Etapa 1 da importação de material de chave: criar uma AWS KMS key sem material de chave - AWS Key Management Service

Etapa 1 da importação de material de chave: criar uma AWS KMS key sem material de chave

Por padrão, o AWS KMS cria o material de chave para você quando você cria uma AWS KMS key. Para importar seu próprio material de chaves em vez disso, comece criando uma chave do KMS sem material de chave. Você distingue entre esses dois tipos de chave do KMS pela origem da chave do KMS. Quando o AWS KMS cria o material de chaves para você, a origem da chave do KMS é AWS_KMS. Quando você cria uma chave do KMS sem material de chave, a origem da chave do KMS é EXTERNAL, o que indica que o material de chave foi gerado fora do AWS KMS.

Uma chave do KMS sem material de chaves está no estado importação pendente e não está disponível para uso. Para usá-la, você deve importar o material de chaves conforme explicado posteriormente. Quando você importa o material de chaves, o estado de chave da chave do KMS muda para habilitado. Para obter mais informações sobre esse o estado de chave, consulte Estado da chave: Efeito na sua chave do KMS.

Você pode usar o AWS Management Console ou a API doAWS KMS para criar uma chave do KMS sem material de chaves. Você pode usar a API diretamente fazendo solicitações HTTP ou usando um AWS SDK, a AWS Command Line Interface ou o AWS Tools for PowerShell.

O AWS KMS registra uma entrada no log do AWS CloudTrail quando você cria a chave do KMS, baixa a chave pública e importa o token e importa o material de chave. O AWS KMS também registra uma entrada quando você exclui o material de chave importado ou quando o AWS KMS exclui o material de chave expirado.

Para obter informações sobre como criar chaves de várias regiões com o material de chave importado, consulte Importar material de chave para chaves de várias regiões.

Criar uma chave do KMS sem material de chave (console)

É possível usar o AWS Management Console para criar uma chave do KMS sem material de chave. Antes de fazer isso, você pode configurar o console para mostrar a coluna Origin (Origem) na lista de chaves do KMS. As chaves importadas têm um valor Origin (Origem) External (Externo).

Você precisa criar uma chave do KMS para o material de chave importado somente uma vez. Para reimportar o mesmo material de chaves para uma chave do KMS existente, consulte Etapa 2: Fazer download da chave pública e do token de importação.

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente).

  4. Selecione Create key (Criar chave).

  5. Selecione Symmetric (Simétrica). Não é possível importar material de chave para uma chave do KMS assimétrica.

  6. Expanda Advanced options (Opções avançadas).

  7. Para Key material origin (Origem do material de chaves), escolha External (Externo).

    Marque a caixa de seleção ao lado de I understand the security, availability, and durability implications of using an imported key (Entendo as implicações de segurança, disponibilidade e durabilidade do uso de uma chave importada) para indicar que você compreende as implicações do uso de material de chaves importadas. Para ler sobre essas implicações, consulte Sobre o material de chave importada.

  8. Use a seção Multi-Region replication (Replicação de várias regiões) apenas para criar uma chave primária de várias regiões sem material de chave. Para obter mais detalhes, consulte Importar material de chave para chaves de várias regiões.

  9. Escolha Next (Próximo).

  10. Digite um alias e (opcionalmente) uma descrição para a chave do KMS.

    Escolha Next (Próximo).

  11. (Optional). Na página Add Tags (Adicionar etiquetas), adicione etiquetas que identificam ou categorizam a chave do KMS.

    Escolha Next (Próximo).

  12. Na seção Key Administrators (Administradores de chaves), selecione os usuários e as funções do IAM que podem gerenciar a chave do KMS. Para obter mais informações, consulte Permite que administradores de chaves administrem a chave do KMS.

    nota

    As políticas do IAM podem conceder permissão para gerenciar a chave do KMS a outros usuários e funções do IAM.

  13. (Opcional) Para evitar que os usuários e funções do IAM selecionados excluam essa chave do KMS, na seção Key deletion (Exclusão de chaves) na parte inferior da página, desmarque a caixa de seleção Allow key administrators to delete this key (Permitir que os administradores de chaves excluam essa chave).

    Escolha Next (Próximo).

  14. Na seção This account (Esta conta), selecione os usuários e as funções do IAM nessa Conta da AWS que podem usar a chave do KMS em operações de criptografia. Para obter mais informações, consulte Permite que os usuários de chaves usem a chave do KMS.

    nota

    As políticas do IAM podem conceder permissão para usar a chave do KMS a outros usuários e funções do IAM.

  15. (Opcional) Você pode permitir que outras Contas da AWS usem essa chave do KMS para operações de criptografia. Para fazer isso, na seção Other Contas da AWS (Outras contas da AWS) na parte inferior da página, escolha Add another Conta da AWS (Adicionar outra conta da AWS) e insira o ID da Conta da AWS de uma conta externa. Para adicionar várias contas externas, repita essa etapa.

    nota

    Para permitir que as entidades principais de contas externas usem a chave do KMS, os administradores da conta externa devem criar políticas do IAM que forneçam essas permissões. Para obter mais informações, consulte Permitir que usuários de outras contas usem uma chave do KMS.

    Escolha Next (Próximo).

  16. Revise as principais configurações que você escolheu. Ainda é possível voltar e alterar todas as configurações.

  17. Quando terminar, escolha Finish (Terminar) para criar a chave.

    Se a operação for bem-sucedida, você terá criado uma chave do KMS sem material de chave. Seu status está como Pending Acceptance (Aceitação pendente). Para continuar o processo agora, consulte Para baixar a chave pública e o token de importação (console). Para continuar o processo posteriormente, selecione Cancel (Cancelar).

Próximo: Etapa 2: Fazer download da chave pública e do token de importação.

Criar uma chave do KMS sem material de chave (API do AWS KMS)

Para usar a API do AWS KMS para criar uma chave do KMS simétrica sem material de chave, envie uma solicitação CreateKey com o parâmetro Origin definido como EXTERNAL. O exemplo a seguir mostra como fazer isso com a AWS Command Line Interface (AWS CLI).

$ aws kms create-key --origin EXTERNAL

Quando o comando é bem-sucedido, a saída é semelhante à seguinte. A chave do AWS KMS Origin é EXTERNAL e seu KeyState é PendingImport.

{ "KeyMetadata": { "Origin": "EXTERNAL", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "Enabled": false, "MultiRegion": false, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingImport", "CreationDate": 1568289600.0, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

Copie o ID da chave do KMS da saída do comando para usar em etapas posteriores e, em seguida, prossiga para Etapa 2: Fazer download da chave pública e do token de importação.