Importieren von Schlüsselmaterial Schritt 4: Importieren des Schlüsselmaterials

Nachdem Sie Ihr Schlüsselmaterial verschlüsselt haben, können Sie das Schlüsselmaterial importieren, um es mit einem AWS KMS key zu verwenden. Um Schlüsselmaterial zu importieren, laden Sie das verschlüsselte Schlüsselmaterial aus Schritt 3: Verschlüsselung des Schlüsselmaterials und den Import-Token, den Sie von Schritt 2: Herunterladen des öffentlichen Verpackungsschlüssels und des Import-Tokens heruntergeladen haben, hoch. Sie müssen das Schlüsselmaterial in den gleichen KMS-Schlüssel importieren, den Sie auch beim Herunterladen des öffentlichen Schlüssels und Import-Tokens angegeben haben. Wenn Schlüsselmaterial erfolgreich importiert wird, ändert sich der Schlüsselstatus des KMS-Schlüssels auf Enabled, und Sie können den KMS-Schlüssel in kryptografischen Operationen verwenden.

Wenn Sie Schlüsselmaterial importieren, können Sie ein optionales Ablaufdatum für das Schlüsselmaterial festlegen. Wenn das Schlüsselmaterial abgelaufen ist, löscht AWS KMS das Schlüsselmaterial und der KMS-Schlüssel kann nicht mehr verwendet werden. Um den KMS-Schlüssel in kryptografischen Vorgängen zu verwenden, müssen Sie das gleiche Schlüsselmaterial erneut importieren. Nachdem Sie Ihr Schlüsselmaterial importiert haben, können Sie das Ablaufdatum für den aktuellen Import nicht mehr festlegen, ändern oder stornieren. Um diese Werte zu ändern, müssen Sie das gleiche Schlüsselmaterial löschen und wieder importieren.

Um Schlüsselmaterial zu importieren, können Sie die AWS KMS Konsole oder die ImportKeyMaterialAPI verwenden. Sie können die API direkt mittels HTTP-Anforderungen verwenden oder mithilfe eines AWS -SDKs, AWS Command Line Interface oder AWS Tools for PowerShell.

Wenn Sie das Schlüsselmaterial importieren, wird Ihrem AWS CloudTrail Protokoll ein ImportKeyMaterialEintrag hinzugefügt, um den ImportKeyMaterial Vorgang aufzuzeichnen. Der CloudTrail Eintrag ist derselbe, unabhängig davon, ob Sie die AWS KMS Konsole oder die AWS KMS API verwenden.

Festlegen einer Ablaufzeit (optional)

Wenn Sie das Schlüsselmaterial für Ihren KMS-Schlüssel importieren, können Sie optional ein Ablaufdatum und eine Ablaufzeit für das Schlüsselmaterial von bis zu 365 Tagen ab dem Importdatum festlegen. Wenn importiertes Schlüsselmaterial abläuft, AWS KMS wird es gelöscht. Diese Aktion ändert den Status des KMS-Schlüssels zu PendingImport, wodurch verhindert wird, dass er in kryptografischen Operationen verwendet wird. Wenn Sie den KMS-Schlüssel verwenden möchten, müssen Sie das Schlüsselmaterial erneut importieren.

Wenn Sie sicherstellen, dass importiertes Schlüsselmaterial häufig abläuft, können Sie zwar die gesetzlichen Anforderungen erfüllen, jedoch birgt dies ein zusätzliches Risiko für Daten, die unter dem KMS-Schlüssel verschlüsselt sind. Solange Sie keine Kopie des ursprünglichen Schlüsselmaterials neu importieren, ist ein KMS-Schlüssel mit abgelaufenem Schlüsselmaterial unbrauchbar, und alle unter dem KMS-Schlüssel verschlüsselten Daten sind unzugänglich. Wenn Sie das Schlüsselmaterial aus irgendeinem Grund, einschließlich des Verlusts Ihrer Kopie des ursprünglichen Schlüsselmaterials, nicht erneut importieren, ist der KMS-Schlüssel dauerhaft unbrauchbar, und die unter dem KMS-Schlüssel verschlüsselten Daten sind nicht wiederherstellbar.

Um dieses Risiko zu minimieren, sollten Sie sicherstellen, dass auf Ihre Kopie des importierten Schlüsselmaterials zugegriffen werden kann, und ein System einrichten, das das Schlüsselmaterial löscht und erneut importiert, bevor es abläuft und Ihre Arbeitslast unterbricht. AWS Wir empfehlen Ihnen, einen Alarm für den Ablauf Ihres importierten Schlüsselmaterials einzustellen, der Ihnen genügend Zeit gibt, das Schlüsselmaterial vor Ablauf erneut zu importieren. Sie können Ihre CloudTrail Protokolle auch verwenden, um Vorgänge zu überprüfen, bei denen Schlüsselmaterial importiert (und erneut importiert) und importiertes Schlüsselmaterial gelöscht wird, sowie den AWS KMS Vorgang zum Löschen abgelaufener Schlüsselmaterialien.

Sie können kein anderes Schlüsselmaterial in den KMS-Schlüssel importieren und das gelöschte Schlüsselmaterial AWS KMS nicht wiederherstellen, wiederherstellen oder reproduzieren. Anstatt eine Ablaufzeit festzulegen, können Sie das importierte Schlüsselmaterial programmgesteuert löschen und in regelmäßigen Abständen erneut importieren. Die Anforderungen für die Beibehaltung einer Kopie des ursprünglichen Schlüsselmaterials sind jedoch dieselben.

