Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Einen HMAC KMS Schlüssel erstellen
Sie können HMAC KMS Schlüssel in der AWS KMS Konsole erstellen, indem Sie CreateKeyAPI, oder mithilfe der AWS:KMS: AWS CloudFormation :Key-Vorlage.
Wenn Sie einen HMAC KMS Schlüssel erstellen, müssen Sie eine Schlüsselspezifikation auswählen. AWS KMS unterstützt mehrere Schlüsselspezifikationen für HMAC KMS Schlüssel. Die von Ihnen ausgewählte Schlüsselspezifikation wird möglicherweise durch gesetzliche, Sicherheits- oder geschäftliche Anforderungen bestimmt. Im Allgemeinen sind längere Schlüssel Brute-Force-Angriffen gegenüber weniger anfällig.
Informationen zu den Berechtigungen, die zum Erstellen von KMS Schlüsseln erforderlich sind, finden Sie unterBerechtigungen für die Erstellung von KMS Schlüsseln.
Sie können den verwenden AWS Management Console , um HMAC KMS Schlüssel zu erstellen. HMACKMSSchlüssel sind symmetrische Schlüssel, für die als Schlüssel Generate und Verify MAC verwendet wird. Sie können auch Schlüssel für mehrere Regionen HMAC erstellen.
-
Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms
. -
Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
-
Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.
-
Klicken Sie auf Create key.
-
Wählen Sie für Key type (Schlüsseltyp) Symmetric (Symmetrisch).
HMACKMSDie Tasten sind symmetrisch. Sie verwenden denselben Schlüssel, um HMAC Tags zu generieren und zu verifizieren.
-
Wählen Sie unter Schlüsselverwendung die Option Generieren und überprüfen ausMAC.
Generieren und verifizieren MAC ist die einzig gültige Schlüsselverwendung für HMAC KMS Schlüssel.
Anmerkung
Die Schlüsselverwendung wird für symmetrische Schlüssel nur angezeigt, wenn HMAC KMS Schlüssel in der ausgewählten Region unterstützt werden.
-
Wählen Sie eine Spezifikation (Schlüsselspezifikation) für Ihren HMAC KMS Schlüssel aus.
Die von Ihnen ausgewählte Schlüsselspezifikation kann möglicherweise durch gesetzliche, Sicherheits- oder geschäftliche Anforderungen bestimmt werden. Im Allgemeinen sind längere Schlüssel sicherer.
-
Um einen HMACPrimärschlüssel für mehrere Regionen zu erstellen, wählen Sie unter Erweiterte Optionen die Option Schlüssel für mehrere Regionen aus. Die gemeinsamen Eigenschaften, die Sie für diesen KMS Schlüssel definieren, wie z. B. Schlüsseltyp und Schlüsselverwendung, werden mit seinen Replikatschlüsseln gemeinsam genutzt.
Sie können dieses Verfahren nicht verwenden, um einen Replikatschlüssel zu erstellen. Um einen HMACReplikatschlüssel für mehrere Regionen zu erstellen, folgen Sie den Anweisungen zum Erstellen eines Replikatschlüssels.
-
Wählen Sie Weiter.
-
Geben Sie einen Alias für den Schlüssel ein. KMS Der Aliasname darf nicht mit
aws/
beginnen. Das Präfixaws/
ist von Amazon Web Services reserviert und steht für Von AWS verwaltete Schlüssel in Ihrem Konto.Wir empfehlen, dass Sie einen Alias verwenden, der den KMS Schlüssel als HMAC Schlüssel identifiziert, z.
HMAC/test-key
B. Auf diese Weise können Sie Ihre HMAC Schlüssel in der AWS KMS Konsole leichter identifizieren, wo Sie Schlüssel nach Tags und Aliasnamen sortieren und filtern können, aber nicht nach Schlüsselspezifikation oder Schlüsselverwendung.Aliase sind erforderlich, wenn Sie einen KMS Schlüssel in der erstellen. AWS Management Console Sie können keinen Alias angeben, wenn Sie den CreateKeyVorgang verwenden, aber Sie können die Konsole oder den CreateAliasVorgang verwenden, um einen Alias für einen vorhandenen KMS Schlüssel zu erstellen. Details hierzu finden Sie unter Aliase in AWS KMS.
-
(Optional) Geben Sie eine Beschreibung für den KMS Schlüssel ein.
Geben Sie eine Beschreibung ein, in der die Art der Daten, die Sie schützen möchten, oder die Anwendung, die Sie mit dem KMS Schlüssel verwenden möchten, erläutert wird.
Sie können jetzt eine Beschreibung hinzufügen oder sie jederzeit aktualisieren, es sei denn, der Schlüsselstatus lautet
Pending Deletion
oderPending Replica Deletion
. Um die Beschreibung eines vorhandenen, vom Kunden verwalteten Schlüssels hinzuzufügen, zu ändern oder zu löschen, bearbeiten Sie die Beschreibung auf der Detailseite des KMS Schlüssels AWS Management Console im AWS Management Console oder verwenden Sie den UpdateKeyDescriptionVorgang. -
(Optional) Geben Sie einen Tag-Schlüssel und einen optionalen Tag-Wert ein. Um dem KMS Schlüssel mehr als ein Tag hinzuzufügen, wählen Sie Tag hinzufügen.
Erwägen Sie, ein Tag hinzuzufügen, das den Schlüssel als HMAC Schlüssel identifiziert, z.
