Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Importieren von Schlüsselmaterial für AWS KMS Schlüssel
Sie können einen AWS KMS keys (KMS-Schlüssel) mit Schlüsselmaterial erstellen, das Sie bereitstellen.
Ein KMS-Schlüssel ist eine logische Darstellung eines Verschlüsselungsschlüssels. Die Metadaten für einen KMS-Schlüssel enthalten die ID des Schlüsselmaterials, das zur Ver- und Entschlüsselung von Daten verwendet wird. Beim Erstellen eines KMS-Schlüssels generiert AWS KMS standardmäßig das Schlüsselmaterial für diesen KMS-Schlüssel. Aber Sie können einen KMS-Schlüssel ohne Schlüsselmaterial erstellen und dann Ihr eigenes Schlüsselmaterial in diesen KMS-Schlüssel importieren, ein Feature, das oft als Bring Your Own Key (BYOK, bringe deinen eigenen Schlüssel) bezeichnet wird.
Anmerkung
AWS KMS unterstützt nicht die Entschlüsselung von AWS KMS Geheimtext außerhalb von AWS KMS, selbst wenn der Geheimtext unter einem KMS-Schlüssel mit AWS KMS importiertem Schlüsselmaterial verschlüsselt wurde. veröffentlicht nicht das Geheimtextformat, das diese Aufgabe benötigt, und das Format kann sich ohne vorherige Ankündigung ändern.
Importiertes Schlüsselmaterial wird für alle Arten von KMS-Schlüsseln unterstützt, mit Ausnahme von KMS-Schlüsseln in benutzerdefinierten Schlüsselspeichern. In chinesischen Regionen können Sie jedoch nur symmetrisches Verschlüsselungsschlüsselmaterial in KMS-Schlüssel importieren.
Wenn Sie importiertes Schlüsselmaterial verwenden, bleiben Sie für das Schlüsselmaterial verantwortlich und erlauben gleichzeitig, eine Kopie davon AWS KMS zu verwenden. Sie können dies aus den folgenden Gründe tun:
-
Um nachzuweisen, dass das Schlüsselmaterial mit einer zufälligen Quelle generiert wurde, die Ihre Anforderungen erfüllt.
-
Zur Verwendung von Schlüsselmaterial aus Ihrer eigenen Infrastruktur mit - AWS Services und AWS KMS zur Verwaltung des Lebenszyklus dieses Schlüsselmaterials innerhalb von AWS.
-
So verwenden Sie vorhandene, gut etablierte Schlüssel in AWS KMS, z. B. Schlüssel für Codesignatur, PKI-Zertifikatsignierung und Anwendungen, die mit Zertifikaten fixiert sind
-
So legen Sie eine Ablaufzeit für das Schlüsselmaterial in fest AWS und löschen es manuell, aber auch in Zukunft wieder verfügbar. Im Gegensatz dazu erfordert die Planung der Schlüssellöschung eine Wartezeit von 7 bis 30 Tagen. Danach können Sie den gelöschten KMS-Schlüssel nicht wiederherstellen.
-
Um die Originalkopie des Schlüsselmaterials zu besitzen und sie außerhalb von AWS für zusätzliche Haltbarkeit und Notfallwiederherstellung während des gesamten Lebenszyklus des Schlüsselmaterials zu halten.
-
Bei asymmetrischen Schlüsseln und HMAC-Schlüsseln erstellt der Import kompatible und interoperable Schlüssel, die innerhalb und außerhalb von funktionieren AWS.
Sie können die Verwendung und Verwaltung eines KMS-Schlüssels mit importiertem Schlüsselmaterial prüfen und überwachen. AWS KMS zeichnet ein Ereignis in Ihrem AWS CloudTrail Protokoll auf, wenn Sie den KMS-Schlüssel erstellen, den öffentlichen Verpackungsschlüssel und das Import-Token herunterladen und das Schlüsselmaterial importieren. zeichnet AWS KMS auch ein Ereignis auf, wenn Sie importiertes Schlüsselmaterial manuell löschen oder wenn AWS KMS abgelaufenes Schlüsselmaterial löscht.
Informationen zu wichtigen Unterschieden zwischen KMS-Schlüsseln mit importiertem Schlüsselmaterial und Schlüsseln mit von generiertem Schlüsselmaterial AWS KMSfinden Sie unter Informationen zu importiertem Schlüsselmaterial.
Unterstützte KMS-Schlüssel
AWS KMS unterstützt importiertes Schlüsselmaterial für die folgenden Arten von KMS-Schlüsseln. Es ist jedoch nicht möglich, Schlüsselmaterial in KMS-Schlüsseln in benutzerdefinierten Schlüsselspeichern zu importieren. In den chinesischen Regionen können Sie Schlüsselmaterial nur in symmetrische Verschlüsselungsschlüssel importieren.
-
Asymmetrische RSA-KMS-Schlüssel (für Verschlüsselung oder Signierung, aber nicht für beides)
-
Asymmetrische elliptische Kurven (ECC) KMS-Schlüssel (nur Signieren)
-
Schlüssel für mehrere Regionen aller unterstützten Typen.
Regionen
Importiertes Schlüsselmaterial wird in allen unterstützt AWS-Regionen , die AWS KMS unterstützt.
In den chinesischen Regionen können Sie Schlüsselmaterial nur in symmetrisch verschlüsselte KMS-Schlüssel importieren. Außerdem unterscheiden sich die wichtigsten Materialanforderungen von denen anderer Regionen. Details hierzu finden Sie unter Schritt 3 für den Import von Schlüsselmaterial: Verschlüsselung des Schlüsselmaterials.
Themen
- Planung des Imports von Schlüsselmaterial
- Verwalten von importiertem Schlüsselmaterial
- Schritt 1: Erstellen eines KMS-Schlüssels ohne Schlüsselmaterial
- Schritt 2: Herunterladen des öffentlichen Verpackungsschlüssels und des Import-Tokens
- Schritt 3: Verschlüsselung des Schlüsselmaterials
- Schritt 4: Importieren des Schlüsselmaterials
