Planung des Imports von Schlüsselmaterial

Mit importiertem Schlüsselmaterial können Sie Ihre AWS Ressourcen mit von Ihnen generierten kryptografischen Schlüsseln schützen. Das Schlüsselmaterial, das Sie importieren, ist einem bestimmten KMS-Schlüssel zugeordnet. Sie können dasselbe Schlüsselmaterial erneut in denselben KMS-Schlüssel importieren, aber Sie können kein anderes Schlüsselmaterial in den KMS-Schlüssel importieren und Sie können einen KMS-Schlüssel, der für importiertes Schlüsselmaterial entworfen wurde, nicht in einen KMS-Schlüssel mit AWS KMS Schlüsselmaterial konvertieren.

Weitere Informationen:

• Wählen Sie eine Spezifikation für den öffentlichen Verpackungsschlüssel

• Auswählen des Verpackungsalgorithmus

Informationen zu importiertem Schlüsselmaterial

Bevor Sie sich für den Import von Schlüsselmaterial in entscheiden AWS KMS, sollten Sie sich mit den folgenden Eigenschaften von importiertem Schlüsselmaterial vertraut machen.

Sie generieren das Schlüsselmaterial

Sie sind verantwortlich für die Generierung des Schlüsselmaterials mit einer zufälligen Quelle, die Ihre Anforderungen erfüllt.

Sie können das Schlüsselmaterial löschen.

Sie können importiertes Schlüsselmaterial aus einem KMS-Schlüssel löschen, wodurch der KMS-Schlüssel sofort unbrauchbar wird. Beim Importieren von Schlüsselmaterial in einen KMS-Schlüssel können Sie außerdem bestimmen, ob der Schlüssel abläuft und die Ablaufzeit festlegen. Wenn die Ablaufzeit erreicht ist, AWS KMS wird das Schlüsselmaterial gelöscht. Ohne Schlüsselmaterial kann der KMS-Schlüssel nicht in kryptografischen Operationen verwendet werden. Um den Schlüssel wiederherzustellen, müssen Sie das gleiche Schlüsselmaterial erneut in den Schlüssel importieren.

Das Schlüsselmaterial kann nicht geändert werden

Beim Importieren von Schlüsselmaterial in einen KMS-Schlüssel wird der KMS-Schlüssel dauerhaft diesem Schlüsselmaterial zugeordnet. Sie können dasselbe Schlüsselmaterial erneut importieren, aber kein anderes Schlüsselmaterial in diesen KMS-Schlüssel importieren. Außerdem ist es nicht möglich, die automatische Schlüsseldrehung für einen KMS-Schlüssel mit importiertem Schlüsselmaterial zu aktivieren. Sie können einen KMS-Schlüssel mit importiertem Schlüsselmaterial jedoch manuell drehen.

Sie können die Herkunft des Schlüsselmaterials nicht ändern

KMS-Schlüssel, die für importiertes Schlüsselmaterial entwickelt wurden, haben einen Ursprungswert vonEXTERNAL, der nicht geändert werden kann. Sie können einen KMS-Schlüssel für importiertes Schlüsselmaterial nicht konvertieren, um Schlüsselmaterial aus einer anderen Quelle zu verwenden, einschließlich AWS KMS. Ebenso können Sie einen KMS-Schlüssel mit Schlüsselmaterial nicht in einen AWS KMS KMS-Schlüssel konvertieren, der für importiertes Schlüsselmaterial entworfen wurde.

Sie können kein Schlüsselmaterial exportieren

Sie können kein Schlüsselmaterial exportieren, das Sie importiert haben. AWS KMS kann Ihnen das importierte Schlüsselmaterial in keiner Form zurückgeben. Sie müssen eine Kopie Ihres importierten Schlüsselmaterials außerhalb von AWS, vorzugsweise in einem Schlüsselmanager, wie z. B. einem Hardware-Sicherheitsmodul (HSM), aufbewahren, damit Sie das Schlüsselmaterial erneut importieren können, falls Sie es löschen oder wenn es abläuft.

Sie können multiregionale Schlüssel mit importiertem Schlüsselmaterial erstellen

Multi-Region mit importiertem Schlüsselmaterial haben die Eigenschaften von KMS-Schlüsseln mit importiertem Schlüsselmaterial und können zwischen AWS-Regionen interoperieren. Um einen multiregionalen Schlüssel mit importiertem Schlüsselmaterial zu erstellen, müssen Sie dasselbe Schlüsselmaterial in den KMS-Schlüssel und in jeden Replikatschlüssel importieren. Details hierzu finden Sie unter Schlüsselmaterial in multiregionale Schlüssel importieren.

