As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Importar o material de chave
O AWS KMS fornece um mecanismo para importar o material criptográfico usado para um HBK. Conforme descrito emChamando CreateKey, quando o CreateKey comando é usado com Origin
set toEXTERNAL
, é criada uma chave KMS lógica que não contém nenhum HBK subjacente. O material criptográfico deve ser importado usando a chamada de API do ImportKeyMaterial
. Você pode usar esse recurso para controlar a criação de chaves e a durabilidade do material criptográfico. Se você usar esse recurso, recomendamos que tome bastante cuidado no manuseio e durabilidade dessas chaves em seu ambiente. Para obter detalhes completos e recomendações sobre a importação de material chave, consulte Importar o material de chave no Guia do desenvolvedor AWS Key Management Service.
Chamando ImportKeyMaterial
A solicitação do ImportKeyMaterial
importa o material criptográfico necessário para o HBK. O material criptográfico deve ser uma chave simétrica de 256 bits. Ela deve ser criptografada usando o algoritmo especificado em WrappingAlgorithm
sob a chave pública retornada de uma solicitação recente do GetParametersForImport
.
Uma solicitação ImportKeyMaterial
usa os seguintes argumentos:
{ "EncryptedKeyMaterial": blob, "ExpirationModel": "string", "ImportToken": blob, "KeyId": "string", "ValidTo": number }
- EncryptedKeyMaterial
-
O material de chave importada, criptografado com a chave pública retornada em uma solicitação
GetParametersForImport
usando o algoritmo de encapsulamento especificado nessa solicitação. - ExpirationModel
-
Especifica se o material de chave expira. Quando este valor é
KEY_MATERIAL_EXPIRES
, o parâmetroValidTo
deve conter uma data de validade. Quando este valor éKEY_MATERIAL_DOES_NOT_EXPIRE
, não inclua o parâmetroValidTo
. Os valores válidos são"KEY_MATERIAL_EXPIRES"
e"KEY_MATERIAL_DOES_NOT_EXPIRE"
. - ImportToken
-
O token de importação retornado pela mesma solicitação
GetParametersForImport
que forneceu a chave pública. - KeyId
-
A chave do KMS que será associada ao material de chave importado. O
Origin
da chave KMS deve serEXTERNAL
.É possível excluir e reimportar o mesmo material de chave importado para a chave do KMS especificada, mas não é possível importar ou associar a chave do KMS a nenhum outro material de chave.
- ValidTo
-
(Opcional) O horário em que o material de chave importada perde a validade. Quando o material de chave perde a validade, o AWS KMS exclui o material de chave e a chave KMS se torna inutilizável. Esse parâmetro é necessário quando o valor de
ExpirationModel
éKEY_MATERIAL_EXPIRES
. Caso contrário, ele será inválido.
Quando a solicitação for bem-sucedida, a chave do KMS ficará disponível para uso no AWS KMS até a data de expiração especificada, se fornecida. Depois que o material de chave importado expirar, o EKT é excluído da camada de armazenamento do AWS KMS.