Type=HMAC
B. Auf diese Weise können Sie Ihre HMAC Schlüssel in der AWS KMS Konsole leichter identifizieren, wo Sie Schlüssel nach Tags und Aliasnamen sortieren und filtern können, aber nicht nach Schlüsselspezifikation oder Schlüsselverwendung.Wenn Sie Ihren AWS Ressourcen Tags hinzufügen, AWS wird ein Kostenverteilungsbericht generiert, in dem die Nutzung und die Kosten nach Stichwörtern zusammengefasst sind. Tags können auch verwendet werden, um den Zugriff auf einen KMS Schlüssel zu kontrollieren. Hinweise zum Markieren von KMS Schlüsseln finden Sie unter Schlagworte in AWS KMS undABACfür AWS KMS.
-
Wählen Sie Weiter.
-
Wählen Sie die IAM Benutzer und Rollen aus, die den KMS Schlüssel verwalten können.
Anmerkung
Diese Schlüsselrichtlinie gibt die AWS-Konto volle Kontrolle über diesen KMS Schlüssel. Sie ermöglicht es Kontoadministratoren, mithilfe von IAM Richtlinien anderen Hauptbenutzern die Erlaubnis zu erteilen, den KMS Schlüssel zu verwalten. Details hierzu finden Sie unter Standardschlüsselrichtlinie.
IAMbewährte Verfahren raten von der Verwendung von IAM Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM Rollen, die temporäre Anmeldeinformationen bereitstellen. Einzelheiten finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.
-
(Optional) Um zu verhindern, dass die ausgewählten IAM Benutzer und Rollen diesen KMS Schlüssel löschen, deaktivieren Sie unten auf der Seite im Abschnitt Löschen von Schlüsseln das Kontrollkästchen Schlüsseladministratoren erlauben, diesen Schlüssel zu löschen.
-
Wählen Sie Weiter.
-
Wählen Sie die IAM Benutzer und Rollen aus, die den KMS Schlüssel für kryptografische Operationen verwenden können.
Anmerkung
Diese Schlüsselrichtlinie gibt die AWS-Konto volle Kontrolle über diesen KMS Schlüssel. Sie ermöglicht es Kontoadministratoren, mithilfe von IAM Richtlinien anderen Prinzipalen die Erlaubnis zu erteilen, den KMS Schlüssel für kryptografische Operationen zu verwenden. Details hierzu finden Sie unter Standardschlüsselrichtlinie.
IAMbewährte Verfahren raten von der Verwendung von IAM Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM Rollen, die temporäre Anmeldeinformationen bereitstellen. Einzelheiten finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.
-
(Optional) Sie können anderen erlauben, diesen KMS Schlüssel für kryptografische Operationen AWS-Konten zu verwenden. Wählen Sie dazu im Abschnitt Other AWS-Konten(Andere Konten) unten auf der Seite die Option Add another AWS-Konto(Weiteres Konto hinzufügen) und geben Sie die AWS-Konto -ID eines externen Kontos ein. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.
Anmerkung
Damit die Prinzipale in den externen Konten den KMS Schlüssel verwenden können, müssen Administratoren des externen Kontos IAM Richtlinien erstellen, die diese Berechtigungen bereitstellen. Weitere Informationen finden Sie unter Benutzern mit anderen Konten die Verwendung eines KMS Schlüssels ermöglichen.
-
Wählen Sie Weiter.
-
Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.
-
Wählen Sie Fertig stellen, um den HMAC KMS Schlüssel zu erstellen.
Sie können die CreateKeyOperation verwenden, um einen HMAC KMS Schlüssel zu erstellen. Für diese Beispiele wird die AWS Command Line Interface (AWS CLI)
Wenn Sie einen HMAC KMS Schlüssel erstellen, müssen Sie den KeySpec
Parameter angeben, der den Typ des KMS Schlüssels bestimmt. Außerdem müssen Sie den KeyUsage
Wert GENERATE _ VERIFY _ angebenMAC, obwohl dies der einzig gültige Wert für die Schlüsselverwendung für HMAC Schlüssel ist. Um einen HMAC KMS Schlüssel für mehrere Regionen zu erstellen, fügen Sie den MultiRegion
Parameter mit dem Wert hinzu. true
Sie können diese Eigenschaften nicht ändern, nachdem der KMS Schlüssel erstellt wurde.
Bei CreateKey
diesem Vorgang können Sie keinen Alias angeben, aber Sie können den CreateAliasVorgang verwenden, um einen Alias für Ihren neuen KMS Schlüssel zu erstellen. Wir empfehlen, dass Sie einen Alias verwenden, der den KMS Schlüssel als HMAC Schlüssel identifiziert, z. HMAC/test-key
B. Auf diese Weise können Sie Ihre HMAC Schlüssel in der AWS KMS Konsole leichter identifizieren, wo Sie Schlüssel nach Alias sortieren und filtern können, aber nicht nach Schlüsselspezifikation oder Schlüsselverwendung.
Wenn Sie versuchen, einen HMAC KMS Schlüssel in einem System zu erstellen, AWS-Region in dem HMAC Schlüssel nicht unterstützt werden, gibt der CreateKey
Vorgang einen UnsupportedOperationException
Im folgenden Beispiel wird die CreateKey
Operation verwendet, um einen HMAC KMS 512-Bit-Schlüssel zu erstellen.
$
aws kms create-key --key-spec HMAC_512 --key-usage GENERATE_VERIFY_MAC
{ "KeyMetadata": { "KeyState": "Enabled", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "Description": "", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1669973196.214, "MultiRegion": false, "KeySpec": "HMAC_512", "CustomerMasterKeySpec": "HMAC_512", "KeyUsage": "GENERATE_VERIFY_MAC", "MacAlgorithms": [ "HMAC_SHA_512" ], "AWSAccountId": "111122223333", "Origin": "AWS_KMS", "Enabled": true } }