Importar o material de chave — etapa 4: Importar o material de chave

Depois de criptografar o material de chave, você pode importá-lo para uso com uma AWS KMS key. Para importar o material de chaves, você faz upload do material de chaves criptografado de Etapa 3: Criptografar o material de chave e o token de importação que você baixou em Etapa 2: Fazer download da chave pública e do token de importação. É necessário importar o material de chaves para a mesma chave do KMS que especificou quando você baixou a chave pública e o token de importação. Quando o material da chaves é importado, o estado da chave da chave do KMS muda para Enabled, e você pode usar a chave do KMS em operações de criptografia.

Ao importar material de chaves, você pode definir uma data de expiração opcional para ele. Quando o material de chave perde a validade, o AWS KMS exclui o material de chave e a chave KMS se torna inutilizável. Para usar a chave do KMS em operações criptográficas, você deve reimportar o mesmo material de chaves. Depois de importar o material de chaves, você não pode definir, alterar ou cancelar a data de expiração da importação atual. Para alterar esses valores, você deve deletar e reimportar o mesmo material de chaves.

Para importar o material de chaves, você pode usar o console do AWS KMS ou a API do ImportKeyMaterial. É possível usar a API diretamente, fazendo solicitações HTTP ou usando AWS SDKs, o AWS Command Line Interface ou o AWS Tools for PowerShell.

Ao importar o material de chave, uma entrada ImportKeyMaterial é adicionada ao log do AWS CloudTrail para registrar a operação ImportKeyMaterial. A entrada do CloudTrail é a mesma, quer você use o console do AWS KMS ou a API do AWS KMS.

Importar o material de chave (console)

Você pode usar o AWS Management Console para importar o material de chaves.

1. Se você estiver na página Download wrapping key and import token (Fazer download da chave de empacotamento e token de importação), avance para Passo 8.

2. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

3. Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

4. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).

5. Escolha o alias ou o ID da chave do KMS para a qual você baixou a chave pública e o token de importação.

6. Expanda a seção Cryptographic configuration (Configuração criptográfica) e visualize seus valores. As guias estão na página de detalhes de uma chave do KMS, abaixo da seção General configuration (Configuração geral).

   Só é possível importar material de chave em chaves do KMS com um Key type (Tipo de chave) Symmetric (Simétrica) e uma Origin (Origem) EXTERNAL (EXTERNA). Para obter informações sobre como criar chaves do KMS com material de chave importado, consulte Importar material de chaves em chaves do AWS KMS.

7. Expanda a seção Key material (Material de chave) e selecione Upload key material (Carregar material de chave).

   A seção Key material (Material de chave) é exibida somente para chaves do KMS com um Key type (Tipo de chave) Symmetric (Simétrica) e um valor de Origin (Origem) de EXTERNAL (EXTERNA).

8. Na seção Encrypted key material and import token (Material de chave criptografada e token de importação), em Wrapped key material (Material de chave encapsulada), selecione Choose file (Escolher arquivo). Faça upload do arquivo que contém o material de chaves encapsulado (criptografado).

9. Na seção Encrypted key material and import token (Material de chave criptografada e token de importação), em Import token (Token de importação), selecione Choose file (Escolher arquivo). Faça upload do arquivo que contém o token de importação obtido por download.

10. Na seção Expiration option (Opção de expiração), determine se o material de chave expira. Para definir uma data e hora de expiração, escolha Key material expires (O material de chaves expira), e use o calendário para selecionar uma data e hora. Você pode especificar uma data de até 365 dias da data e hora atuais.

11. Escolha Concluir ou Fazer upload do material de chaves.

Importar material de chave (API do AWS KMS)

Para importar material de chaves, use a operação ImportKeyMaterial. O exemplo a seguir usa a AWS CLI, mas você pode usar qualquer linguagem de programação compatível.

Para usar este exemplo:

1. Substitua 1234abcd-12ab-34cd-56ef-1234567890ab pelo ID da chave do KMS que você especificou quando baixou a chave pública e o token de importação. Para identificar a chave do KMS, use seu ID de chave ou ARN de chave. Você não pode usar um nome de alias ou ARN de alias para esta operação.

2. Substitua EncryptedKeyMaterial.bin pelo nome do arquivo que contém o material de chaves criptografado.

3. Substitua ImportToken.bin pelo nome do arquivo que contém o token de importação.

4. Se você quiser que o material da chave importada expire, defina o valor do parâmetro expiration-model para seu valor padrão, KEY_MATERIAL_EXPIRES, ou omita o parâmetro expiration-model. Em seguida, substitua o valor do parâmetro valid-to com a data e a hora em que você deseja que o material da chave expire. A data e a hora podem ser de até 365 dias a partir do momento da solicitação.

   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_EXPIRES \
       --valid-to 2022-09-17T12:00:00-08:00

   Se você não quiser que o material da chave importada expire, defina o valor do parâmetro expiration-model como KEY_MATERIAL_DOES_NOT_EXPIRE e omita o parâmetro valid-to do comando.

   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ 
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_DOES_NOT_EXPIRE