Asymmetrische Schlüssel und HMAC-Schlüssel sind portabel und interoperabel

Sie können Ihr asymmetrisches Schlüsselmaterial und Ihr HMAC-Schlüsselmaterial außerhalb von verwenden, um mit AWS KMS Schlüsseln AWS zu interagieren, die dasselbe importierte Schlüsselmaterial enthalten.

Im Gegensatz zum AWS KMS symmetrischen Chiffretext, der untrennbar mit dem im Algorithmus verwendeten KMS-Schlüssel verbunden ist, werden standardmäßige HMAC-Formate und asymmetrische Formate für Verschlüsselung, AWS KMS Signierung und MAC-Generierung verwendet. Dadurch sind die Schlüssel übertragbar und unterstützen herkömmliche Escrow-Key-Szenarien.

Wenn Ihr KMS-Schlüssel Schlüsselmaterial importiert hat, können Sie das importierte Schlüsselmaterial außerhalb von verwenden, um die folgenden Operationen auszuführen. AWS

• HMAC-Schlüssel – Sie können ein HMAC-Tag, das durch den HMAC-KMS-Schlüssel generiert wurde, mit importiertem Schlüsselmaterial überprüfen. Sie können den HMAC-KMS-Schlüssel auch zusammen mit dem importierten Schlüsselmaterial verwenden, um ein HMAC-Tag zu verifizieren, das mit dem Schlüsselmaterial außerhalb von generiert wurde. AWS

• Asymmetrische Verschlüsselungsschlüssel — Sie können Ihren privaten asymmetrischen Verschlüsselungsschlüssel außerhalb von verwenden, AWS um einen durch den KMS-Schlüssel verschlüsselten Chiffretext mit dem entsprechenden öffentlichen Schlüssel zu entschlüsseln. Sie können Ihren asymmetrischen KMS-Schlüssel auch verwenden, um einen asymmetrischen Chiffretext zu entschlüsseln, der außerhalb von generiert wurde. AWS

• Asymmetrische Signaturschlüssel — Sie können Ihren asymmetrischen KMS-Schlüssel mit importiertem Schlüsselmaterial verwenden, um digitale Signaturen zu überprüfen, die mit Ihrem privaten Signaturschlüssel außerhalb von generiert wurden. AWS Sie können Ihren asymmetrischen öffentlichen Signaturschlüssel auch außerhalb von verwenden, um Signaturen AWS zu überprüfen, die mit Ihrem asymmetrischen KMS-Schlüssel generiert wurden.

• Schlüssel für asymmetrische Schlüsselvereinbarungen — Sie können Ihren KMS-Schlüssel für die asymmetrische Vereinbarung mit öffentlichem Schlüssel zusammen mit importiertem Schlüsselmaterial verwenden, um gemeinsam genutzte Geheimnisse mit einem Peer außerhalb von abzuleiten. AWS

Wenn Sie dasselbe Schlüsselmaterial in verschiedene KMS-Schlüssel desselben AWS-Region importieren, sind diese Schlüssel ebenfalls interoperabel. Um interoperable KMS-Schlüssel in verschiedenen Sprachen zu erstellen AWS-Regionen, erstellen Sie einen Schlüssel für mehrere Regionen mit importiertem Schlüsselmaterial.

Symmetrische Verschlüsselungsschlüssel sind nicht portabel oder interoperabel

Die daraus resultierenden symmetrischen Chiffretexte sind weder portabel noch AWS KMS interoperabel. AWS KMS veröffentlicht nicht das symmetrische Chiffretext-Format, das für die Portabilität erforderlich ist, und das Format kann sich ohne vorherige Ankündigung ändern.

• AWS KMS kann symmetrische Chiffretexte, die Sie außerhalb von verschlüsseln, nicht entschlüsseln AWS, selbst wenn Sie importiertes Schlüsselmaterial verwenden.

• AWS KMS unterstützt nicht die Entschlüsselung von AWS KMS symmetrischem Chiffretext außerhalb von AWS KMS, selbst wenn der Chiffretext unter einem KMS-Schlüssel mit importiertem Schlüsselmaterial verschlüsselt wurde.

