Erstellen von HMAC-KMS-Schlüsseln

Sie können HMAC-KMS-Schlüssel in der AWS KMS-Konsole erstellen, indem Sie die CreateKey-API oder eine AWS CloudFormation-Vorlage verwenden.

AWS KMS unterstützt mehrere Schlüsselspezifikationen für HMAC-KMS-Schlüssel. Die von Ihnen ausgewählte Schlüsselspezifikation wird möglicherweise durch gesetzliche, Sicherheits- oder geschäftliche Anforderungen bestimmt. Im Allgemeinen sind längere Schlüssel Brute-Force-Angriffen gegenüber weniger anfällig.

Wichtig

Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Alias, in der Beschreibung oder in den Tags auf. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben im Klartext vorkommen.

Wenn Sie einen KMS-Schlüssel erstellen, um Daten zu verschlüsseln, die Sie in einem AWS-Service speichern oder verwalten, verwenden Sie einen KMS-Schlüssel mit symmetrischer Verschlüsselung. AWS-Services, die mit AWS KMS integriert werden, unterstützen keine asymmetrischen KMS-Schlüssel oder HMAC-KMS-Schlüssel. Hilfe zum Erstellen eines KMS-Schlüssels mit symmetrischer Verschlüsselung finden Sie unter Erstellen von Schlüsseln.

Weitere Informationen

• Um festzustellen, welche Art von KMS-Schlüssel erstellt werden soll, beziehen Sie sich auf Auswahl eines KMS-Schlüsseltyps.

• Sie können die in diesem Thema beschriebenen Verfahren verwenden, um einen multiregionalen primären HMAC-KMS-Schlüssel zu erstellen. Um einen multiregionalen HMAC-Schlüssel zu replizieren, beziehen Sie sich auf Erstellen von multiregionalen Replikatschlüsseln.

• Weitere Informationen über die Berechtigungen, die zum Erstellen von KMS-Schlüsseln erforderlich sind, finden Sie unter Berechtigungen zum Erstellen von KMS-Schlüsseln.

• Informationen zur Verwendung einer -AWS CloudFormationVorlage zum Erstellen eines HMAC-KMS-Schlüssels finden Sie unter AWS::KMS::Key im AWS CloudFormation -Benutzerhandbuch.

Erstellen von HMAC-KMS-Schlüsseln (Konsole)

Sie können die AWS Management Console zum Erstellen von HMAC-KMS-Schlüsseln verwenden. HMAC-KMS-Schlüssel sind symmetrische Schlüssel mit einer Schlüsselverwendung von Generate and verify MAC (MAC generieren und überprüfen). Sie können auch multiregionale HMAC-KMS-Schlüssel erstellen.

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Key Management Service (AWS KMS)-Konsole unter https://console.aws.amazon.com/kms.

2. Wenn Sie die AWS-Region ändern möchten, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

4. Klicken Sie auf Create key.

5. Wählen Sie für Key type (Schlüsseltyp) Symmetric (Symmetrisch).

   HMAC-KMS-Schlüssel sind symmetrisch. Sie verwenden denselben Schlüssel, um HMAC-Tags zu generieren und zu überprüfen.

6. Wählen Sie für Schlüsselverwendung Generate and verify MAC (MAC Generieren und überprüfen) aus.

   MAC generieren und überprüfen ist die einzig gültige Schlüsselverwendung für HMAC-KMS-Schlüssel.

   Anmerkung

   Key usage (Schlüsselverwendung) wird für symmetrische Schlüssel nur angezeigt, wenn HMAC-KMS-Schlüssel in Ihrer ausgewählten Region unterstützt werden.

7. Wählen Sie eine Spezifikation (Key spec (Schlüsselspezifikation)) für Ihren HMAC-KMS-Schlüssel aus.

   Die von Ihnen ausgewählte Schlüsselspezifikation kann möglicherweise durch gesetzliche, Sicherheits- oder geschäftliche Anforderungen bestimmt werden. Im Allgemeinen sind längere Schlüssel sicherer.

