Herunterladen öffentlicher Schlüssel - AWS Key Management Service
Besondere Überlegungen zum Herunterladen öffentlicher SchlüsselHerunterladen eines öffentlichen Schlüssels (Konsole)Herunterladen eines öffentlichen Schlüssels (AWS KMS-API)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Herunterladen öffentlicher Schlüssel

Sie können den öffentlichen Schlüssel von einem asymmetrischen KMS-Schlüsselpaar mit der AWS Management Console- oder AWS KMS-API anzeigen, kopieren und herunterladen. Sie müssen über die kms:GetPublicKey-Berechtigung für den asymmetrischen KMS-Schlüssel verfügen.

Jedes asymmetrische KMS-Schlüsselpaar besteht aus einem privaten Schlüssel, der AWS KMS niemals unverschlüsselt verlässt, und einem öffentlichen Schlüssel, den Sie herunterladen und freigeben können.

Sie geben möglicherweise einen öffentlichen Schlüssel frei, um es anderen zu ermöglichen, Daten außerhalb von AWS KMS zu verschlüsseln, die Sie dann nur mit Ihrem privaten Schlüssel entschlüsseln können. Oder, um anderen zu erlauben, eine digitale Signatur, die Sie mit Ihrem privaten Schlüssel generiert haben, außerhalb von AWS KMS zu überprüfen.

Wenn Sie den öffentlichen Schlüssel in Ihrem asymmetrischen KMS-Schlüssel innerhalb von AWS KMS verwenden, profitieren Sie von der Authentifizierung, Autorisierung und Protokollierung, die Teil jeder AWS KMS-Produktion sind. Außerdem reduzieren Sie das Risiko, Daten zu verschlüsseln, die nicht entschlüsselt werden können. Diese Funktionen sind außerhalb von AWS KMS nicht wirksam. Details hierzu finden Sie unter Besondere Überlegungen zum Herunterladen öffentlicher Schlüssel.

Tipp

Suchen Sie nach Datenschlüsseln oder SSH-Schlüsseln? In diesem Thema wird erläutert, wie Sie asymmetrische Schlüssel in AWS Key Management Service verwalten, bei denen der private Schlüssel nicht exportierbar ist. Informationen zu exportierbaren Datenschlüsselpaaren, bei denen der private Schlüssel durch einen KMS-Schlüssel mit symmetrischer Verschlüsselung geschützt ist, finden Sie unter GenerateDataKeyPair. Hilfe beim Herunterladen des öffentlichen Schlüssels, der einer Amazon-EC2-Instance zugeordnet ist, finden Sie unter Abrufen des öffentlichen Schlüssels im Amazon-EC2-Benutzerhandbuch für Linux-Instances und Amazon-EC2-Benutzerhandbuch für Windows-Instances.

Besondere Überlegungen zum Herunterladen öffentlicher Schlüssel

Um Ihre KMS-Schlüssel zu schützen, bietet AWS KMS Zugriffssteuerung, authentifizierte Verschlüsselung und detaillierte Protokolle jeder Produktion. AWS KMS erlaubt es Ihnen auch, die Verwendung von KMS-Schlüssel vorübergehend oder dauerhaft zu verhindern. Schließlich soll mit AWS KMS-Operationen das Risiko minimiert werden, dass Daten verschlüsselt werden, die nicht entschlüsselt werden können. Diese Funktionen sind nicht verfügbar, wenn Sie heruntergeladene öffentliche Schlüssel außerhalb von AWS KMS verwenden.

Autorisierung

Schlüsselrichtlinien und IAM-Richtlinien, die den Zugriff auf den KMS-Schlüssel in AWS KMS steuern, haben keine Auswirkungen auf Operationen, die außerhalb von AWS ausgeführt werden. Jeder Benutzer, der den öffentlichen Schlüssel abrufen kann, kann ihn außerhalb von AWS KMS verwenden, selbst wenn er nicht über die Berechtigung zum Verschlüsseln von Daten oder zur Überprüfung von Signaturen mit dem KMS-Schlüssel verfügt.

Nutzungsbeschränkungen für Schlüssel

Schlüssel-Nutzungsbeschränkungen sind außerhalb von AWS KMS nicht wirksam. Wenn Sie die Encrypt-Produktion mit einem KMS-Schlüssel aufrufen, dessen KeyUsage-Wert SIGN_VERIFY ist, schlägt die AWS KMS-Produktion fehl. Wenn Sie jedoch Daten außerhalb von AWS KMS mit einem öffentlichen Schlüssel von einem KMS-Schlüssel mit einem KeyUsage-Wert von SIGN_VERIFY verschlüsseln, können die Daten nicht entschlüsselt werden.

Algorithmusbeschränkungen

Beschränkungen für Verschlüsselungs- und Signaturalgorithmen, die von AWS KMS unterstützt werden, sind außerhalb von AWS KMS nicht wirksam. Wenn Sie Daten mit dem öffentlichen Schlüssel von einem KMS-Schlüssel außerhalb von AWS KMS verschlüsseln und einen Verschlüsselungsalgorithmus verwenden, den AWS KMS nicht unterstützt, können die Daten nicht entschlüsselt werden.

