Importar o material de chave — etapa 4: Importar o material de chave
Depois de criptografar o material de chave, você pode importá-lo para uso com uma AWS KMS key. Para importar o material de chaves, você faz upload do material de chaves criptografado de Etapa 3: Criptografar o material de chave e o token de importação que você baixou em Etapa 2: Fazer download da chave pública e do token de importação. É necessário importar o material de chaves para a mesma chave do KMS que especificou quando você baixou a chave pública e o token de importação.
Ao importar material de chave, você pode opcionalmente especificar uma hora na qual o material de chaves expira. Quando o material de chave expira, o AWS KMS o exclui, e a chave do KMS torna-se inutilizável. Para usar a chave do KMS novamente, reimporte o material de chave.
Depois da importação bem-sucedida do material de chave, o estado da chave do KMS muda para habilitado, e você pode usar essa chave.
Você pode usar o AWS Management Console ou a API do AWS KMS para importar o material de chaves. É possível usar a API diretamente, fazendo solicitações HTTP ou usando AWS SDKs
Ao importar o material de chave, uma entrada ImportKeyMaterial é adicionada ao log do AWS CloudTrail para registrar a operação ImportKeyMaterial. A entrada do CloudTrail é a mesma, quer você use o console do AWS KMS ou a API do AWS KMS.
Importar o material de chave (console)
Você pode usar o AWS Management Console para importar o material de chaves.
-
Se você estiver na página Download wrapping key and import token (Fazer download da chave de empacotamento e token de importação), avance para Passo 8.
-
Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms
. -
Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.
-
No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).
-
Escolha o alias ou o ID da chave do KMS para a qual você baixou a chave pública e o token de importação.
-
Expanda a seção Cryptographic configuration (Configuração criptográfica) e visualize seus valores. As guias estão na página de detalhes de uma chave do KMS, abaixo da seção General configuration (Configuração geral).
Só é possível importar material de chave em chaves do KMS com um Key type (Tipo de chave) Symmetric (Simétrica) e uma Origin (Origem) EXTERNAL (EXTERNA). Para obter informações sobre como criar chaves do KMS com material de chave importado, consulte Importar material de chaves em chaves do AWS KMS.
-
Expanda a seção Key material (Material de chave) e selecione Upload key material (Carregar material de chave).
A seção Key material (Material de chave) é exibida somente para chaves do KMS com um Key type (Tipo de chave) Symmetric (Simétrica) e um valor de Origin (Origem) de EXTERNAL (EXTERNA).
-
Na seção Encrypted key material and import token (Material de chave criptografada e token de importação), em Wrapped key material (Material de chave encapsulada), selecione Choose file (Escolher arquivo). Faça upload do arquivo que contém o material de chaves encapsulado (criptografado).
-
Na seção Encrypted key material and import token (Material de chave criptografada e token de importação), em Import token (Token de importação), selecione Choose file (Escolher arquivo). Faça upload do arquivo que contém o token de importação obtido por download.
-
Na seção Expiration option (Opção de expiração), determine se o material de chave expira. Para definir uma data e hora de expiração, escolha Key material expires (O material de chaves expira), e use o calendário para selecionar uma data e hora.
-
Escolha Concluir ou Fazer upload do material de chaves.
Importar material de chave (API do AWS KMS)
Para usar a API do AWS KMS para importar o material de chaves, envie uma solicitação ImportKeyMaterial. O exemplo a seguir mostra como fazer isso com a AWS CLI
Este exemplo especifica um tempo de expiração para o material de chaves. Para importar o material de chaves sem expiração, substitua KEY_MATERIAL_EXPIRES
por KEY_MATERIAL_DOES_NOT_EXPIRE
e omita o parâmetro --valid-to
.
Para usar este exemplo:
-
Substitua
pelo ID da chave do KMS que você usou quando baixou a chave pública e o token de importação. Para identificar a chave do KMS, use seu ID ou ARN de chave. Você não pode usar um alias para esta operação.1234abcd-12ab-34cd-56ef-1234567890ab
-
Substitua
pelo nome do arquivo que contém o material de chaves criptografado.EncryptedKeyMaterial.bin
-
Substitua
pelo nome do arquivo que contém o token de importação.ImportToken.bin
$
aws kms import-key-material --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
\ --encrypted-key-material fileb://EncryptedKeyMaterial.bin
\ --import-token fileb://ImportToken.bin
\ --expiration-model KEY_MATERIAL_EXPIRES \ --valid-to 2019-09-17T12:00:00-08:00