Impostazione di una data di scadenza (facoltativo)Importazione del materiale della chiave (console)Importa materiale chiave (API)AWS KMS

Importazione del materiale delle chiavi Fase 4: importare il materiale delle chiavi

Dopo aver crittografato il materiale della chiave, puoi importarlo per utilizzarlo con una AWS KMS key. Per importare il materiale della chiave, è possibile caricare il materiale della chiave crittografato da Fase 3: crittografare il materiale delle chiavi e il token di importazione scaricato in Fase 2: download della chiave pubblica di wrapping e del token di importazione. È necessario importare il materiale nella stessa chiave KMS che hai specificato quando hai scaricato la chiave pubblica e il token di importazione. Quando il materiale della chiave viene importato correttamente, lo stato chiave della chiave KMS diventa Enabled, per cui puoi utilizzare la chiave KMS in operazioni crittografiche.

Quando importi il materiale della chiave, puoi impostare un'ora di scadenza facoltativa per il materiale della chiave. Quando il materiale della chiave scade, AWS KMS elimina tale materiale e la chiave KMS diventa inutilizzabile. Per utilizzare la chiave KMS nelle operazioni di crittografia, devi importare nuovamente lo stesso materiale della chiave. Dopo aver importato il materiale della chiave, non potrai impostare, modificare o annullare la data di scadenza dell'importazione corrente. Per modificare questi valori, dovrai eliminare e reimportare lo stesso materiale della chiave.

Per importare materiale chiave, puoi utilizzare la AWS KMS console o l'ImportKeyMaterialAPI. Puoi utilizzare l'API direttamente facendo richieste HTTP oppure usando SDK AWS, AWS Command Line Interface o AWS Tools for PowerShell.

Quando si importa il materiale chiave, viene aggiunta una ImportKeyMaterialvoce al AWS CloudTrail registro per registrare l'ImportKeyMaterialoperazione. La CloudTrail voce è la stessa sia che si utilizzi la AWS KMS console che l' AWS KMS API.

Impostazione di una data di scadenza (facoltativo)

Quando importi il materiale della chiave per la chiave KMS, puoi impostare facoltativamente una data e un'ora di scadenza per il materiale della chiave fino a 365 giorni dalla data di importazione. Quando il materiale chiave importato scade, lo AWS KMS elimina. Questa azione modifica lo stato chiave della chiave KMS in PendingImport, impedendone l'utilizzo in qualsiasi operazione di crittografia. Per utilizzare la chiave KMS, devi reimportare una copia del materiale della chiave originale.

Garantire che il materiale della chiave importato scada frequentemente può aiutarti a soddisfare i requisiti normativi, ma comporta un ulteriore rischio per i dati crittografati con la chiave KMS. Fino a quando non reimporti una copia del materiale della chiave originale, la chiave KMS con il materiale della chiave scaduto è inutilizzabile e tutti i dati crittografati con essa sono inaccessibili. Se per qualsiasi motivo non riesci a reimportare il materiale della chiave o se perdi il materiale della chiave originale, la chiave KMS è definitivamente inutilizzabile e i dati crittografati con essa non sono recuperabili.

Per mitigare questo rischio, assicuratevi che la copia del materiale chiave importato sia accessibile e progettate un sistema per eliminare e reimportare il materiale chiave prima che scada e interrompa il carico di lavoro. AWS Ti consigliamo di configurare un allarme per la scadenza del materiale della chiave importato, in modo da avere tutto il tempo necessario per reimportarlo prima che scada. È inoltre possibile utilizzare CloudTrail i registri per controllare le operazioni di importazione (e reimportazione) del materiale chiave e l'eliminazione del materiale chiaveimportato, nonché l'operazione per eliminare il AWS KMS materiale chiave scaduto.

Non è possibile importare materiale chiave diverso nella chiave KMS e AWS KMS non è possibile ripristinare, recuperare o riprodurre il materiale chiave eliminato. Invece di impostare una scadenza, puoi periodicamente eliminare e reimportare a livello di programmazione il materiale della chiave importato, tuttavia i requisiti per conservare una copia del materiale della chiave originale sono gli stessi.

