen AWS-Konten erlauben, diesen KMS-Schlüssel für kryptografische Operationen zu verwenden. Wählen Sie dazu im Abschnitt Other (Andere Konten) AWS-Konten unten auf der Seite die Option Add another (Weiteres Konto hinzufügen)AWS-Konto aus und geben Sie die AWS-Konto-ID eines externen Kontos ein. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.

    Anmerkung

    Administratoren der anderen AWS-Konten müssen auch Zugriff auf den KMS-Schlüssel erlauben, indem Sie IAM-Richtlinien für ihre Benutzer erstellen. Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung des KMS-Schlüssels erlauben.

  17. Wählen Sie Weiter.

  18. Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.

  19. Wählen Sie danach Finish (Fertigstellen) aus.

Mehr anzeigenWeniger anzeigen

Methode 2: Starten in kundenverwalteten Schlüsseln

Dieses Verfahren entspricht dem Verfahren zum Erstellen eines symmetrischen Verschlüsselungsschlüssels mit AWS KMS-Schlüsselmaterial. In diesem Verfahren geben Sie jedoch die benutzerdefinierte Schlüsselspeicher-ID des externen Schlüsselspeichers und die Schlüssel-ID des externen Schlüssels an. Sie müssen auch die erforderlichen Eigenschaftswerte für einen KMS-Schlüssel in einem externen Schlüsselspeicher angeben, z. B. die Schlüsselspezifikation und die Schlüsselnutzung.

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Key Management Service (AWS KMS)-Konsole unter https://console.aws.amazon.com/kms.

  2. Wenn Sie die AWS-Region ändern möchten, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  4. Klicken Sie auf Create key.

  5. Wählen Sie Symmetric (Symmetrisch).

  6. Unter Key usage (Schlüsselverwendung) ist die Option Encrypt and decrypt (Verschlüsseln und Entschlüsseln) für Sie ausgewählt. Ändern Sie dies nicht.

  7. Wählen Sie Advanced options (Erweiterte Optionen) aus.

  8. Wählen Sie unter Key material origin (Schlüsselmaterialursprung) die Option External key store (Externer Schlüsselspeicher) aus.

  9. Bestätigen Sie, dass Sie beabsichtigen, einen KMS-Schlüssel im angegebenen externen Schlüsselspeicher zu erstellen.

  10. Wählen Sie Weiter aus.

  11. Wählen Sie die Zeile, die den externen Schlüsselspeicher für den neuen KMS-Schlüssel darstellt.

    Sie können keinen getrennten externen Schlüsselspeicher auswählen. Zum Verbinden eines nicht verbundenen Schlüsselspeichers wählen Sie den Namen des Schlüsselspeichers und dann unter Key store actions (Schlüsselspeicheraktionen) die Option Connect (Verbinden) aus. Details hierzu finden Sie unter Verbinden eines externen Schlüsselspeichers (Konsole).

  12. Geben Sie die Schlüssel-ID eines externen Schlüssels in Ihren externen Schlüsselmanager ein. Dieser externe Schlüssel muss die Anforderungen für die Verwendung mit einem KMS-Schlüssel erfüllen. Sie können diesen Wert nach der Erstellung des KMS-Schlüssels nicht mehr ändern.

    Wenn der externe Schlüssel mehrere IDs hat, geben Sie die Schlüssel-ID ein, die der externe Schlüsselspeicher-Proxy zur Identifizierung des externen Schlüssels verwendet.

  13. Wählen Sie Weiter aus.

    Der Rest dieses Verfahrens entspricht dem Erstellen eines Standard-KMS-Schlüssels.

  14. Geben Sie einen Alias und eine optionale Beschreibung für den KMS-Schlüssel ein.

  15. (Optional). Fügen Sie auf der Seite Add Tags (Tags hinzufügen) Tags hinzu, um Ihre KMS-Schlüssel identifizieren zu können und sie zu kategorisieren.

    Wenn Sie Tags auf AWS-Ressourcen anwenden, erzeugt AWS einen Kostenzuordnungsbericht mit Nutzungs- und Kostendaten der Tags. Markierungen können auch verwendet werden, um den Zugriff auf einen KMS-Schlüssel zu steuern. Weitere Informationen über das Markieren von KMS-Schlüsseln finden Sie unter Tagging von Schlüsseln und ABAC für AWS KMS.

  16. Wählen Sie Weiter aus.

  17. Sie können im Abschnitt Key administrators (Schlüsseladministratoren) die IAM-Benutzer und -Rollen auswählen, die den KMS-Schlüssel verwalten dürfen. Weitere Informationen finden Sie unter Erlaubt Schlüsseladministratoren die Verwaltung des KMS-Schlüssels.

    Anmerkung

    Daneben können IAM-Benutzer und -Rollen die erforderlichen Berechtigungen zur Verwendung des KMS-Schlüssel auch über IAM-Richtlinien erhalten.

  18. (Optional) Um zu verhindern, dass diese Schlüsseladministratoren diesen KMS-Schlüssel löschen, deaktivieren Sie das Kontrollkästchen Allow key administrators to delete this key (Ermöglicht Schlüsseladministratoren das Löschen dieses Schlüssels).

    Das Löschen eines KMS-Schlüssels ist ein endgültiger und irreversibler Vorgang, der dazu führen kann, dass Geheimtext nicht wiederhergestellt werden kann. Sie können einen symmetrischen KMS-Schlüssel in einem externen Schlüsselspeicher nicht wiederherstellen, selbst wenn Sie über das externe Schlüsselmaterial verfügen. Das Löschen eines KMS-Schlüssels hat jedoch keine Auswirkungen auf den zugehörigen externen Schlüssel. Informationen zum Löschen eines KMS-Schlüssels aus einem externen Schlüsselspeicher finden Sie unter Planen der Löschung von KMS-Schlüsseln aus einem externen Schlüsselspeicher.

