Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crea una chiave KMS con materiale chiave importato
Il materiale chiave importato consente di proteggere le AWS risorse con le chiavi crittografiche generate dall'utente. La seguente panoramica illustra come importare il materiale della chiave in AWS KMS. Per ulteriori dettagli su ogni fase del processo, consultate gli argomenti corrispondenti.
-
Crea una chiave KMS senza materiale della chiave: l'origine deve essere
EXTERNAL. Un'origine chiave diEXTERNALindica che la chiave è progettata per il materiale chiave importato e AWS KMS impedisce la generazione di materiale chiave per la chiave KMS. In una fase successiva importerai il tuo materiale della chiave in questa chiave KMS.Il materiale chiave che importate deve essere compatibile con le specifiche chiave della chiave associata AWS KMS . Per ulteriori informazioni sulla compatibilità, vedereRequisiti per il materiale della chiave importato.
-
Scarica la chiave pubblica di wrapping e il token di importazione: dopo aver completato la fase 1, scarica una chiave pubblica di wrapping e un token di importazione. Questi articoli proteggono il materiale chiave durante l'importazione AWS KMS.
In questa fase, scegli il tipo ("specifica chiave") della chiave di wrapping RSA e l'algoritmo di wrapping che utilizzerai per la crittografia dei dati in transito in AWS KMS. Puoi scegliere una specifica della chiave di wrapping e un algoritmo della chiave di wrapping diversi ogni volta che importi o reimporti lo stesso materiale della chiave.
-
Decripta il materiale della chiave: usa la chiave pubblica di wrapping che hai scaricato nella fase 2 per crittografare il materiale della chiave che hai creato sul tuo sistema.
-
Importa il materiale chiave – Carica il materiale della chiave crittografato che hai creato nella fase 3 e il token di importazione che hai scaricato nella fase 2.
In questa fase, puoi impostare una scadenza facoltativa. Quando il materiale chiave importato scade, lo AWS KMS elimina e la chiave KMS diventa inutilizzabile. Per continuare a utilizzare la chiave KMS, devi importare nuovamente lo stesso materiale della chiave.
Quando l'operazione di importazione viene completata correttamente, lo stato della chiave della chiave KMS cambia da
PendingImportaEnabled. ora, puoi utilizzare la chiave KMS nelle operazioni di crittografia.
AWS KMS registra una voce nel AWS CloudTrail registro quando si crea la chiave KMS, si scarica la chiavepubblica di wrapping e si importa il token e si importa il materiale chiave. AWS KMS registra anche una voce quando si elimina materiale chiave importato o quando si AWS KMS elimina materiale chiave scaduto.
Autorizzazioni per l'importazione del materiale della chiave
Per creare e gestire le chiave KMS con materiale della chiave importato, l'utente deve avere l'autorizzazione per le operazioni di questo processo. Puoi fornire le autorizzazioni kms:GetParametersForImport, kms:ImportKeyMaterial, e kms:DeleteImportedKeyMaterial nella policy delle chiavi quando crei la chiave KMS. Nella AWS KMS console, queste autorizzazioni vengono aggiunte automaticamente per gli amministratori chiave quando si crea una chiave con un'origine materiale esterna.
Per creare chiavi KMS con materiale della chiave importato, il principale richiede le seguenti autorizzazioni.
-
-
Per limitare questa autorizzazione alle chiavi KMS con materiale chiave importato, utilizza la condizione kms: KeyOrigin policy con un valore di.
EXTERNAL{ "Sid": "CreateKMSKeysWithoutKeyMaterial", "Effect": "Allow", "Resource": "*", "Action": "kms:CreateKey", "Condition": { "StringEquals": { "kms:KeyOrigin": "EXTERNAL" } } }
-
-
kms: GetParametersForImport (Politica chiave o politica IAM)
-
kms: ImportKeyMaterial (Politica chiave o politica IAM)
-
Per consentire o vietare la scadenza del materiale chiave e controllare la data di scadenza, utilizza le condizioni delle politiche kms: ExpirationModel e kms:. ValidTo
-
Per reimportare il materiale chiave importato, il principale necessita delle autorizzazioni kms: e kms:. GetParametersForImport ImportKeyMaterial
Ad esempio, per dare a KMSAdminRole di esempio l'autorizzazione per gestire tutti gli aspetti di una chiave KMS con materiale chiave importato, includi una dichiarazione di policy delle chiavi come la seguente nella policy della chiave KMS.
