Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Datenschlüssel generieren
Datenschlüssel sind symmetrische Schlüssel, mit denen Sie Daten verschlüsseln können. Dazu gehören große Datenmengen und andere Datenverschlüsselungsschlüssel. Im Gegensatz zu symmetrischen KMS Schlüsseln, die nicht heruntergeladen werden können, werden Datenschlüssel an Sie zurückgegeben, damit Sie sie außerhalb von AWS KMS verwenden können.
Beim AWS KMS Generieren von Datenschlüsseln werden ein Klartext-Datenschlüssel zur sofortigen Verwendung (optional) und eine verschlüsselte Kopie des Datenschlüssels zurückgegeben, die Sie sicher zusammen mit den Daten speichern können. Wenn Sie bereit sind, die Daten zu entschlüsseln, bitten Sie zunächst darum, den verschlüsselten Datenschlüssel AWS KMS zu entschlüsseln.
AWS KMS generiert, verschlüsselt und entschlüsselt Datenschlüssel. AWS KMS Speichert, verwaltet oder verfolgt Ihre Datenschlüssel jedoch nicht und führt auch keine kryptografischen Operationen mit Datenschlüsseln durch. Sie müssen Datenschlüssel außerhalb von AWS KMS verwenden und verwalten. Hilfe bei der sicheren Verwendung von Datenschlüsseln finden Sie unter AWS Encryption SDK.
Themen
Erstellen eines Datenschlüssels
Rufen Sie den GenerateDataKeyVorgang auf, um einen Datenschlüssel zu erstellen. AWS KMS generiert den Datenschlüssel. Anschließend wird eine Kopie des Datenschlüssels unter einem von Ihnen angegebenen symmetrischen KMS Verschlüsselungsschlüssel verschlüsselt. Der Vorgang gibt eine Klartextkopie des Datenschlüssels und die Kopie des unter dem Schlüssel verschlüsselten Datenschlüssels zurück. KMS Die folgende Abbildung zeigt diese Operation.
AWS KMS unterstützt auch den GenerateDataKeyWithoutPlaintextVorgang, der nur einen verschlüsselten Datenschlüssel zurückgibt. Wenn Sie den Datenschlüssel verwenden müssen, bitten Sie darum, ihn AWS KMS zu entschlüsseln.
Wie funktionieren kryptografische Operationen mit Datenschlüsseln
In den folgenden Themen wird erklärt, wie Datenschlüssel funktionieren, die durch eine GenerateDataKeyGenerateDataKeyWithoutPlaintextOR-Operation generiert wurden.
Verschlüsseln von Daten mit einem Datenschlüssel
AWS KMS kann keinen Datenschlüssel zum Verschlüsseln von Daten verwenden. Sie können den Datenschlüssel jedoch auch außerhalb von verwenden AWS KMS, z. B. mithilfe von Open SSL oder einer kryptografischen Bibliothek wie der. AWS Encryption SDK
Entfernen Sie den Klartext-Datenschlüssel nach dem Verschlüsseln der Daten möglichst schnell aus dem Arbeitsspeicher. Sie können den verschlüsselten Datenschlüssel sicher zusammen mit den verschlüsselten Daten speichern, damit er zum Entschlüsseln der Daten verfügbar ist.
Entschlüsseln von Daten mit einem Datenschlüssel
Um Ihre Daten zu entschlüsseln, übergeben Sie den verschlüsselten Datenschlüssel an den Vorgang Decrypt. AWS KMS verwendet Ihren KMS Schlüssel, um den Datenschlüssel zu entschlüsseln, und gibt dann den Klartext-Datenschlüssel zurück. Entschlüsseln Sie die Daten mit dem Klartext-Datenschlüssel und entfernen den Klartext-Datenschlüssel dann schnellstmöglich aus dem Arbeitsspeicher.
Das folgende Diagramm zeigt, wie Sie mit der Operation Decrypt
einen verschlüsselten Datenschlüssel entschlüsseln.