As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Importar o material de chave — etapa 4: Importar o material de chave
Depois de criptografar o material de chave, você pode importá-lo para uso com uma AWS KMS key. Para importar o material de chaves, você faz upload do material de chaves criptografado de Etapa 3: Criptografar o material de chave e o token de importação que você baixou em Etapa 2: Fazer download da chave pública de empacotamento e do token de importação. É necessário importar o material de chaves para a mesma chave do KMS que especificou quando você baixou a chave pública e o token de importação. Quando o material da chaves é importado com êxito, o estado da chave da chave do KMS muda para Enabled
, e você pode usar a chave do KMS em operações de criptografia.
Ao importar material de chaves, é possível definir uma hora de expiração opcional para ele. Quando o material de chave perde a validade, o AWS KMS exclui o material de chave e a chave KMS se torna inutilizável. Para usar a chave do KMS em operações criptográficas, você deve reimportar o mesmo material de chaves. Depois de importar o material de chaves, você não pode definir, alterar ou cancelar a data de expiração da importação atual. Para alterar esses valores, você deve deletar e reimportar o mesmo material de chaves.
Para importar material chave, você pode usar o AWS KMS console ou a ImportKeyMaterialAPI. É possível usar a API diretamente, fazendo solicitações HTTP ou usando AWS SDKs
Quando você importa o material da chave, uma ImportKeyMaterialentrada é adicionada ao seu AWS CloudTrail registro para registrar a ImportKeyMaterial
operação. A CloudTrail entrada é a mesma se você usa o AWS KMS console ou a AWS KMS API.
Definir um prazo de validade (opcional)
Ao importar o material de chave para a chave do KMS, você pode definir uma data e hora de validade opcionais para o material de chave de até 365 dias a partir da data de importação. Quando o material de chave importado expira, ele é AWS KMS excluído. Essa ação altera estado de chave da chave do KMS para PendingImport
, impedindo que ela seja usada em operações de criptografia. Para usar a chave do KMS, você deve reimportar uma cópia do material de chave original.
Garantir que o material de chave importado expire com frequência pode ajudar a atender aos requisitos regulatórios, mas aumenta o risco dos dados criptografados sob a chave do KMS. Até que você reimporte uma cópia do material da chave original, uma chave do KMS com material de chave expirado ficará inutilizável, e todos os dados criptografados sob a chave do KMS ficarão inacessíveis. Se você não reimportar o material da chave por qualquer motivo, inclusive por perda da cópia do material da chave original, a chave do KMS ficará permanentemente inutilizável, e os dados criptografados sob a chave do KMS ficarão irrecuperáveis.
Para reduzir esse risco, certifique-se de que sua cópia do material de chave importado esteja acessível e crie um sistema para excluir e reimportar o material de chaves antes que ele expire e interrompa sua carga de trabalho. AWS Recomendamos definir um alarme para a expiração do material de chave importado, o que lhe dará tempo suficiente para reimportar o material da chave antes que ele expire. Você também pode usar seus CloudTrail registros para auditar operações que importam (e reimportam) material de chave e excluem material de chave importado, e a AWS KMS operação para excluir material de chave expirado.
Você não pode importar material de chave diferente para a chave KMS e AWS KMS não pode restaurar, recuperar ou reproduzir o material de chave excluído. Em vez de definir um prazo de validade, você pode excluir e reimportar o material de chave importado de maneira programática periodicamente, mas os requisitos para reter uma cópia do material da chave original são os mesmos.
Ao importar o material de chave, você determina se o material de chave importado expirará e quando isso ocorrerá. Mas é possível ativar e desativar a expiração ou definir um novo prazo de validade excluindo e reimportando o material da chave. Use o ExpirationModel
parâmetro de ImportKeyMaterialpara ativar (KEY_MATERIAL_EXPIRES
) e desativar a expiração (KEY_MATERIAL_DOES_NOT_EXPIRE
) e o ValidTo
parâmetro para definir o tempo de expiração. O tempo máximo é de 365 dias a partir da importação de dados. Não há mínimo, mas o tempo deve estar no futuro.