{ "Sid": "Manage KMS keys with imported key material", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole" }, "Action": [ "kms:GetParametersForImport", "kms:ImportKeyMaterial", "kms:DeleteImportedKeyMaterial" ] }
Requisiti per il materiale della chiave importato
Il materiale della chiave importato deve essere compatibile con le specifiche chiave della chiave KMS associata. Per le coppie di chiavi asimmetriche, importa solo la chiave privata della coppia. AWS KMS ricava la chiave pubblica dalla chiave privata.
AWS KMS supporta le seguenti specifiche chiave per le chiavi KMS con materiale chiave importato.
-
Chiavi di crittografia simmetrica
-
Specifiche chiave:
-
SYMMETRIC_DEFAULT.
-
-
Requisiti:
-
256 bit (32 byte) di dati binari.
-
Nelle regioni cinesi, devono essere dati binari a 128 bit (16 byte).
-
-
-
Chiavi HMAC
-
Specifiche chiave:
-
HMAC_224
-
HMAC_256
-
HMAC_384
-
HMAC_512
-
-
Requisiti:
-
Il materiale della chiave HMAC deve essere conforme alla RFC 2104
. -
La lunghezza della chiave deve essere almeno la stessa lunghezza specificata dalle specifiche della chiave. La lunghezza massima della chiave è di 1024 bit.
-
Se il materiale della chiave supera i 1024 bit, è possibile eseguire l'hash del materiale chiave e importare l'output dell'hash. L'algoritmo di hashing deve corrispondere alle specifiche chiave della chiave HMAC KMS che stai creando.
-
-
Esempio:
-
Per importare 2048 bit di materiale chiave in una chiave HMAC_256, calcola prima l'hash SHA-256 del materiale chiave a 2048 bit, quindi importa l'output hash a 256 bit risultante nella chiave KMS.
-
-
Lunghezze di chiave valide:
-
HMAC_224:224—1024 bit
-
HMAC_256:256-1024 bit
-
HMAC_384:384—1024 bit
-
HMAC_512:512—1024 bit
-
-
-
Chiave privata asimmetrica RSA
-
Specifiche chiave:
-
RSA_2048
-
RSA_3072
-
RSA_4096
-
-
Requisiti:
-
La chiave privata asimmetrica RSA importata deve far parte di una coppia di chiavi conforme alla RFC 3447.
-
Modulo: 2048 bit, 3072 bit o 4096 bit
-
Numero di numeri primi: 2 (le chiavi RSA con più numeri primi non sono supportate)
-
-
-
Chiave privata asimmetrica a curva ellittica
-
Specifiche chiave:
-
ECC_NIST_P256 (secp256r1)
-
ECC_NIST_P384 (secp384r1)
-
ECC_NIST_P521 (secp521r1)
-
ECC_SECG_P256K1 (secp256k1)
-
-
Requisiti:
-
La chiave privata asimmetrica RSA importata deve far parte di una coppia di chiavi conforme alla RFC 5915
. -
Curva: NIST P-256, NIST P-384, NIST P-521 o SecP256k1.
-
Parametri: solo curve denominate (le chiavi ECC con parametri espliciti vengono rifiutate).
-
Coordinate pubbliche dei punti: possono essere compresse, non compresse o proiettive.
-
-
-
Chiave ML-DSA
-
Specifiche chiave:
-
ML_DSA_44
-
ML_DSA_65
-
ML_DSA_87
-
Importante
L'importazione di chiavi ML-DSA non è supportata.
-
-
SM2 chiave privata asimmetrica (solo regioni della Cina)
-
Requisiti:
-
La chiave privata SM2 asimmetrica importata deve far parte di una coppia di chiavi conforme a 0003. GM/T
-
SM2Curva:.
-
Parametri: solo curva con nome (SM2 le chiavi con parametri espliciti vengono rifiutate).
-
Coordinate pubbliche dei punti: possono essere compresse, non compresse o proiettive.
-
-