• KMS-Schlüssel mit demselben importierten Schlüsselmaterial sind nicht interoperabel. Der symmetrische Chiffretext, der Chiffretext AWS KMS generiert, der für jeden KMS-Schlüssel spezifisch ist. Dieses Geheimtextformat garantiert, dass nur der KMS-Schlüssel, der die Daten verschlüsselt hat, diese entschlüsseln kann.

Außerdem können Sie keine AWS Tools wie die clientseitige Verschlüsselung AWS Encryption SDKoder die clientseitige Amazon S3 S3-Verschlüsselung verwenden, um symmetrische Chiffretexte zu entschlüsseln AWS KMS .

Daher können Sie Schlüssel mit importiertem Schlüsselmaterial nicht zur Unterstützung von Schlüsseltreuhandvereinbarungen verwenden, bei denen ein autorisierter Dritter mit eingeschränktem Zugriff auf Schlüsselmaterial bestimmte Chiffretexte außerhalb von entschlüsseln kann. AWS KMS Um die Treuhandfunktion für Schlüssel zu unterstützen, verwenden Sie die AWS Encryption SDK, um Ihre Nachricht mit einem Schlüssel zu verschlüsseln, der unabhängig von AWS KMS ist.

Sie sind verantwortlich für Verfügbarkeit und Langlebigkeit

AWS KMS wurde entwickelt, um importiertes Schlüsselmaterial hochverfügbar zu halten. Die Haltbarkeit von importiertem Schlüsselmaterial wird jedoch AWS KMS nicht auf dem gleichen Niveau gehalten wie das AWS KMS generierte Schlüsselmaterial. Details hierzu finden Sie unter Schützen von importiertem Schlüsselmaterial.

Schützen von importiertem Schlüsselmaterial

Das Schlüsselmaterial, das Sie importieren, ist während des Transports und im Ruhezustand geschützt. Bevor Sie das Schlüsselmaterial importieren, verschlüsseln (oder „verpacken“) Sie das Schlüsselmaterial mit dem öffentlichen Schlüssel eines RSA-Schlüsselpaars, das in AWS KMS Hardware-Sicherheitsmodulen (HSMs) generiert wurde, die im Rahmen des FIPS 140-2 Cryptographic Module Validation Program validiert wurden. Sie können das Schlüsselmaterial direkt mit dem öffentlichen Schlüssel zur Verpackung verschlüsseln oder das Schlüsselmaterial mit einem symmetrischen AES-Schlüssel verschlüsseln und anschließend den symmetrischen AES-Schlüssel mit dem öffentlichen RSA-Schlüssel verschlüsseln.

AWS KMS Entschlüsselt das Schlüsselmaterial nach Erhalt mit dem entsprechenden privaten Schlüssel in einem AWS KMS HSM und verschlüsselt es erneut unter einem symmetrischen AES-Schlüssel, der nur im flüchtigen Speicher des HSM vorhanden ist. Ihr Schlüsselmaterial verlässt zu keiner Zeit Ihr HSM im Klartext. Es wird nur während der Verwendung und nur innerhalb von HSMs entschlüsselt. AWS KMS

Die Verwendung Ihres KMS-Schlüssels mit importiertem Schlüsselmaterial hängt ausschließlich von den Zugriffskontrollrichtlinien ab, die Sie für den KMS-Schlüssel festlegen. Darüber hinaus können Sie Aliase und Tags verwenden, um den Zugriff auf den KMS-Schlüssel zu identifizieren und zu kontrollieren. Sie können den Schlüssel aktivieren und deaktivieren, seine Eigenschaften anzeigen und bearbeiten und ihn mithilfe von Diensten wie AWS CloudTrailüberwachen.

Sie behalten jedoch die einzige ausfallsichere Kopie Ihres Schlüsselmaterials. Im Gegenzug für dieses zusätzliche Maß an Kontrolle sind Sie für die Haltbarkeit und allgemeine Verfügbarkeit des importierten Schlüsselmaterials verantwortlich. AWS KMS ist darauf ausgelegt, importiertes Schlüsselmaterial hochverfügbar zu halten. Die Haltbarkeit von importiertem Schlüsselmaterial wird jedoch AWS KMS nicht auf dem gleichen Niveau gehalten wie das AWS KMS generierte Schlüsselmaterial.