Deaktivieren und Löschen von KMS-Schlüsseln

Maßnahmen, die Sie ergreifen können, um die Verwendung des KMS-Schlüssel in einer kryptografischen Produktion innerhalb von AWS KMS zu verhindern, hindern niemanden daran, den öffentlichen Schlüssel außerhalb von AWS KMS zu verwenden. Beispielsweise hat das Deaktivieren eines KMS-Schlüssels, das Planen des Löschens eines KMS-Schlüssels, das Löschen eines KMS-Schlüssels oder das Löschen des Schlüsselmaterials aus einem KMS-Schlüssel keine Auswirkungen auf einen öffentlichen Schlüssel außerhalb von AWS KMS. Wenn Sie einen asymmetrischen KMS-Schlüssel löschen oder dessen Schlüsselmaterial löschen oder verlieren, können Daten, die Sie mit einem öffentlichen Schlüssel außerhalb von AWS KMS verschlüsseln, nicht wiederhergestellt werden.

Protokollierung

AWS CloudTrail-Protokolle, die jede AWS KMS-Produktion, einschließlich Anforderung, Antwort, Datum, Uhrzeit und autorisierten Benutzer aufzeichnen, halten nicht die Verwendung des öffentlichen Schlüssels außerhalb von AWS KMS fest.

Offline-Überprüfung mit SM2-Schlüsselpaaren (nur China-Regionen)

Um eine Signatur außerhalb von AWS KMS mit einem öffentlichen SM2-Schlüssel zu überprüfen, müssen Sie die unterscheidende ID angeben. AWS KMS verwendet standardmäßig 1234567812345678 als die unterscheidende ID. Weitere Informationen finden Sie unter Offline-Überprüfung mit SM2-Schlüsselpaaren (nur China-Regionen).

Herunterladen eines öffentlichen Schlüssels (Konsole)

Sie können die AWS Management Console verwenden, um den öffentlichen Schlüssel von einem asymmetrischen KMS-Schlüssel in Ihrem AWS-Konto anzuzeigen, zu kopieren und herunterzuladen. Um den öffentlichen Schlüssel von einem asymmetrischen KMS-Schlüssel in einem anderen AWS-Konto herunterzuladen, verwenden Sie die AWS KMS API.

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Key Management Service (AWS KMS)-Konsole unter https://console.aws.amazon.com/kms.

  2. Wenn Sie die AWS-Region ändern möchten, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  4. Wählen Sie den Alias oder die Schlüssel-ID eines asymmetrischen KMS-Schlüssels aus.

  5. Wählen Sie die Registerkarte Cryptographic configuration (kryptografische Konfiguration) aus. Notieren Sie sich die Werte der Felder Key spec (Schlüsselspezifikation), Key usage (Schlüsselnutzung) und Encryption algorithms (Verschlüsselungsalgorithmen) oder Signing Algorithms (Signaturalgorithmen). Sie müssen diese Werte verwenden, um den öffentlichen Schlüssel außerhalb von AWS KMS zu verwenden. Stellen Sie sicher, dass Sie diese Informationen freigeben, wenn Sie den öffentlichen Schlüssel freigeben.

  6. Wählen Sie die Registerkarte Public key (Öffentlicher Schlüssel).

  7. Um den öffentlichen Schlüssel in die Zwischenablage zu kopieren, wählen Sie Copy (Kopieren). Um den öffentlichen Schlüssel in eine Datei herunterzuladen, wählen Sie Download (Herunterladen).

Herunterladen eines öffentlichen Schlüssels (AWS KMS-API)

Die GetPublicKey Operation gibt den öffentlichen Schlüssel in einem asymmetrischen KMS-Schlüssel zurück. Sie gibt auch wichtige Informationen zurück, die Sie benötigen, um den öffentlichen Schlüssel außerhalb von AWS KMS korrekt zu verwenden, einschließlich der Schlüsselnutzung und der Verschlüsselungsalgorithmen. Achten Sie darauf, diese Werte zu speichern und sie freizugeben, wenn Sie den öffentlichen Schlüssel freigeben.

Für diese Beispiele wird die AWS Command Line Interface (AWS CLI) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.

Um einen KMS-Schlüssel anzugeben, verwenden Sie seine Schlüssel-ID, seinen Schlüssel-ARN, seinen Aliasnamen oder seinen Alias-ARN. Wenn Sie einen Aliasnamen verwenden, stellen Sie ihm alias/ voran. Um einen KMS-Schlüssel in einem anderen AWS-Konto anzugeben, müssen Sie seinen Schlüssel-ARN oder Alias-ARN verwenden.

Bevor Sie diesen Befehl ausführen, ersetzen Sie den Beispiel-Aliasnamen durch einen gültigen Bezeichner für den KMS-Schlüssel. Um diesen Befehl auszuführen, müssen Sie über kms:GetPublicKey-Berechtigungen für den KMS-Schlüssel verfügen.

$ aws kms get-public-key --key-id alias/example_RSA_3072

{
    "KeySpec": "RSA_3072",
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "EncryptionAlgorithms": [
        "RSAES_OAEP_SHA_1",
        "RSAES_OAEP_SHA_256"
    ],
    "PublicKey": "MIIBojANBgkqhkiG..."
}