Buat kunci KMS dengan materi kunci yang diimpor

Materi kunci yang diimpor memungkinkan Anda melindungi AWS sumber daya Anda di bawah kunci kriptografi yang Anda hasilkan. Gambaran umum berikut menjelaskan cara mengimpor material kunci Anda ke dalam AWS KMS. Untuk detail selengkapnya tentang setiap langkah dalam proses, lihat topik yang sesuai.

1. Buat kunci KMS tanpa bahan kunci - Asal harusEXTERNAL. Asal kunci EXTERNAL menunjukkan bahwa kunci dirancang untuk bahan kunci impor dan AWS KMS mencegah menghasilkan bahan kunci untuk kunci KMS. Pada langkah selanjutnya Anda akan mengimpor materi kunci Anda sendiri ke dalam kunci KMS ini.

   Materi kunci yang Anda impor harus kompatibel dengan spesifikasi kunci dari AWS KMS kunci terkait. Untuk informasi selengkapnya tentang kompatibilitas, lihatPersyaratan untuk bahan kunci impor.

2. Unduh kunci publik pembungkus dan token impor — Setelah menyelesaikan langkah 1, unduh kunci publik pembungkus dan token impor. Barang-barang ini melindungi materi utama Anda saat diimpor AWS KMS.

   Pada langkah ini, Anda memilih jenis (“spesifikasi kunci”) dari kunci pembungkus RSA dan algoritma pembungkus yang akan Anda gunakan untuk mengenkripsi data Anda dalam perjalanan. AWS KMS Anda dapat memilih spesifikasi kunci pembungkus dan algoritma kunci pembungkus yang berbeda setiap kali Anda mengimpor atau mengimpor ulang materi kunci yang sama.

3. Enkripsi materi kunci — Gunakan kunci publik pembungkus yang Anda unduh di langkah 2 untuk mengenkripsi materi kunci yang Anda buat di sistem Anda sendiri.

4. Mengimpor materi kunci — Unggah material kunci terenkripsi yang Anda buat pada langkah 3 dan token impor yang Anda unduh di langkah 2.

   Pada tahap ini, Anda dapat mengatur waktu kedaluwarsa opsional. Ketika materi kunci yang diimpor kedaluwarsa, AWS KMS menghapusnya, dan kunci KMS menjadi tidak dapat digunakan. Untuk terus menggunakan kunci KMS, Anda harus mengimpor ulang materi kunci yang sama.

   Ketika operasi impor selesai dengan sukses, status kunci kunci KMS berubah dari PendingImport ke. Enabled Anda sekarang dapat menggunakan kunci KMS dalam operasi kriptografi.

AWS KMS merekam entri di AWS CloudTrail log Anda saat Anda membuat kunci KMS, mengunduh kunci publik pembungkus dan token impor, dan mengimpor materi kunci. AWS KMS juga mencatat entri saat Anda menghapus materi kunci yang diimpor atau saat AWS KMS menghapus materi kunci yang kedaluwarsa.

Izin untuk mengimpor material kunci

Untuk membuat dan mengelola kunci KMS dengan materi kunci yang diimpor, pengguna memerlukan izin untuk operasi dalam proses ini. Anda dapat memberikankms:GetParametersForImport,kms:ImportKeyMaterial, dan kms:DeleteImportedKeyMaterial izin dalam kebijakan kunci saat Anda membuat kunci KMS. Di AWS KMS konsol, izin ini ditambahkan secara otomatis untuk administrator kunci saat Anda membuat kunci dengan asal materi kunci eksternal.

Untuk membuat kunci KMS dengan bahan kunci yang diimpor, prinsipal memerlukan izin berikut.

• kms: CreateKey (kebijakan IAM)

  • Untuk membatasi izin ini ke kunci KMS dengan materi kunci impor, gunakan kondisi KeyOrigin kebijakan kms: dengan nilai. EXTERNAL

    {
      "Sid": "CreateKMSKeysWithoutKeyMaterial",
      "Effect": "Allow",
      "Resource": "*",
      "Action": "kms:CreateKey",
      "Condition": {
        "StringEquals": {
          "kms:KeyOrigin": "EXTERNAL"
        }
      }
    }

• kms: GetParametersForImport (Kebijakan utama atau kebijakan IAM)

  • Untuk membatasi izin ini pada permintaan yang menggunakan algoritme pembungkus tertentu dan spesifikasi kunci pembungkus, gunakan kondisi kebijakan kms: WrappingAlgorithm dan kms:. WrappingKeySpec

• kms: ImportKeyMaterial (Kebijakan utama atau kebijakan IAM)

  • Untuk mengizinkan atau melarang materi utama yang kedaluwarsa dan mengontrol tanggal kedaluwarsa, gunakan ketentuan kebijakan kms: ExpirationModel dan kms:. ValidTo

Untuk mengimpor kembali materi kunci yang diimpor, prinsipal membutuhkan izin kms: GetParametersForImport dan kms:. ImportKeyMaterial

Untuk menghapus materi kunci yang diimpor, prinsipal membutuhkan DeleteImportedKeyMaterial izin kms:.

