Importar o material de chave — etapa 4: Importar o material de chave - AWS Key Management Service

Importar o material de chave — etapa 4: Importar o material de chave

Depois de criptografar o material de chave, você pode importá-lo para uso com uma AWS KMS key. Para importar o material de chaves, você faz upload do material de chaves criptografado de Etapa 3: Criptografar o material de chave e o token de importação que você baixou em Etapa 2: Fazer download da chave pública e do token de importação. É necessário importar o material de chaves para a mesma chave do KMS que especificou quando você baixou a chave pública e o token de importação.

Ao importar material de chave, você pode opcionalmente especificar uma hora na qual o material de chaves expira. Quando o material de chave expira, o AWS KMS o exclui, e a chave do KMS torna-se inutilizável. Para usar a chave do KMS novamente, reimporte o material de chave.

Depois da importação bem-sucedida do material de chave, o estado da chave do KMS muda para habilitado, e você pode usar essa chave.

Você pode usar o AWS Management Console ou a API do AWS KMS para importar o material de chaves. É possível usar a API diretamente, fazendo solicitações HTTP ou usando AWS SDKs, o AWS Command Line Interface ou o AWS Tools for PowerShell.

Ao importar o material de chave, uma entrada ImportKeyMaterial é adicionada ao log do AWS CloudTrail para registrar a operação ImportKeyMaterial. A entrada do CloudTrail é a mesma, quer você use o console do AWS KMS ou a API do AWS KMS.

Importar o material de chave (console)

Você pode usar o AWS Management Console para importar o material de chaves.

  1. Se você estiver na página Download wrapping key and import token (Fazer download da chave de empacotamento e token de importação), avance para Passo 8.

  2. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  3. Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

  4. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).

  5. Escolha o alias ou o ID da chave do KMS para a qual você baixou a chave pública e o token de importação.

  6. Expanda a seção Cryptographic configuration (Configuração criptográfica) e visualize seus valores. As guias estão na página de detalhes de uma chave do KMS, abaixo da seção General configuration (Configuração geral).

    Só é possível importar material de chave em chaves do KMS com um Key type (Tipo de chave) Symmetric (Simétrica) e uma Origin (Origem) EXTERNAL (EXTERNA). Para obter informações sobre como criar chaves do KMS com material de chave importado, consulte Importar material de chaves em chaves do AWS KMS.

  7. Expanda a seção Key material (Material de chave) e selecione Upload key material (Carregar material de chave).

    A seção Key material (Material de chave) é exibida somente para chaves do KMS com um Key type (Tipo de chave) Symmetric (Simétrica) e um valor de Origin (Origem) de EXTERNAL (EXTERNA).

  8. Na seção Encrypted key material and import token (Material de chave criptografada e token de importação), em Wrapped key material (Material de chave encapsulada), selecione Choose file (Escolher arquivo). Faça upload do arquivo que contém o material de chaves encapsulado (criptografado).

  9. Na seção Encrypted key material and import token (Material de chave criptografada e token de importação), em Import token (Token de importação), selecione Choose file (Escolher arquivo). Faça upload do arquivo que contém o token de importação obtido por download.

  10. Na seção Expiration option (Opção de expiração), determine se o material de chave expira. Para definir uma data e hora de expiração, escolha Key material expires (O material de chaves expira), e use o calendário para selecionar uma data e hora.

  11. Escolha Concluir ou Fazer upload do material de chaves.

Importar material de chave (API do AWS KMS)

Para usar a API do AWS KMS para importar o material de chaves, envie uma solicitação ImportKeyMaterial. O exemplo a seguir mostra como fazer isso com a AWS CLI.

Este exemplo especifica um tempo de expiração para o material de chaves. Para importar o material de chaves sem expiração, substitua KEY_MATERIAL_EXPIRES por KEY_MATERIAL_DOES_NOT_EXPIRE e omita o parâmetro --valid-to.

Para usar este exemplo:

  1. Substitua 1234abcd-12ab-34cd-56ef-1234567890ab pelo ID da chave do KMS que você usou quando baixou a chave pública e o token de importação. Para identificar a chave do KMS, use seu ID ou ARN de chave. Você não pode usar um alias para esta operação.

  2. Substitua EncryptedKeyMaterial.bin pelo nome do arquivo que contém o material de chaves criptografado.

  3. Substitua ImportToken.bin pelo nome do arquivo que contém o token de importação.

$ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --encrypted-key-material fileb://EncryptedKeyMaterial.bin \ --import-token fileb://ImportToken.bin \ --expiration-model KEY_MATERIAL_EXPIRES \ --valid-to 2019-09-17T12:00:00-08:00