  19. Wählen Sie Weiter aus.

  20. Wählen Sie im Abschnitt This account (dieses Konto) die IAM-Benutzer und -Rollen in diesem AWS-Konto aus, die den KMS-Schlüssel für kryptografische Operationen verwenden dürfen. Weitere Informationen finden Sie unter Erlaubt Schlüsselbenutzern die Verwendung des KMS-Schlüssels.

    Anmerkung

    Daneben können IAM-Benutzer und -Rollen die erforderlichen Berechtigungen zur Verwendung des KMS-Schlüssels auch über IAM-Richtlinien erhalten.

  21. (Optional) Sie können anderen AWS-Konten erlauben, diesen KMS-Schlüssel für kryptografische Operationen zu verwenden. Wählen Sie dazu im Abschnitt Other (Andere Konten) AWS-Konten unten auf der Seite die Option Add another (Weiteres Konto hinzufügen)AWS-Konto aus und geben Sie die AWS-Konto-ID eines externen Kontos ein. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.

    Anmerkung

    Administratoren der anderen AWS-Konten müssen auch Zugriff auf den KMS-Schlüssel erlauben, indem Sie IAM-Richtlinien für ihre Benutzer erstellen. Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung des KMS-Schlüssels erlauben.

  22. Wählen Sie Weiter.

  23. Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.

  24. Wählen Sie danach Finish (Fertigstellen) aus.

Mehr anzeigenWeniger anzeigen

Wenn der Vorgang erfolgreich abgeschlossen wird, wird der neue KMS-Schlüssel in dem ausgewählten externen Schlüsselspeicher angezeigt. Wenn Sie den Namen oder Alias des neuen KMS-Schlüssels auswählen, werden auf der Registerkarte Cryptographic configuration (Kryptografische Konfiguration) auf der Detailseite der Ursprung des KMS-Schlüssels (Externer Schlüsselspeicher), der Name, die ID und der Typ des benutzerdefinierten Schlüsselspeichers sowie die ID, die Schlüsselnutzung und der Status des externen Schlüssels angezeigt. Wenn der Vorgang fehlschlägt, wird unter eine Fehlermeldung mit einer Beschreibung des Fehlers angezeigt. Informationen finden Sie unter Fehlerbehebung bei externen Schlüsselspeichern.

Tipp

Um die Identifizierung von KMS-Schlüsseln in einem benutzerdefinierten Schlüsselspeicher zu erleichtern, fügen Sie auf der Seite Customer managed keys (Kundenverwaltete Schlüssel) die Spalten Origin (Urspring) und Custom key store ID (ID des benutzerdefinierten Schlüsselspeichers) zur Anzeige hinzu. Zum Ändern der Tabellenfelder wählen Sie das Zahnradsymbol rechts oben auf der Seite aus. Details hierzu finden Sie unter Anpassen Ihrer KMS-Schlüsseltabellen.

Erstellen eines KMS-Schlüssels in einem externen Schlüsselspeicher (AWS KMS-API)

Um einen neuen KMS-Schlüssel in einem externen Schlüsselspeicher zu erstellen, verwenden Sie die -CreateKeyOperation. Die folgenden Parameter sind erforderlich:

  • Der Origin-Wert muss EXTERNAL_KEY_STORE lauten.

  • Der CustomKeyStoreId-Parameter identifiziert Ihren externen Schlüsselspeicher. Der ConnectionState des angegebenen externen Schlüsselspeichers muss CONNECTED sein. Verwenden Sie den DescribeCustomKeyStores-Vorgang um die CustomKeyStoreId und den ConnectionState zu ermitteln.

  • Der XksKeyId-Parameter identifiziert den externen Schlüssel. Dieser externe Schlüssel muss die Anforderungen für die Zuordnung zu einem KMS-Schlüssel erfüllen.

Sie können auch jeden der optionalen Parameter des CreateKey-Vorgangs verwenden, z. B. die Policy- oder Tags-Parameter.

Anmerkung

Geben Sie keine vertraulichen oder sensiblen Informationen in die Felder Description oder Tags ein. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben im Klartext vorkommen.

Für diese Beispiele wird die AWS Command Line Interface (AWS CLI) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.

Dieser Beispielbefehl verwendet die -CreateKeyOperation, um einen KMS-Schlüssel in einem externen Schlüsselspeicher zu erstellen. Die Antwort umfasst die Eigenschaften der KMS-Schlüssel, die ID des externen Schlüsselspeichers sowie ID, Nutzung und Status des externen Schlüssels. Detaillierte Informationen zu diesen Feldern finden Sie unter Anzeigen von KMS-Schlüsseln in einem externen Schlüsselspeicher.

Wenn Sie diesen Befehl ausführen, denken Sie daran, die ID des benutzerdefinierten Schlüsselspeichers in dem Beispiel durch eine gültige ID zu ersetzen.

$ aws kms create-key --origin EXTERNAL_KEY_STORE --custom-key-store-id cks-1234567890abcdef0 --xks-key-id bb8562717f809024
{
  "KeyMetadata": {
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "AWSAccountId": "111122223333",
    "CreationDate": "2022-12-02T07:48:55-07:00",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "CustomKeyStoreId": "cks-1234567890abcdef0",
    "Description": "",
    "Enabled": true,
    "EncryptionAlgorithms": [
      "SYMMETRIC_DEFAULT"
    ],
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeySpec": "SYMMETRIC_DEFAULT",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "MultiRegion": false,
    "Origin": "EXTERNAL_KEY_STORE",
    "XksKeyConfiguration": {
      "Id": "bb8562717f809024"
    }
  }
}