Misalnya, untuk memberikan KMSAdminRole izin contoh untuk mengelola semua aspek kunci KMS dengan materi kunci impor, sertakan pernyataan kebijakan kunci seperti berikut dalam kebijakan kunci KMS.

{
  "Sid": "Manage KMS keys with imported key material",
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole"
  },
  "Action": [
    "kms:GetParametersForImport",
    "kms:ImportKeyMaterial",
    "kms:DeleteImportedKeyMaterial"
  ]  
}

Persyaratan untuk bahan kunci impor

Materi kunci yang Anda impor harus kompatibel dengan spesifikasi kunci kunci KMS terkait. Untuk pasangan kunci asimetris, impor hanya kunci pribadi pasangan. AWS KMS kunci publik berasal dari kunci privat.

AWS KMS mendukung spesifikasi kunci berikut untuk kunci KMS dengan bahan kunci yang diimpor.

• Kunci enkripsi simetris

  • Spesifikasi kunci:

    • SYMMETRIC_DEFAULT.

  • Persyaratan:

    • 256-bit (32 byte) data biner.

    • Di Wilayah Tiongkok, itu harus berupa 128-bit (16 byte) data biner.

• Kunci HMAC

  • Spesifikasi utama:

    • HMAC_224

    • HMAC_256

    • HMAC_384

    • HMAC_512

  • Persyaratan:

    • Materi kunci HMAC harus sesuai dengan RFC 2104.

    • Panjang kunci harus setidaknya panjang yang sama yang ditentukan oleh spesifikasi kunci. Panjang kunci maksimum adalah 1024-bit.

    • Jika materi kunci Anda melebihi 1024 bit, Anda dapat melakukan hash materi kunci dan mengimpor output hash. Algoritma hashing harus sesuai dengan spesifikasi kunci HMAC KMS yang Anda buat.

  • Contoh:

    • Untuk mengimpor 2048 bit material kunci ke dalam kunci HMAC_256, pertama-tama hitung hash SHA-256 dari bahan kunci 2048-bit, lalu impor output hash 256-bit yang dihasilkan ke kunci KMS.

  • Panjang kunci yang valid:

    • HMAC_224:224—1024 bit

    • HMAC_256:256—1024 bit

    • HMAC_384:384—1024 bit

    • HMAC_512:512—1024 bit

• Kunci pribadi asimetris RSA

  • Spesifikasi utama:

    • RSA_2048

    • RSA_3072

    • RSA_4096

  • Persyaratan:

    • Kunci pribadi asimetris RSA yang Anda impor harus menjadi bagian dari key pair yang sesuai dengan RFC 3447.

    • Modulus: 2048 bit, 3072 bit atau 4096 bit

    • Jumlah bilangan prima: 2 (kunci RSA multi-prime tidak didukung)

    • Materi kunci asimetris harus dikodekan BER atau dikodekan DER dalam format Public-Key Cryptography Standards (PKCS) #8 yang sesuai dengan RFC 5208.

• Kunci pribadi asimetris kurva elips

  • Spesifikasi utama:

    • ECC_NIST_P256 (secp256r1)

    • ECC_NIST_P384 (secp384r1)

    • ECC_NIST_P521 (secp521r1)

    • ECC_SECG_P256K1 (secp256k1)

  • Persyaratan:

    • Kunci pribadi asimetris ECC yang Anda impor harus menjadi bagian dari key pair yang sesuai dengan RFC 5915.

    • Kurva: NIST P-256, NIST P-384, NIST P-521, atau Secp256K1.

    • Parameter: Kurva bernama saja (kunci ECC dengan parameter eksplisit ditolak).

    • Koordinat titik publik: Dapat dikompresi, tidak dikompresi, atau proyektif.

    • Materi kunci asimetris harus dikodekan BER atau dikodekan DER dalam format Public-Key Cryptography Standards (PKCS) #8 yang sesuai dengan RFC 5208.

• Kunci ML-DSA

  • Spesifikasi utama:

    • ML_DSA_44

    • ML_DSA_65

    • ML_DSA_87

  penting

  Mengimpor kunci ML-DSA tidak didukung.

• SM2 kunci pribadi asimetris (hanya Wilayah Tiongkok)

  • Persyaratan:

    • Kunci pribadi SM2 asimetris yang Anda impor harus menjadi bagian dari key pair yang sesuai dengan 0003. GM/T

    • Kurva: SM2.

    • Parameter: Kurva bernama saja (SM2 kunci dengan parameter eksplisit ditolak).

    • Koordinat titik publik: Dapat dikompresi, tidak dikompresi, atau proyektif.

    • Materi kunci asimetris harus dikodekan BER atau dikodekan DER dalam format Public-Key Cryptography Standards (PKCS) #8 yang sesuai dengan RFC 5208.