Importar o material de chave (console)
Você pode usar o AWS Management Console para importar material chave.
-
Se você estiver na página Upload your wrapped key material (Fazer upload de chave empacotada), vá para Passo 8.
-
Faça login AWS Management Console e abra o console AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms
. -
Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
-
No painel de navegação, escolha Chaves gerenciadas pelo cliente.
-
Escolha o alias ou o ID da chave do KMS para a qual você baixou a chave pública e o token de importação.
-
Expanda a seção Cryptographic configuration (Configuração criptográfica) e visualize seus valores. As guias estão na página de detalhes de uma chave do KMS, abaixo da seção General configuration (Configuração geral).
É possível importar material de chaves somente para uma chave do KMS com uma Origin (Origem) de External (Import key material) (Externa [Importar material de chave]). Para obter informações sobre como criar chaves do KMS com material de chave importado, consulte Importação de material chave para AWS KMS chaves.
-
Escolha a guia Key material (Material de chaves) e, em seguida, Import key material (Importar material de chave). A guia Key material (Material de chave) aparece somente para chaves do KMS com um valor Origin (Origem) de External (Import key material) (Externo (Importar material de chave)).
Se você baixou o material da chave, o token de importação e criptografou o material da chave, escolha Next (Avançar).
-
Na seção Encrypted key material and import token (Material de chave criptografada e token de importação), faça o seguinte:
-
Em Wrapped key material (material de chave empacotada), escolha Choose file (Escolher arquivo). Faça upload do arquivo que contém o material de chaves encapsulado (criptografado).
-
Em Import token (Importar token), escolha Choose file (Escolher arquivo). Faça upload do arquivo que contém o token de importação obtido por download.
-
-
Na seção Expiration option (Opção de expiração), determine se o material de chave expira. Para definir uma data e hora de expiração, escolha Key material expires (O material de chaves expira), e use o calendário para selecionar uma data e hora. Você pode especificar uma data de até 365 dias da data e hora atuais.
-
Selecione Upload key material (Fazer upload do material de chaves).
Importar material chave (AWS KMS API)
Para importar material chave, use a ImportKeyMaterialoperação. O exemplo a seguir usa a AWS CLI
Para usar este exemplo:
-
Substitua
pelo ID da chave do KMS que você especificou quando baixou a chave pública e o token de importação. Para identificar a chave do KMS, use seu ID de chave ou ARN de chave. Você não pode usar um nome de alias ou ARN de alias para esta operação.1234abcd-12ab-34cd-56ef-1234567890ab
-
Substitua
pelo nome do arquivo que contém o material de chaves criptografado.EncryptedKeyMaterial.bin
-
Substitua
pelo nome do arquivo que contém o token de importação.ImportToken.bin
-
Se você quiser que o material da chave importada expire, defina o valor do parâmetro
expiration-model
para seu valor padrão,KEY_MATERIAL_EXPIRES
, ou omita o parâmetroexpiration-model
. Em seguida, substitua o valor do parâmetrovalid-to
com a data e a hora em que você deseja que o material da chave expire. A data e a hora podem ser de até 365 dias a partir do momento da solicitação.$
aws kms import-key-material --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
\ --encrypted-key-material fileb://EncryptedKeyMaterial.bin
\ --import-token fileb://ImportToken.bin
\ --expiration-modelKEY_MATERIAL_EXPIRES
\ --valid-to2023-06-17T12:00:00-08:00
Se você não quiser que o material da chave importada expire, defina o valor do parâmetro
expiration-model
comoKEY_MATERIAL_DOES_NOT_EXPIRE
e omita o parâmetrovalid-to
do comando.$
aws kms import-key-material --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
\ --encrypted-key-material fileb://EncryptedKeyMaterial.bin
\ --import-token fileb://ImportToken.bin
\ --expiration-modelKEY_MATERIAL_DOES_NOT_EXPIRE
dica
Se o comando não for bem-sucedido, você poderá ver uma KMSInvalidStateException
ou NotFoundException
. Você poderá repetir a solicitação.