Gestione del materiale della chiave importato - AWS Key Management Service
Panoramica dell'importazione del materiale della chiave Reimportazione del materiale della chiaveIdentificazione delle chiavi KMS con il materiale della chiave importatoCreazione di un allarme di scadenzaEliminazione del materiale della chiave importatoEliminazione di una chiave KMS con il materiale della chiave importato

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione del materiale della chiave importato

Questi argomenti spiegano come importare e reimportare il materiale della chiave in una chiave KMS e come creare materiale della chiave importato che scade automaticamente.

Panoramica dell'importazione del materiale della chiave

La seguente panoramica illustra come importare il materiale della chiave in AWS KMS. Per ulteriori dettagli su ogni fase del processo, consulta l'argomento corrispondente.

  1. Crea una chiave KMS senza materiale della chiave: l'origine deve essere EXTERNAL. Un'origine chiave di EXTERNAL indica che la chiave è progettata per materiale chiave importato e impedisce la generazione di materiale chiave per la chiave KMS. AWS KMS In una fase successiva importerai il tuo materiale della chiave in questa chiave KMS.

    Il materiale chiave che importate deve essere compatibile con le specifiche chiave della chiave associata. AWS KMS Per ulteriori informazioni sulla compatibilità, consulta Requisiti per il materiale della chiave importato.

  2. Scarica la chiave pubblica di wrapping e il token di importazione: dopo aver completato la fase 1, scarica una chiave pubblica di wrapping e un token di importazione. Questi articoli proteggono il materiale chiave durante l'importazione. AWS KMS

    In questa fase, scegli il tipo ("specifica chiave") della chiave di wrapping RSA e l'algoritmo di wrapping che utilizzerai per la crittografia dei dati in transito in AWS KMS. Puoi scegliere una specifica della chiave di wrapping e un algoritmo della chiave di wrapping diversi ogni volta che importi o reimporti lo stesso materiale della chiave.

  3. Decripta il materiale della chiave: usa la chiave pubblica di wrapping che hai scaricato nella fase 2 per crittografare il materiale della chiave che hai creato sul tuo sistema.

  4. Importa il materiale chiave – Carica il materiale della chiave crittografato che hai creato nella fase 3 e il token di importazione che hai scaricato nella fase 2.

    In questa fase, puoi impostare una scadenza facoltativa. Quando il materiale chiave importato scade, lo AWS KMS elimina e la chiave KMS diventa inutilizzabile. Per continuare a utilizzare la chiave KMS, devi importare nuovamente lo stesso materiale della chiave.

    Quando l'operazione di importazione viene completata correttamente, lo stato della chiave della chiave KMS cambia da PendingImport a Enabled. ora, puoi utilizzare la chiave KMS nelle operazioni di crittografia.

AWS KMS registra una voce nel AWS CloudTrail registro quando si crea la chiave KMS, si scarica la chiavepubblica di wrapping e si importa il token e si importa il materiale chiave. AWS KMS registra anche una voce quando si elimina materiale chiave importato o quando si AWS KMS elimina materiale chiave scaduto.

Reimportazione del materiale della chiave

Se gestisci una chiave KMS con materiale chiave importato, potresti dover reimportare il materiale della chiave. Puoi reimportare il materiale della chiave per sostituire il materiale della chiave in scadenza o eliminato oppure per modificare il modello di scadenza o la data di scadenza del materiale.

Quando importi materiale della chiave in una chiave KMS, la chiave KMS viene associata in modo permanente a quel materiale della chiave. Puoi importare nuovamente lo stesso materiale della chiave, ma non puoi importare materiale della chiave diverso in quella chiave KMS. Non puoi ruotare il materiale della chiave e AWS KMS non può creare il materiale della chiave per una chiave KMS con materiale della chiave importato.

Puoi reimportare il materiale della chiave in qualsiasi momento e secondo qualsiasi pianificazione che soddisfi i requisiti di sicurezza. Non è necessario attendere che il materiale della chiave sia scaduto o prossimo alla scadenza.

