Importar o material de chave (console)Importar material de chave (API do AWS KMS)

Importar o material de chave — etapa 4: Importar o material de chave

Depois de criptografar o material de chave, você pode importá-lo para uso com uma AWS KMS key. Para importar o material de chaves, você faz upload do material de chaves criptografado de Etapa 3: Criptografar o material de chave e o token de importação que você baixou em Etapa 2: Fazer download da chave pública e do token de importação. É necessário importar o material de chaves para a mesma chave do KMS que especificou quando você baixou a chave pública e o token de importação.

Ao importar material de chave, você pode opcionalmente especificar uma hora na qual o material de chaves expira. Quando o material de chave expira, o AWS KMS o exclui, e a chave do KMS torna-se inutilizável. Para usar a chave do KMS novamente, reimporte o material de chave.

Depois da importação bem-sucedida do material de chave, o estado da chave do KMS muda para habilitado, e você pode usar essa chave.

Você pode usar o AWS Management Console ou a API do AWS KMS para importar o material de chaves. É possível usar a API diretamente, fazendo solicitações HTTP ou usando AWS SDKs, o AWS Command Line Interface ou o AWS Tools for PowerShell.

Ao importar o material de chave, uma entrada ImportKeyMaterial é adicionada ao log do AWS CloudTrail para registrar a operação ImportKeyMaterial. A entrada do CloudTrail é a mesma, quer você use o console do AWS KMS ou a API do AWS KMS.

Importar o material de chave (console)

Você pode usar o AWS Management Console para importar o material de chaves.

Se você estiver na página Download wrapping key and import token (Fazer download da chave de empacotamento e token de importação), avance para Passo 8.
Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.
Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.
No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).
Escolha o alias ou o ID da chave do KMS para a qual você baixou a chave pública e o token de importação.
Expanda a seção Cryptographic configuration (Configuração criptográfica) e visualize seus valores. As guias estão na página de detalhes de uma chave do KMS, abaixo da seção General configuration (Configuração geral).

Só é possível importar material de chave em chaves do KMS com um Key type (Tipo de chave) Symmetric (Simétrica) e uma Origin (Origem) EXTERNAL (EXTERNA). Para obter informações sobre como criar chaves do KMS com material de chave importado, consulte Importar material de chaves em chaves do AWS KMS.
Expanda a seção Key material (Material de chave) e selecione Upload key material (Carregar material de chave).

A seção Key material (Material de chave) é exibida somente para chaves do KMS com um Key type (Tipo de chave) Symmetric (Simétrica) e um valor de Origin (Origem) de EXTERNAL (EXTERNA).
Na seção Encrypted key material and import token (Material de chave criptografada e token de importação), em Wrapped key material (Material de chave encapsulada), selecione Choose file (Escolher arquivo). Faça upload do arquivo que contém o material de chaves encapsulado (criptografado).
Na seção Encrypted key material and import token (Material de chave criptografada e token de importação), em Import token (Token de importação), selecione Choose file (Escolher arquivo). Faça upload do arquivo que contém o token de importação obtido por download.
Na seção Expiration option (Opção de expiração), determine se o material de chave expira. Para definir uma data e hora de expiração, escolha Key material expires (O material de chaves expira), e use o calendário para selecionar uma data e hora.
Escolha Concluir ou Fazer upload do material de chaves.

Importar material de chave (API do AWS KMS)

Para usar a API do AWS KMS para importar o material de chaves, envie uma solicitação ImportKeyMaterial. O exemplo a seguir mostra como fazer isso com a AWS CLI.

Este exemplo especifica um tempo de expiração para o material de chaves. Para importar o material de chaves sem expiração, substitua KEY_MATERIAL_EXPIRES por KEY_MATERIAL_DOES_NOT_EXPIRE e omita o parâmetro --valid-to.

Para usar este exemplo:

Substitua 1234abcd-12ab-34cd-56ef-1234567890ab pelo ID da chave do KMS que você usou quando baixou a chave pública e o token de importação. Para identificar a chave do KMS, use seu ID ou ARN de chave. Você não pode usar um alias para esta operação.
Substitua EncryptedKeyMaterial.bin pelo nome do arquivo que contém o material de chaves criptografado.
Substitua ImportToken.bin pelo nome do arquivo que contém o token de importação.


$ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
                              --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
                              --import-token fileb://ImportToken.bin \
                              --expiration-model KEY_MATERIAL_EXPIRES \
                              --valid-to 2019-09-17T12:00:00-08:00

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Etapa 3: Criptografar o material de chave

Excluir o material de chave