Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwalten von KMS-Schlüsseln in einem externen Schlüsselspeicher
Zum Erstellen, Anzeigen, Verwalten, Verwenden und Planen der Löschung von KMS-Schlüsseln in einem externen Schlüsselspeicher verwenden Sie ganz ähnliche Verfahren wie für andere KMS-Schlüssel. Wenn Sie jedoch einen KMS-Schlüssel in einem externen Schlüsselspeicher erstellen, geben Sie einen externen Schlüsselspeicher und einen externen Schlüssel an. Wenn Sie einen KMS-Schlüssel in einem externen Schlüsselspeicher verwenden, werden die Ver- und Entschlüsselungsvorgänge von Ihrem externen Schlüsselmanager unter Verwendung des angegebenen externen Schlüssels durchgeführt.
AWS KMS kann keine kryptografischen Schlüssel in Ihrem externen Schlüsselmanager erstellen, anzeigen, aktualisieren oder löschen. AWS KMS greift niemals direkt auf Ihren externen Schlüsselmanager oder einen externen Schlüssel zu. Alle Anforderungen für kryptografische Vorgänge werden vom Proxy Ihres externen Schlüsselspeichers vermittelt. Zur Verwendung eines KMS-Schlüssels in einem externen Schlüsselspeicher muss der externe Schlüsselspeicher, der den KMS-Schlüssel hostet, mit seinem externen Schlüsselspeicher-Proxy verbunden sein.
Unterstützte Funktionen
Neben den in diesem Abschnitt beschriebenen Verfahren können Sie mit KMS-Schlüsseln in einem externen Schlüsselspeicher folgende Aktionen ausführen:
-
Verwenden von Schlüsselrichtlinien, IAM-Richtlinien und Erteilungen zur Steuerung des Zugriffs auf die KMS-Schlüssel
-
Aktivieren und Deaktivieren der KMS-Schlüssel. Diese Aktionen wirken sich nicht auf den externen Schlüssel in Ihrem externen Schlüsselmanager aus.
-
Zuweisen von Tags und Erstellen von Aliassen und Autorisieren des Zugriffs auf die KMS-Schlüssel mithilfe der attributbasierten Zugriffskontrolle (ABAC)
-
Verwenden der KMS-Schlüssel mit AWS-Services-Services, die in AWS KMS integriert werden können
und Unterstützen von kundenverwalteten KMS-Schlüsseln
Nicht unterstützte Funktionen
-
Externe Schlüsselspeicher unterstützen nur KMS-Schlüssel mit symmetrischer Verschlüsselung. Sie können keine HMAC-KMS-Schlüssel oder asymmetrische KMS-Schlüssel in einem externen Schlüsselspeicher erstellen.
-
GenerateDataKeyPair und GenerateDataKeyPairWithoutPlaintext werden auf KMS-Schlüsseln in einem externen Schlüsselspeicher nicht unterstützt.
-
Sie können keine AWS CloudFormation-Vorlage verwenden, um einen externen Schlüsselspeicher oder einen KMS-Schlüssel in einem externen Schlüsselspeicher zu erstellen.
-
Multiregionale Schlüssel werden in einem externen Schlüsselspeicher nicht unterstützt.
-
KMS-Schlüssel mit importiertem Schlüsselmaterial werden in einem externen Schlüsselspeicher nicht unterstützt.
-
Automatische Schlüsselrotation wird für KMS-Schlüssel in einen externen Schlüsselspeicher nicht unterstützt.
Themen