Per reimportare il materiale della chiave, attieniti alla stessa procedura utilizzata per importare il materiale della chiave la prima volta, con le seguenti eccezioni.

  • Utilizzare una chiave KMS del servizio di gestione delle chiavi esistenti anziché creare una nuova chiave KMS del servizio di gestione delle chiavi. Puoi saltare la fase 1 della procedura di importazione.

  • Quando si reimporta il materiale della chiave, è possibile modificare il modello di scadenza e la data di scadenza.

Ogni volta che importi materiale della chiave in una chiave KMS, devi scaricare e utilizzare una nuova chiave di wrapping e un nuovo token di importazione per la chiave KMS. La procedura di wrapping non influisce sul contenuto del materiale della chiave, per cui puoi utilizzare chiavi pubbliche di wrapping diverse e algoritmi di wrapping diversi per importare lo stesso materiale della chiave.

Identificazione delle chiavi KMS con il materiale della chiave importato

Quando crei una chiave KMS senza materiale della chiave, il valore della proprietà Origin della chiave KMS è EXTERNAL e non può essere modificato. A differenza dello stato della chiave, il valore Origin non dipende dalla presenza o dall'assenza di materiale chiave.

Puoi utilizzare il valore di origine EXTERNAL per identificare le chiavi KMS progettate per il materiale chiave importato. È possibile trovare l'origine della chiave nella AWS KMS console o utilizzando l'DescribeKeyoperazione. È inoltre possibile visualizzare le proprietà del materiale della chiave, ad esempio se e quando scade utilizzando la console o le API.

Per identificare le chiavi KMS del Servizio di gestione delle chiavi con il materiale chiave importato (console)

  1. Apri la AWS KMS console all'indirizzo https://console.aws.amazon.com/kms.

  2. Per modificare la Regione AWS, usa il selettore della regione nell'angolo superiore destro della pagina.

  3. Utilizza una delle seguenti tecniche per visualizzare la proprietà Origin delle chiavi KMS.

    • Per aggiungere una colonna Origin (Origine) alla tabella delle chiavi KMS, nell'angolo in alto a destra, scegliere l'icona delle impostazioni. Scegliere Origin (Origine) e quindi Confirm (Conferma). La colonna Origine semplifica l'identificazione delle chiavi KMS il cui valore della proprietà dell'origine è Esterna (Importa il materiale della chiave).

    • Per trovare il valore della proprietà Origin di una determinata chiave KMS, scegli l'alias o l'ID chiave della chiave KMS. Quindi seleziona la scheda Cryptographic configuration (Configurazione crittografica). Le schede sono sotto la sezione Configurazione generale.

  4. Per visualizzare le informazioni dettagliate sul materiale chiave, scegli la scheda Materiale della chiave. Questa scheda viene visualizzata nella pagina prodotto solo per le chiavi KMS del Servizio di gestione delle chiavi con materiale importato.

Per identificare le chiavi KMS con materiale chiave importato (API)AWS KMS

Usa l'DescribeKeyoperazione. La risposta include l'Origin della chiave KMS, del modello di scadenza e della data di scadenza, come illustrato nell'esempio seguente.

$  aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyMetadata": {
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Origin": "EXTERNAL",
        "ExpirationModel": "KEY_MATERIAL_EXPIRES"
        "ValidTo": 2023-06-05T12:00:00+00:00,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "CreationDate": 2018-06-09T00:06:50.831000+00:00,
        "Enabled": false,
        "MultiRegion": false,
        "Description": "",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "PendingImport",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

Creazione di un CloudWatch avviso di scadenza del materiale chiave importato

Puoi creare un CloudWatch avviso che ti avvisi quando il materiale chiave importato in una chiave KMS si avvicina alla scadenza. Ad esempio, l'allarme può avvisarti quando mancano meno di 30 giorni alla scadenza.

