Importar o material de chave - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Importar o material de chave

O AWS KMS fornece um mecanismo para importar o material criptográfico usado para um HBK. Conforme descrito emChamando CreateKey, quando o CreateKey comando é usado com Origin set toEXTERNAL, é criada uma chave KMS lógica que não contém nenhum HBK subjacente. O material criptográfico deve ser importado usando a chamada de API do ImportKeyMaterial. Você pode usar esse recurso para controlar a criação de chaves e a durabilidade do material criptográfico. Se você usar esse recurso, recomendamos que tome bastante cuidado no manuseio e durabilidade dessas chaves em seu ambiente. Para obter detalhes completos e recomendações sobre a importação de material chave, consulte Importar o material de chave no Guia do desenvolvedor AWS Key Management Service.

Chamando ImportKeyMaterial

A solicitação do ImportKeyMaterial importa o material criptográfico necessário para o HBK. O material criptográfico deve ser uma chave simétrica de 256 bits. Ela deve ser criptografada usando o algoritmo especificado em WrappingAlgorithm sob a chave pública retornada de uma solicitação recente do GetParametersForImport.

Uma solicitação ImportKeyMaterial usa os seguintes argumentos:

{ "EncryptedKeyMaterial": blob, "ExpirationModel": "string", "ImportToken": blob, "KeyId": "string", "ValidTo": number }
EncryptedKeyMaterial

O material de chave importada, criptografado com a chave pública retornada em uma solicitação GetParametersForImport usando o algoritmo de encapsulamento especificado nessa solicitação.

ExpirationModel

Especifica se o material de chave expira. Quando este valor é KEY_MATERIAL_EXPIRES, o parâmetro ValidTo deve conter uma data de validade. Quando este valor é KEY_MATERIAL_DOES_NOT_EXPIRE, não inclua o parâmetro ValidTo. Os valores válidos são "KEY_MATERIAL_EXPIRES" e "KEY_MATERIAL_DOES_NOT_EXPIRE".

ImportToken

O token de importação retornado pela mesma solicitação GetParametersForImport que forneceu a chave pública.

KeyId

A chave do KMS que será associada ao material de chave importado. O Origin da chave KMS deve ser EXTERNAL.

É possível excluir e reimportar o mesmo material de chave importado para a chave do KMS especificada, mas não é possível importar ou associar a chave do KMS a nenhum outro material de chave.

ValidTo

(Opcional) O horário em que o material de chave importada perde a validade. Quando o material de chave perde a validade, o AWS KMS exclui o material de chave e a chave KMS se torna inutilizável. Esse parâmetro é necessário quando o valor de ExpirationModel é KEY_MATERIAL_EXPIRES. Caso contrário, ele será inválido.

Quando a solicitação for bem-sucedida, a chave do KMS ficará disponível para uso no AWS KMS até a data de expiração especificada, se fornecida. Depois que o material de chave importado expirar, o EKT é excluído da camada de armazenamento do AWS KMS.