Dieser Unterschied in der Haltbarkeit ist in den folgenden Fällen von Bedeutung:

• Wenn Sie eine Ablaufzeit für Ihr importiertes Schlüsselmaterial festlegen, AWS KMS wird das Schlüsselmaterial nach Ablauf gelöscht. AWS KMS löscht den KMS-Schlüssel oder seine Metadaten nicht. Sie können einen CloudWatch Amazon-Alarm erstellen, der Sie benachrichtigt, wenn importiertes Schlüsselmaterial sich dem Ablaufdatum nähert.

  Sie können kein Schlüsselmaterial löschen, das für einen KMS-Schlüssel AWS KMS generiert wurde, und Sie können nicht festlegen, dass AWS KMS Schlüsselmaterial abläuft, obwohl Sie es rotieren können.

• Wenn Sie importiertes Schlüsselmaterial manuell AWS KMS löschen, wird das Schlüsselmaterial gelöscht, der KMS-Schlüssel oder seine Metadaten werden jedoch nicht gelöscht. Im Gegensatz dazu erfordert die Planung der Schlüssellöschung eine Wartezeit von 7 bis 30 Tagen, nach der AWS KMS den KMS-Schlüssel, seine Metadaten und sein Schlüsselmaterial löscht.

• In dem unwahrscheinlichen Fall, dass bestimmte regionsweite Ausfälle auftreten, die Auswirkungen haben AWS KMS (z. B. ein vollständiger Stromausfall), AWS KMS kann Ihr importiertes Schlüsselmaterial nicht automatisch wiederhergestellt werden. Der KMS-Schlüssel und seine Metadaten AWS KMS können jedoch wiederhergestellt werden.

Sie müssen eine Kopie des importierten Schlüsselmaterials außerhalb eines von AWS Ihnen kontrollierten Systems aufbewahren. Wir empfehlen, eine exportierbare Kopie des importierten Schlüsselmaterials in einem Schlüsselverwaltungssystem, z. B. einem HSM, zu speichern. Wenn Ihr importiertes Schlüsselmaterial gelöscht wird oder abläuft, ist der zugehörige KMS-Schlüssel unbrauchbar, bis Sie dasselbe Schlüsselmaterial erneut importieren. Wenn Ihr importiertes Schlüsselmaterial dauerhaft verloren geht, ist jeder unter dem KMS-Schlüssel verschlüsselte Geheimtext nicht wiederherstellbar.

Berechtigungen zum Importieren von Schlüsselmaterial

Um KMS-Schlüssel mit importiertem Schlüsselmaterial zu erstellen und zu verwalten, benötigt der Benutzer die Berechtigung für die Operationen in diesem Prozess. Sie können die kms:GetParametersForImport-, kms:ImportKeyMaterial-, undkms:DeleteImportedKeyMaterial-Berechtigungen in der Schlüsselrichtlinie beim Erstellen des KMS-Schlüssels bereitstellen. In der AWS KMS Konsole werden diese Berechtigungen automatisch für Schlüsseladministratoren hinzugefügt, wenn Sie einen Schlüssel mit einem externen Schlüsselmaterial-Ursprung erstellen.

Um KMS-Schlüssel mit importiertem Schlüsselmaterial zu erstellen, benötigt der Prinzipal die folgenden Berechtigungen.

• kms: CreateKey (IAM-Richtlinie)

  • Um diese Berechtigung auf KMS-Schlüssel mit importiertem Schlüsselmaterial zu beschränken, verwenden Sie die KeyOrigin Richtlinienbedingung kms: mit dem Wert. EXTERNAL

    {
      "Sid": "CreateKMSKeysWithoutKeyMaterial",
      "Effect": "Allow",
      "Resource": "*",
      "Action": "kms:CreateKey",
      "Condition": {
        "StringEquals": {
          "kms:KeyOrigin": "EXTERNAL"
        }
      }
    }

• kms: GetParametersForImport (Schlüsselrichtlinie oder IAM-Richtlinie)

  • Um diese Berechtigung auf Anfragen zu beschränken, die einen bestimmten Wrapping-Algorithmus und eine bestimmte Wrapping-Schlüsselspezifikation verwenden, verwenden Sie die WrappingKeySpec Richtlinienbedingungen kms: WrappingAlgorithm und kms:.

• kms: ImportKeyMaterial (Schlüsselrichtlinie oder IAM-Richtlinie)

  • Verwenden Sie die ValidTo Richtlinienbedingungen kms: und kms:, um Schlüsselmaterial, das abläuft, zuzulassen oder zu verbieten ExpirationModel und das Ablaufdatum zu kontrollieren.