Quando importi il materiale della chiave in una chiave KMS, puoi specificare una data e un'ora in cui tale materiale scade. Quando il materiale chiave scade, AWS KMS elimina il materiale chiave e la chiave KMS diventa inutilizzabile. Per utilizzare di nuovo la chiave KMS, devi importare nuovamente lo stesso materiale della chiave. Tuttavia, se reimporti il materiale chiave prima della scadenza, è possibile evitare di interrompere i processi che utilizzano quella chiave KMS.

Questo allarme utilizza la SecondsUntilKeyMaterialExpiresmetrica AWS KMS pubblicata su CloudWatch per le chiavi KMS con materiale chiave importato che scade. Ogni allarme utilizza questo parametro per monitorare il materiale chiave importato per una determinata chiave KMS. Non puoi creare un singolo allarme per tutte le chiavi KMS con materiale chiave in scadenza o un allarme per le chiavi KMS che potresti creare in futuro.

Requisiti

Le seguenti risorse sono necessarie per un CloudWatch allarme che monitora la scadenza del materiale chiave importato.

Creazione dell'allarme

Segui le istruzioni riportate in Creare un CloudWatch allarme basato su una soglia statica utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.

Campo Valore
Seleziona parametro

Scegli KMS, quindi scegli Per-Key Metrics (Parametri per chiave).

Scegli la riga con la chiave KMS e il parametro SecondsUntilKeyMaterialExpires. Quindi, scegli Seleziona parametro.

L'elenco Metrics (Parametri) visualizza il parametro SecondsUntilKeyMaterialExpires solo per le chiavi KMS con materiale della chiave importato. Se non disponi di chiavi KMS con queste proprietà nell'account e nella regione, questo elenco è vuoto.
Statistic Minimo
Periodo 1 minuto
Tipo di soglia Statico
Quando... Ogni volta che nome della metrica è maggiore di 1

Eliminazione del materiale della chiave importato

È possibile eliminare il materiale chiave importato da una chiave KMS in qualsiasi momento. Inoltre, quando il materiale chiave importato con una data di scadenza scade, AWS KMS elimina il materiale chiave. In entrambi i casi, quando il materiale della chiave viene eliminato, lo stato chiave della chiave KMS diventa Importazione in attesa e la chiave KMS non può essere utilizzata in operazioni crittografiche fino a quando non importi nuovamente lo stesso materiale della chiave. (Non puoi importare altro materiale della chiave nella chiave KMS.)

Oltre alla disabilitazione della chiave KMS e alla revoca delle autorizzazioni, l'eliminazione del materiale della chiave può essere utilizzata come strategia per interrompere rapidamente, ma temporaneamente, l'uso della chiave KMS. Al contrario, la pianificazione dell'eliminazione di una chiave KMS con il materiale della chiave importato interrompe rapidamente anche l'uso della chiave KMS. Tuttavia, se l'eliminazione non viene annullata durante il periodo di attesa, la chiave KMS, il materiale della chiave e tutti i metadati della chiave vengono eliminati definitivamente. Per informazioni dettagliate, vedi Eliminazione di una chiave KMS con il materiale della chiave importato.

Per eliminare il materiale chiave, puoi utilizzare la AWS KMS console o il funzionamento dell'DeleteImportedKeyMaterialAPI. AWS KMS registra una voce nel AWS CloudTrail registro quando si elimina materiale chiave importato e quando si AWS KMS elimina materiale chiave scaduto.

In che modo l'eliminazione di materiale chiave influisce sui servizi AWS

Quando elimini il materiale della chiave, la chiave KMS diventa immediatamente inutilizzabile (in base alla coerenza finale). Tuttavia, le risorse crittografate con chiavi di dati protette dalla chiave KMS non sono interessate fino a quando la chiave KMS non viene nuovamente utilizzata, ad esempio per decrittografare la chiave dati. Questo problema riguarda AWS servizi, molti dei quali utilizzano chiavi di dati per proteggere le risorse. Per informazioni dettagliate, vedi In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati.