Sie legen fest, ob und wann importiertes Schlüsselmaterial abläuft, wenn Sie das Schlüsselmaterial importieren. Sie können das Ablaufdatum jedoch ein- und ausschalten oder eine neue Ablaufzeit festlegen, indem Sie das Schlüsselmaterial löschen und erneut importieren. Verwenden Sie den ExpirationModel Parameter von ImportKeyMaterial, um den Ablauf ein- (KEY_MATERIAL_EXPIRES) und auszuschalten (KEY_MATERIAL_DOES_NOT_EXPIRE), und den ValidTo Parameter, um die Ablaufzeit festzulegen. Der maximale Zeitraum beträgt 365 Tage ab dem Import der Daten. Es gibt kein Minimum, aber der Zeitpunkt muss in der Zukunft liegen.

Importieren von Schlüsselmaterial (Konsole)

Sie können den verwenden AWS Management Console , um Schlüsselmaterial zu importieren.

1. Wenn Sie sich auf der Seite Ihr verpacktes Schlüsselmaterial hochladen befinden, fahren Sie mit Schritt 8 fort.

2. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

3. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

4. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

5. Wählen Sie die Schlüssel-ID oder den Alias des KMS-Schlüssels, für den Sie den öffentlichen Schlüssel und das Import-Token heruntergeladen haben.

6. Erweitern Sie den Bereich Cryptographic configuration (kryptografische Konfiguration) und zeigen Sie dessen Werte an. Die Registerkarten befinden sich auf der Detailseite für einen KMS-Schlüssel unter dem Abschnitt General configuration (allgemeine Konfiguration).

   Sie können Schlüsselmaterial nur in KMS-Schlüssel mit dem Ursprung Extern (Schlüsselmaterial importieren). Weitere Informationen zum Erstellen eines KMS-Schlüssels mit importiertem Schlüsselmaterial finden Sie unter Schlüsselmaterial für AWS KMS Schlüssel importieren.

7. Wählen Sie die Registerkarte Schlüsselmaterial und dann Schlüsselmaterial importieren. Die Registerkarte Schlüsselmaterial wird nur für KMS-Schlüssel angezeigt, bei denen der Wert für Ursprung Extern (Schlüsselmaterial importieren) ist.

   Wenn Sie das Schlüsselmaterial und Import-Token heruntergeladen haben und das Schlüsselmaterial verschlüsselt haben, wählen Sie Weiter.

8. Gehen Sie im Abschnitt Verschlüsseltes Schlüsselmaterial und Import-Token wie folgt vor.

   1. Wählen Sie unter Verpacktes Schlüsselmaterial Datei auswählen aus. Laden Sie dann die Datei hoch, die das durch den Umhüllungsschlüssel geschützte Schlüsselmaterial enthält.

   2. Wählen Sie unter Token importieren die Option Datei wählen. Laden Sie die heruntergeladene Datei mit dem Import-Token hoch.

9. Wählen Sie im Bereich Expiration option (Ablaufoption) aus, ob das Schlüsselmaterial abläuft. Um ein Ablaufdatum und eine Uhrzeit festzulegen, wählen Sie Key material expires (Schlüsselmaterial läuft ab) und wählen Sie dann Datum und Uhrzeit über das Kalendersteuerelement aus. Sie können ein Datum angeben, das bis zu 365 Tage nach dem aktuellen Datum und der aktuellen Uhrzeit liegt.

10. Wählen Sie die Option Upload key material (Schlüsselmaterial hochladen).

Schlüsselmaterial importieren (API)AWS KMS

Verwenden Sie den ImportKeyMaterialVorgang, um Schlüsselmaterial zu importieren. Für die folgenden Beispiele wird die AWS CLIverwendet. Sie können aber jede unterstützte Programmiersprache nutzen.

Zur Verwendung dieses Beispiels gehen Sie wie folgt vor:

1. Ersetzen Sie 1234abcd-12ab-34cd-56ef-1234567890ab durch eine Schlüssel-ID des KMS-Schlüssels, den Sie beim Herunterladen des öffentlichen Schlüssels und des Import-Tokens angegeben haben. Verwenden Sie zum Identifizieren des KMS-Schlüssels seine Schlüssel-ID oder den Schlüssel-ARN. Sie können für diese Operation keinen Alias-Namen oder Alias-ARN verwenden.

2. Ersetzen Sie EncryptedKeyMaterial.bin durch den Namen der Datei, die das verschlüsselten Schlüsselmaterial enthält.

3. Ersetzen Sie ImportToken.bin durch den Namen der Datei, die den Import-Token enthält.

4. Wenn das importierte Schlüsselmaterial ablaufen soll, setzen Sie den Wert für den expiration-model-Parameter auf den Standardwert zurück, KEY_MATERIAL_EXPIRES, oder lassen Sie den expiration-model-Parameter weg. Ersetzen Sie dann den Wert des valid-to-Parameters mit dem Datum und der Uhrzeit, zu der das Schlüsselmaterial ablaufen soll. Datum und Uhrzeit können bis zu 365 Tage ab dem Zeitpunkt der Anfrage betragen.

   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_EXPIRES \
       --valid-to 2023-06-17T12:00:00-08:00

   Wenn das importierte Schlüsselmaterial nicht ablaufen soll, setzen Sie den Wert für den expiration-model-Parameter aufKEY_MATERIAL_DOES_NOT_EXPIRE und lassen Sie den valid-to-Parameter aus dem Befehl weg.

   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_DOES_NOT_EXPIRE

Tipp

Wenn der Befehl nicht erfolgreich ist, wird möglicherweise eine KMSInvalidStateException oder eine NotFoundExceptionangezeigt. Sie können die Anfrage wiederholen.