As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Etapa 1 da importação de material de chave: criar uma AWS KMS key sem material de chave
Por padrão, o AWS KMS cria o material de chave para você quando você cria uma chave do KMS. Se preferir importar seu próprio material de chave, comece criando uma chave do KMS sem material de chave. Em seguida, importe o material de chave. Para criar uma chave KMS sem material de chave, use o AWS KMS console ou a CreateKeyoperação.
Para criar uma chave sem material de chave, especifique uma origem como EXTERNAL. A propriedade de origem de uma chave do KMS é imutável. Depois de criar, você não poderá converter uma chave do KMS projetada para material de chave importado em uma chave do KMS com material de chave do AWS KMS ou de qualquer outra fonte.
O key state (estado de chave) de uma chave do KMS com uma origem EXTERNAL e sem material chave é PendingImport. Uma chave do KMS pode permanecer no estado PendingImport indefinidamente. No entanto, não é possível usar uma chave do KMS no estado PendingImport em operações criptográficas. Quando o material da chaves é importado, o estado da chave do KMS muda para Enabled, e você pode usar a chave do KMS em operações de criptografia.
AWS KMSregistra um evento em seu AWS CloudTrail registro quando você cria a chave KMS, baixa a chave pública e o token de importação e importa o material da chave. AWS KMStambém registra um CloudTrail evento quando você exclui material de chave importado ou quando AWS KMS exclui material de chave expirado.
Para obter informações sobre como criar chaves de várias regiões com o material de chave importado, consulte Importar material de chave para chaves de várias regiões.
Tópicos
Criar uma chave do KMS sem material de chave (console)
Você somente precisa criar uma chave do KMS para o material de chave importado uma vez. É possível importar reimportar o mesmo material de chaves para as chave s do KMS quantas vezes desejar, mas não é possível importar outro material de chaves para uma chave do KMS. Para obter detalhes, consulte Etapa 2: Fazer download da chave pública de empacotamento e do token de importação.
Para encontrar chaves do KMS existentes com material de chave importado em sua tabela Customer managed keys (Chaves gerenciadas pelo cliente), use o ícone de engrenagem no canto superior direito para mostrar a coluna Origin (Origem) na lista de chaves do KMS. As chaves importadas têm um valor Origin (Origem) External (Externo) (Importar material de chave).
Para criar uma chave do KMS com material de chave importado, comece seguindo as instruções básicas para criar uma chave do KMS do seu tipo de chave preferido, com a exceção a seguir.
Depois de escolher o uso de chave, faça o seguinte:
-
Expanda Advanced options (Opções avançadas).
-
Em Key material origin (Origem do material de chave), escolha External (Import key material) (Externo [material de chave importado]).
-
Marque a caixa de seleção ao lado de I understand the security, availability, and durability implications of using an imported key (Entendo as implicações de segurança, disponibilidade e durabilidade do uso de uma chave importada) para indicar que você compreende as implicações do uso de material de chaves importadas. Para ler sobre essas implicações, consulte Proteger o material de chave importada.
-
Retorne às instruções básicas. As etapas restantes do procedimento básico são as mesmas para todas as chaves do KMS desse tipo.
Ao escolher Concluir, você criou uma chave do KMS sem material de chave e um status (estado da chave) de importação pendente.
No entanto, em vez de retornar à tabela de chaves gerenciadas pelo cliente, o console exibirá uma página na qual é possível baixar a chave pública e o token de importação necessários para importar o material da chave. É possível continuar com a etapa de download agora ou escolher Cancelar para parar nesse momento. É possível retornar a essa etapa de download a qualquer momento.
Próximo: Etapa 2: Fazer download da chave pública de empacotamento e do token de importação.
Criar uma chave do KMS sem material de chave (API do AWS KMS)
Para usar a AWS KMSAPI para criar uma chave KMS de criptografia simétrica sem material de chave, envie uma CreateKeysolicitação com o Origin parâmetro definido como. EXTERNAL O exemplo a seguir mostra como fazer isso com a AWS Command Line Interface (AWS CLI)
$aws kms create-key --origin EXTERNAL
Quando o comando é bem-sucedido, a saída é semelhante à seguinte. A chave do AWS KMS Origin é EXTERNAL e seu KeyState é PendingImport.
dica
Se o comando não for bem-sucedido, você poderá ver uma KMSInvalidStateException ou NotFoundException. Você poderá repetir a solicitação.
{ "KeyMetadata": { "Origin": "EXTERNAL", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "Enabled": false, "MultiRegion": false, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingImport", "CreationDate": 1568289600.0, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }
Copie o valor KeyId da saída do seu comando para usar em etapas posteriores e prossiga para Etapa 2: Fazer download da chave pública de empacotamento e do token de importação.
nota
Esse comando cria uma chave do KMS de criptografia simétrica com uma KeySpec de SYMMETRIC_DEFAULT e KeyUsage de ENCRYPT_DECRYPT. É possível usar os parâmetros opcionais --key-spec e --key-usage para criar uma chave assimétrica ou HMAC KMS. Para obter mais informações, consulte a operação CreateKey.