Um importiertes Schlüsselmaterial erneut zu importieren, benötigt der Principal die Berechtigungen kms: GetParametersForImport und kms: ImportKeyMaterial.

Um importiertes Schlüsselmaterial zu löschen, benötigt der Principal die kms: DeleteImportedKeyMaterial -Berechtigung.

Um beispielsweise der Beispiel-KMSAdminRole die Berechtigung zu erteilen, alle Aspekte eines KMS-Schlüssels mit importiertem Schlüsselmaterial zu verwalten, fügen Sie eine Schlüsselrichtlinienanweisung wie die folgende in die Schlüsselrichtlinie des KMS-Schlüssels ein.

{
  "Sid": "Manage KMS keys with imported key material",
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole"
  },
  "Action": [
    "kms:GetParametersForImport",
    "kms:ImportKeyMaterial",
    "kms:DeleteImportedKeyMaterial"
  ]  
}

Anforderungen an importiertes Schlüsselmaterial

Das Schlüsselmaterial, das Sie importieren, muss mit der Schlüsselspezifikation des zugehörigen KMS-Schlüssels kompatibel sein. Importieren Sie bei asymmetrischen Schlüsselpaaren nur den privaten Schlüssel des Paares. AWS KMS leitet den öffentlichen Schlüssel vom privaten Schlüssel ab.

AWS KMS unterstützt die folgenden Schlüsselspezifikationen für KMS-Schlüssel mit importiertem Schlüsselmaterial.

KMS-Schlüssel-Schlüsselspezifikation	Schlüsselmaterialanforderungen
Schlüssel zur symmetrischen Verschlüsselung SYMMETRIC_DEFAULT	256 Bit (32 Byte) an Binärdaten In chinesischen Regionen muss es sich um 128 Bit (16 Byte) an Binärdaten handeln.
HMAC-Schlüssel HMAC_224 HMAC_256 HMAC_384 HMAC_512	Das HMAC-Schlüsselmaterial muss RFC 2104 entsprechen. Die Schlüssellänge muss mit der in der Schlüsselspezifikation angegebenen Länge übereinstimmen.
Asymmetrischer privater RSA-Schlüssel RSA_2048 RSA_3072 RSA_4096	Der asymmetrische private RSA-Schlüssel, den Sie importieren, muss Teil eines Schlüsselpaares sein, das RFC 3447 entspricht. Modul: 2 048 Bit, 3 072 Bit oder 4 096 Bit Anzahl der Primzahlen: 2 (RSA-Schlüssel mit mehreren Primzahlen werden nicht unterstützt) Asymmetrisches Schlüsselmaterial muss im Format Public-Key Cryptography Standards (PKCS) #8, das RFC 5208 entspricht, BER- oder DER-codiert sein.
Asymmetrischer privater Schlüssel mit elliptischer Kurve ECC_NIST_P256 (secp256r1) ECC_NIST_P384 (secp384r1) ECC_NIST_P521 (secp521r1) ECC_SECG_P256K1 (secp256k1)	Der asymmetrische private ECC-Schlüssel, den Sie importieren, muss Teil eines Schlüsselpaares sein, das RFC 5915 entspricht. Kurve: NIST P-256, NIST P-384, NIST P-521, oder Secp256k1 Parameter: Nur benannte Kurven (ECC-Schlüssel mit expliziten Parametern werden zurückgewiesen) Öffentliche Punktkoordinaten: Können komprimiert, unkomprimiert oder projektiv sein Asymmetrisches Schlüsselmaterial muss im Format Public-Key Cryptography Standards (PKCS) #8, das RFC 5208 entspricht, BER- oder DER-codiert sein.
Asymmetrischer privater SM2-Schlüssel (nur Regionen Chinas)	Der asymmetrische private SM2-Schlüssel, den Sie importieren, muss Teil eines key pair sein, das GM/T 0003 entspricht. Kurve: SM2 Parameter: Nur benannte Kurve (SM2-Schlüssel mit expliziten Parametern werden abgelehnt) Öffentliche Punktkoordinaten: Können komprimiert, unkomprimiert oder projektiv sein Asymmetrisches Schlüsselmaterial muss im Format Public-Key Cryptography Standards (PKCS) #8, das RFC 5208 entspricht, BER- oder DER-codiert sein.