Eliminare il materiale della chiave (console)

È possibile utilizzare il AWS Management Console per eliminare il materiale chiave.

  1. Accedi AWS Management Console e apri la console AWS Key Management Service (AWS KMS) all'indirizzo https://console.aws.amazon.com/kms.

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

  4. Esegui una di queste operazioni:

    • Seleziona la casella di controllo di una chiave KMS con materiale chiave importato. Scegliere Key actions (Operazioni della chiave), Delete key material (Elimina materiale della chiave).

    • Scegli l'alias o l'ID chiave di una chiave KMS con materiale chiave importato. Scegli la tab Materiale chiave e quindi scegli Elimina materiale chiave.

  5. Confermare che si intende eliminare il materiale della chiave, quindi selezionare Delete key material (Elimina materiale chiave). Lo stato della chiave KMS, che corrisponde al relativo stato di chiave, diventa In attesa di importazione.

Elimina il materiale chiave (API)AWS KMS

Per utilizzare l'AWS KMS API per eliminare il materiale chiave, invia una DeleteImportedKeyMaterialrichiesta. L'esempio seguente mostra come eseguire questa operazione con l'AWS CLI.

Sostituisci 1234abcd-12ab-34cd-56ef-1234567890ab con l'ID chiave della chiave KMS il cui materiale desideri eliminare. Puoi utilizzare l'ID chiave o l'ARN della chiave KMS, mentre non puoi utilizzare un alias per questa operazione.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

Eliminazione di una chiave KMS con il materiale della chiave importato

L'eliminazione del materiale della chiave di una chiave KMS con il materiale della chiave importato è temporanea e reversibile. Per ripristinare la chiave, reimporta il materiale della chiave.

Al contrario, l'eliminazione di una chiave KMS è irreversibile. Se pianifichi l'eliminazione delle chiavi e il periodo di attesa richiesto scade, elimina AWS KMS in modo permanente e irreversibile la chiave KMS, il relativo materiale chiave e tutti i metadati associati alla chiave KMS.

Tuttavia, il rischio e le conseguenze dell'eliminazione di una chiave KMS con materiale della chiave importato dipendono dal tipo ("specifica chiave") di chiave KMS.

  • Chiavi di crittografia simmetrica: se elimini una chiave KMS di crittografia simmetrica, tutto il testo criptato rimanente crittografati da tale chiave sarà irrecuperabile. Non puoi creare una nuova chiave KMS di crittografia simmetrica in grado di decrittografare i testi criptati di una chiave KMS di crittografia simmetrica eliminata, neppure se disponi dello stesso materiale della chiave. I metadati univoci di ogni chiave KMS sono associati crittograficamente a ogni testo criptato simmetrico. Questa funzionalità di sicurezza garantisce che solo la chiave KMS che ha crittografato il testo criptato simmetrico possa decrittografarlo, ma impedisce di ricreare una chiave KMS equivalente.

  • Chiavi asimmetriche e HMAC: se disponi del materiale chiave originale, puoi creare una nuova chiave KMS con le stesse proprietà crittografiche di una chiave KMS asimmetrica o HMAC che è stata eliminata. AWS KMS genera firme e testi cifrati RSA standard, firme ECC e tag HMAC, che non includono funzionalità di sicurezza esclusive. Inoltre, puoi utilizzare una chiave HMAC o la chiave privata di una coppia di chiavi asimmetrica esternamente a AWS.

    Una nuova chiave KMS creata con lo stesso materiale della chiave asimmetrica o HMAC avrà un identificatore della chiave diverso. Dovrai creare una nuova policy della chiave, creare nuovamente eventuali alias e aggiornare le concessioni e le policy IAM esistenti in modo che facciano riferimento alla nuova chiave.