Etapa 1 da importação de material de chave: criar uma AWS KMS key sem material de chave - AWS Key Management Service

Etapa 1 da importação de material de chave: criar uma AWS KMS key sem material de chave

Por padrão, o AWS KMS cria o material de chave para você quando você cria uma AWS KMS key. Se preferir importar seu próprio material de chave, comece criando uma chave do KMS sem material de chave. Em seguida, importe o material de chave. Você pode usar o AWS Management Console ou a operação CreateKey para criar uma chave do KMS sem material de chave.

Para criar uma chave sem material de chave, especifique uma especificação de chave de SYMMETRIC_DEFAULT (o valor padrão) e uma origem de EXTERNAL. A especificação de chave e a origem de uma chave do KMS são valores imutáveis. Depois de criar, você não poderá converter uma chave do KMS projetada para material de chave importado em uma chave do KMS com material de chave do AWS KMS ou de qualquer outra fonte.

O key state (estado de chave) de uma chave do KMS com uma origem EXTERNAL e sem material chave é PendingImport. Uma chave do KMS pode permanecer no estado PendingImport indefinidamente. No entanto, não é possível usar uma chave do KMS no estado PendingImport em operações de criptografia. Ao importar o material de chaves, o estado de chave da chave do KMS muda para enabled (habilitado) e você pode usá-la em operações de criptografia.

O AWS KMS registra uma entrada no log do AWS CloudTrail quando você cria a chave do KMS, baixa a chave pública e importa o token e importa o material de chave. O AWS KMS também registra uma entrada quando você exclui o material de chave importado ou quando o AWS KMS exclui o material de chave expirado.

Para obter informações sobre como criar chaves de várias regiões com o material de chave importado, consulte Importar material de chave para chaves de várias regiões.

Criar uma chave do KMS sem material de chave (console)

É possível usar o AWS Management Console para criar uma chave do KMS de criptografia simétrica sem material de chave. Antes de fazer isso, você pode configurar o console para mostrar a coluna Origin (Origem) na lista de chaves do KMS. As chaves importadas têm um valor Origin (Origem) External (Externo).

Você precisa criar uma chave do KMS para o material de chave importado somente uma vez. Para reimportar o mesmo material de chaves para uma chave do KMS existente, consulte Etapa 2: Fazer download da chave pública e do token de importação.

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).

  4. Escolha Create key (Criar chave).

  5. Selecione Symmetric (Simétrica).

    Não é possível importar material de chave para uma chave do KMS assimétrica.

  6. Em Key usage (Uso da chave), a opção Encrypt and decrypt (Criptografar e descriptografar) é selecionada para você. Não altere essa opção.

    Não é possível importar material de chave para uma chave do KMS de HMAC.

  7. Expanda Advanced options (Opções avançadas).

  8. Para Key material origin (Origem do material de chaves), escolha External (Externo).

    Você não pode importar material de chave para uma chave do KMS em um armazenamento personalizado de chaves.

    Marque a caixa de seleção ao lado de I understand the security, availability, and durability implications of using an imported key (Entendo as implicações de segurança, disponibilidade e durabilidade do uso de uma chave importada) para indicar que você compreende as implicações do uso de material de chaves importadas. Para ler sobre essas implicações, consulte Sobre o material de chave importada.

  9. Por padrão, esse procedimento cria uma chave do KMS na região selecionada.

    Para criar uma chave primária de várias regiões sem material de chave, na seção Regionality (Regionalidade), escolha Multi-Region key (Chave de várias regiões). Para obter mais detalhes, consulte Importar material de chave para chaves de várias regiões.

  10. Escolha Next (Próximo).

  11. Digite um alias e (opcionalmente) uma descrição para a chave do KMS.

    Escolha Next (Próximo).

  12. (Opcional). Na página Add Tags (Adicionar etiquetas), adicione etiquetas que identificam ou categorizam a chave do KMS.

    Escolha Next (Próximo).

  13. Na seção Key Administrators (Administradores de chaves), selecione os usuários e as funções do IAM que podem gerenciar a chave do KMS. Para mais informações, consulte Permite que administradores de chaves administrem a chave do KMS.

    nota

    As políticas do IAM podem conceder permissão para gerenciar a chave do KMS a outros usuários e funções do IAM.

  14. (Opcional) Para evitar que os usuários e funções do IAM selecionados excluam essa chave do KMS, na seção Key deletion (Exclusão de chaves) na parte inferior da página, desmarque a caixa de seleção Allow key administrators to delete this key (Permitir que os administradores de chaves excluam essa chave).

    Escolha Next (Próximo).

  15. Na seção This account (Esta conta), selecione os usuários e as funções do IAM nessa Conta da AWS que podem usar a chave do KMS em operações de criptografia. Para mais informações, consulte Permite que os usuários de chaves usem a chave do KMS.

    nota

    As políticas do IAM podem conceder permissão para usar a chave do KMS a outros usuários e funções do IAM.

  16. (Opcional) Você pode permitir que outras Contas da AWS usem essa chave do KMS para operações de criptografia. Para fazer isso, na seção Other Contas da AWS (Outras Conta da AWS) na parte inferior da página, escolha Add another Conta da AWS (Adicionar outra ) e insira o ID da de uma conta externa. Para adicionar várias contas externas, repita essa etapa.

    nota

    Para permitir que as entidades principais de contas externas usem a chave do KMS, os administradores da conta externa devem criar políticas do IAM que forneçam essas permissões. Para mais informações, consulte Permitir que usuários de outras contas usem uma chave do KMS.

    Escolha Next (Próximo).

  17. Revise as configurações que você escolheu. Ainda é possível voltar e alterar todas as configurações.

  18. Quando terminar, escolha Finish (Terminar) para criar a chave.

    Se a operação for bem-sucedida, você terá criado uma chave do KMS sem material de chave. Seu status está como Pending Acceptance (Aceitação pendente). Para continuar o processo agora, consulte Para baixar a chave pública e o token de importação (console). Para continuar o processo posteriormente, selecione Cancel (Cancelar).

Próximo: Etapa 2: Fazer download da chave pública e do token de importação.

Criar uma chave do KMS sem material de chave (API do AWS KMS)

Para usar a API do AWS KMS a fim de criar uma chave do KMS de criptografia simétrica sem material de chave, envie uma solicitação CreateKey com o parâmetro Origin definido como EXTERNAL. O exemplo a seguir mostra como fazer isso com a AWS Command Line Interface (AWS CLI).

$ aws kms create-key --origin EXTERNAL

Quando o comando é bem-sucedido, a saída é semelhante à seguinte. A chave do AWS KMS Origin é EXTERNAL e seu KeyState é PendingImport.

{ "KeyMetadata": { "Origin": "EXTERNAL", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "Enabled": false, "MultiRegion": false, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingImport", "CreationDate": 1568289600.0, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

Copie o valor KeyId da saída do seu comando para usar em etapas posteriores e prossiga para Etapa 2: Fazer download da chave pública e do token de importação.