8. Um einen multiregionalen primären HMAC-Schlüssel zu erstellen, wählen Sie unter Advanced Options (Advanced Optionen) Multi-Region key (Multiregionaler Schlüssel) aus. Die freigegebenen Eigenschaften, die Sie für diesen KMS-Schlüssel definieren, wie z. B. den Schlüsseltyp und die Schlüsselverwendung, wird mit seinen Replikatschlüsseln geteilt. Details hierzu finden Sie unter Erstellen von multiregionalen Schlüsseln.

   Sie können dieses Verfahren nicht verwenden, um einen Replikatschlüssel zu erstellen. Um einen multiregionalen Replikat-HMAC-Schlüssel, befolgen Sie die Anweisungen zum Erstellen eines Replikatschlüssels.

9. Wählen Sie Weiter aus.

10. Geben Sie einen Alias für den KMS-Schlüssel ein. Der Aliasname darf nicht mit aws/ beginnen. Das Präfix aws/ ist von Amazon Web Services reserviert und steht für Von AWS verwaltete Schlüssel in Ihrem Konto.

    Wir empfehlen Ihnen, einen Alias zu verwenden, der den KMS-Schlüssel als HMAC-Schlüssel identifiziert, z. B. HMAC/test-key. Dies erleichtert die Identifizierung Ihrer HMAC-Schlüssel in der AWS KMS-Konsole, in der Sie Schlüssel nach Tags und Aliasen sortieren und filtern können, jedoch nicht nach Schlüsselspezifikation oder Schlüsselverwendung.

    Zum Erstellen eines KMS-Schlüssels in der Konsole benötigen Sie Aliase AWS Management Console. Sie können keinen Alias angeben, wenn Sie die -CreateKeyOperation verwenden, aber Sie können die Konsole oder die -CreateAliasOperation verwenden, um einen Alias für einen vorhandenen KMS-Schlüssel zu erstellen. Details hierzu finden Sie unter Verwenden von Aliassen.

11. (Optional) Geben Sie eine Beschreibung für den KMS-Schlüssel ein.

    Geben Sie eine Beschreibung ein, die die Art von Daten, die Sie schützen möchten, oder die Anwendung, die Sie mit dem KMS-Schlüssel verwenden möchten, erklärt.

    Sie können jetzt eine Beschreibung hinzufügen oder sie jederzeit aktualisieren, es sei denn, der Schlüsselstatus lautet Pending Deletion oder Pending Replica Deletion. Um die Beschreibung eines vorhandenen kundenverwalteten Schlüssels hinzuzufügen, zu ändern oder zu löschen, bearbeiten Sie die Beschreibung in der AWS Management Console oder verwenden Sie die -UpdateKeyDescriptionOperation.

12. (Optional) Geben Sie einen Tag-Schlüssel und einen optionalen Tag-Wert ein. Wählen Sie Add tag (Tag hinzufügen), wenn Sie mehr als ein Tag zum KMS-Schlüssel hinzufügen möchten.

    Erwägen Sie, ein Tag hinzuzufügen, das den Schlüssel als HMAC-Schlüssel identifiziert, z. B. Type=HMAC. Dies erleichtert die Identifizierung Ihrer HMAC-Schlüssel in der AWS KMS-Konsole, in der Sie Schlüssel nach Tags und Aliasen sortieren und filtern können, jedoch nicht nach Schlüsselspezifikation oder Schlüsselverwendung.

    Wenn Sie Tags auf AWS-Ressourcen anwenden, erzeugt AWS einen Kostenzuordnungsbericht mit Nutzungs- und Kostendaten der Tags. Markierungen können auch verwendet werden, um den Zugriff auf einen KMS-Schlüssel zu steuern. Weitere Informationen über das Markieren von KMS-Schlüsseln finden Sie unter Tagging von Schlüsseln und ABAC für AWS KMS.

13. Wählen Sie Weiter aus.

14. Wählen Sie die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel verwalten können.

    Anmerkung

    Diese wichtige Richtlinie gibt AWS-Konto volle Kontrolle über diesen KMS-Schlüssel. Kontoadministratoren können damit anderen Prinzipalen mithilfe von IAM-Richtlinien die Berechtigung zum Verwalten des KMS-Schlüssels erteilen. Details hierzu finden Sie unter Standardschlüsselrichtlinie.

    Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

15. (Optional) Um zu verhindern, dass die ausgewählten IAM-Benutzer und -Rollen diesen KMS-Schlüssel löschen, deaktivieren Sie unten auf der Seite im Abschnitt Key deletion (Schlüssellöschung) das Kontrollkästchen Allow key administrators to delete this key (Administratoren erlauben, diesen Schlüssel zu löschen).

16. Wählen Sie Weiter aus.

17. Wählen Sie die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel für kryptographische Operationen verwenden können.

    Anmerkung

    Diese wichtige Richtlinie gibt AWS-Konto volle Kontrolle über diesen KMS-Schlüssel. Kontoadministratoren können damit anderen Prinzipalen mithilfe von IAM-Richtlinien die Berechtigung erteilen, den KMS-Schlüssel in kryptografischen Operationen zu verwenden. Details hierzu finden Sie unter Standardschlüsselrichtlinie.

    Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

18. (Optional) Sie können anderen AWS-Konten erlauben, diesen KMS-Schlüssel für kryptografische Operationen zu verwenden. Wählen Sie dazu im Abschnitt Other AWS-Konten (Andere Konten) unten auf der Seite die Option Add another AWS-Konto (Weiteres Konto hinzufügen) und geben Sie die AWS-Konto-ID eines externen Kontos ein. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.

    Anmerkung

    Um auch Prinzipalen aus den externen Konten Zugriff auf den KMS-Schlüssel zu erlauben, müssen die Administratoren der externen Konten IAM-Richtlinien erstellen, die diese Berechtigungen bereitstellen. Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung des KMS-Schlüssels erlauben.

19. Wählen Sie Weiter.

20. Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.

21. Wählen Sie Finish (fertigstellen) aus, um den HMAC-KMS-Schlüssel zu erstellen.

Erstellen von HMAC-KMS-Schlüsseln (AWS KMS-API)

Sie können die -CreateKeyOperation verwenden, um einen HMAC-KMS-Schlüssel zu erstellen. Für diese Beispiele wird die AWS Command Line Interface (AWS CLI) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.

Wenn Sie einen HMAC-KMS-Schlüssel erstellen, müssen Sie den KeySpec-Parameter angeben, der den Typ der von Ihnen erstellten KMS-Schlüssel bestimmt. Außerdem müssen Sie einen KeyUsage-Wert von GENERATE_VERIFY_MAC angeben, obwohl es der einzig gültige Wert für die Schlüsselverwendung für HMAC-Schlüssel ist. Um einen multiregionalen HMAC-KMS-Schlüssel zu erstellen, fügen Sie den MultiRegion-Parameter mit einem Wert von true hinzu. Diese Eigenschaften können nicht geändert werden, nachdem der KMS-Schlüssel erstellt wurde.

Mit der -CreateKeyOperation können Sie keinen Alias angeben, aber Sie können die -CreateAliasOperation verwenden, um einen Alias für Ihren neuen KMS-Schlüssel zu erstellen. Wir empfehlen Ihnen, einen Alias zu verwenden, der den KMS-Schlüssel als HMAC-Schlüssel identifiziert, z. B. HMAC/test-key. Dies erleichtert die Identifizierung Ihrer HMAC-Schlüssel in der AWS KMS-Konsole, in der Sie Schlüssel nach Alias sortieren und filtern können, jedoch nicht nach Schlüsselspezifikation oder Schlüsselverwendung.

Wenn Sie versuchen, einen HMAC-KMS-Schlüssel in einer AWS-Region zu erstellen, in der HMAC-Schlüssel nicht unterstützt werden, gibt die CreateKey-Operation eine UnsupportedOperationException zurück.

Im folgenden Beispiel wird die CreateKey-Operation zum Erstellen eines 512-Bit-HMAC-KMS-Schlüssels verwendet.

$ aws kms create-key --key-spec HMAC_512 --key-usage GENERATE_VERIFY_MAC
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1669973196.214,
        "MultiRegion": false,
        "KeySpec": "HMAC_512",
        "CustomerMasterKeySpec": "HMAC_512",
        "KeyUsage": "GENERATE_VERIFY_MAC",
        "MacAlgorithms": [
            "HMAC_SHA_512"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}