Puoi determinare l'eventuale scadenza del materiale della chiave importato durante la sua importazione. Tuttavia, puoi attivare e disattivare la scadenza o impostare una nuova data di scadenza eliminando e reimportando il materiale della chiave. Utilizzate il ExpirationModel parametro di ImportKeyMaterialper attivare (KEY_MATERIAL_EXPIRES) e disattivare la scadenza (KEY_MATERIAL_DOES_NOT_EXPIRE) e il ValidTo parametro per impostare l'ora di scadenza. Il tempo massimo è di 365 giorni dall'importazione dei dati. Sebbene non sia prevista una data minima, l'ora di scadenza deve essere successiva alla data corrente.

Importazione del materiale della chiave (console)

È possibile utilizzare il AWS Management Console per importare materiale chiave.

Se ti trovi nella pagina Carica il materiale della chiave di wrapping, passa a Passo 8.
Accedi AWS Management Console e apri la console AWS Key Management Service (AWS KMS) all'indirizzo https://console.aws.amazon.com/kms.
Per modificare il Regione AWS, usa il selettore della regione nell'angolo superiore destro della pagina.
Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.
Scegli l'alias o l'ID chiave della chiave KMS per la quale hai scaricato il token di importazione e la chiave pubblica.
Scegli la tab Configurazione crittografica e visualizzane i valori. Le tab si trovano nella pagina dei dettagli di una chiave KMS sotto la sezione Configurazione generale.

Puoi importare il materiale della chiave solo in chiavi KMS con Origine Esterna (Importa materiale chiave). Per ulteriori informazioni sulla creazione di chiavi KMS con materiale della chiave importato, consulta Importazione di materiale chiave per le AWS KMS chiavi.
Scegli la scheda Materiale della chiave, quindi scegli Importa il materiale della chiave. La scheda Materiale della chiave viene visualizzata solo per chiavi KMS il cui valore Origine è Esterna (Importa materiale chiave).

Se hai scaricato il materiale della chiave, il token di importazione e hai crittografato il materiale della chiave, scegli Avanti.
Nella sezione Materiale della chiave crittografato e token di importazione, effettua le operazioni seguenti.
1. In Materiale della chiave di wrapping, scegli Scegli file. Quindi caricare il file contenente il materiale delle chiave (crittografato) sottoposto a wrapping.
2. In Token di importazione, sceglie Scegli file. Caricare il file contenente il token di importazione scaricato.
Nella sezione Choose an expiration option (Scegli un'opzione di scadenza) stabilire se il materiale della chiave scade. Per impostare una data e un'ora di scadenza, scegliere Key material expires (Il materiale chiave scade) e utilizzare il calendario per selezionare una data e un'ora. Puoi specificare una data fino a 365 giorni dalla data e dall'ora corrente.
Scegliere Upload key material (Carica materiale chiave).

Importa materiale chiave (API)AWS KMS

Per importare materiale chiave, utilizzate l'ImportKeyMaterialoperazione. Gli esempi seguenti utilizzano la AWS CLI, ma puoi usare anche qualsiasi linguaggio di programmazione supportato.

Per utilizzare questo esempio:

Sostituisci 1234abcd-12ab-34cd-56ef-1234567890ab con l'ID chiave della chiave KMS specificata per il download della chiave pubblica e del token di importazione. Per identificare la chiave KMS utilizza l'ID chiave o l'ARN di chiave. Per questa operazione, non puoi utilizzare un nome alias o un ARN alias.
Sostituire EncryptedKeyMaterial.bin con il nome del file che contiene il materiale della chiave crittografato.
Sostituire ImportToken.bin con il nome del file che contiene il token di importazione.
Se desideri che il materiale della chiave importato abbia una scadenza, imposta il valore del parametro expiration-model sul valore predefinito, KEY_MATERIAL_EXPIRES, oppure ometti il parametro expiration-model. Quindi, sostituisci il valore del parametro valid-to con la data e l'ora in cui desideri che il materiale della chiave scada. La data e l'ora possono arrivare fino a 365 giorni dal momento della richiesta.
```
$ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_EXPIRES \
    --valid-to 2023-06-17T12:00:00-08:00
```
Se desideri che il materiale della chiave importato abbia una scadenza, imposta il valore del parametro expiration-model su KEY_MATERIAL_DOES_NOT_EXPIRE e ometti il parametro valid-to dal comando.
```
$ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_DOES_NOT_EXPIRE
```

Suggerimento

Se l'esito del comando non è positivo, potresti visualizzare un'KMSInvalidStateException o un'NotFoundException. Puoi ritentare la richiesta.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Fase 3: crittografare il materiale delle chiavi

store delle chiavi personalizzate