Importar o material de chave — etapa 4: Importar o material de chave - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Importar o material de chave — etapa 4: Importar o material de chave

Depois de criptografar o material de chave, você pode importá-lo para uso com uma AWS KMS key. Para importar o material de chaves, você faz upload do material de chaves criptografado de Etapa 3: Criptografar o material de chave e o token de importação que você baixou em Etapa 2: Fazer download da chave pública de empacotamento e do token de importação. É necessário importar o material de chaves para a mesma chave do KMS que especificou quando você baixou a chave pública e o token de importação. Quando o material da chaves é importado com êxito, o estado da chave da chave do KMS muda para Enabled, e você pode usar a chave do KMS em operações de criptografia.

Ao importar material de chaves, é possível definir uma hora de expiração opcional para ele. Quando o material de chave perde a validade, o AWS KMS exclui o material de chave e a chave KMS se torna inutilizável. Para usar a chave do KMS em operações criptográficas, você deve reimportar o mesmo material de chaves. Depois de importar o material de chaves, você não pode definir, alterar ou cancelar a data de expiração da importação atual. Para alterar esses valores, você deve deletar e reimportar o mesmo material de chaves.

Para importar material chave, você pode usar o AWS KMS console ou a ImportKeyMaterialAPI. É possível usar a API diretamente, fazendo solicitações HTTP ou usando AWS SDKs, o AWS Command Line Interface ou o AWS Tools for PowerShell.

Quando você importa o material da chave, uma ImportKeyMaterialentrada é adicionada ao seu AWS CloudTrail registro para registrar a ImportKeyMaterial operação. A CloudTrail entrada é a mesma se você usa o AWS KMS console ou a AWS KMS API.

Definir um prazo de validade (opcional)

Ao importar o material de chave para a chave do KMS, você pode definir uma data e hora de validade opcionais para o material de chave de até 365 dias a partir da data de importação. Quando o material de chave importado expira, ele é AWS KMS excluído. Essa ação altera estado de chave da chave do KMS para PendingImport, impedindo que ela seja usada em operações de criptografia. Para usar a chave do KMS, você deve reimportar uma cópia do material de chave original.

Garantir que o material de chave importado expire com frequência pode ajudar a atender aos requisitos regulatórios, mas aumenta o risco dos dados criptografados sob a chave do KMS. Até que você reimporte uma cópia do material da chave original, uma chave do KMS com material de chave expirado ficará inutilizável, e todos os dados criptografados sob a chave do KMS ficarão inacessíveis. Se você não reimportar o material da chave por qualquer motivo, inclusive por perda da cópia do material da chave original, a chave do KMS ficará permanentemente inutilizável, e os dados criptografados sob a chave do KMS ficarão irrecuperáveis.

Para reduzir esse risco, certifique-se de que sua cópia do material de chave importado esteja acessível e crie um sistema para excluir e reimportar o material de chaves antes que ele expire e interrompa sua carga de trabalho. AWS Recomendamos definir um alarme para a expiração do material de chave importado, o que lhe dará tempo suficiente para reimportar o material da chave antes que ele expire. Você também pode usar seus CloudTrail registros para auditar operações que importam (e reimportam) material de chave e excluem material de chave importado, e a AWS KMS operação para excluir material de chave expirado.

Você não pode importar material de chave diferente para a chave KMS e AWS KMS não pode restaurar, recuperar ou reproduzir o material de chave excluído. Em vez de definir um prazo de validade, você pode excluir e reimportar o material de chave importado de maneira programática periodicamente, mas os requisitos para reter uma cópia do material da chave original são os mesmos.

Ao importar o material de chave, você determina se o material de chave importado expirará e quando isso ocorrerá. Mas é possível ativar e desativar a expiração ou definir um novo prazo de validade excluindo e reimportando o material da chave. Use o ExpirationModel parâmetro de ImportKeyMaterialpara ativar (KEY_MATERIAL_EXPIRES) e desativar a expiração (KEY_MATERIAL_DOES_NOT_EXPIRE) e o ValidTo parâmetro para definir o tempo de expiração. O tempo máximo é de 365 dias a partir da importação de dados. Não há mínimo, mas o tempo deve estar no futuro.

Importar o material de chave (console)

Você pode usar o AWS Management Console para importar material chave.

  1. Se você estiver na página Upload your wrapped key material (Fazer upload de chave empacotada), vá para Passo 8.

  2. Faça login AWS Management Console e abra o console AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  3. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  4. No painel de navegação, escolha Chaves gerenciadas pelo cliente.

  5. Escolha o alias ou o ID da chave do KMS para a qual você baixou a chave pública e o token de importação.

  6. Expanda a seção Cryptographic configuration (Configuração criptográfica) e visualize seus valores. As guias estão na página de detalhes de uma chave do KMS, abaixo da seção General configuration (Configuração geral).

    É possível importar material de chaves somente para uma chave do KMS com uma Origin (Origem) de External (Import key material) (Externa [Importar material de chave]). Para obter informações sobre como criar chaves do KMS com material de chave importado, consulte Importação de material chave para AWS KMS chaves.

  7. Escolha a guia Key material (Material de chaves) e, em seguida, Import key material (Importar material de chave). A guia Key material (Material de chave) aparece somente para chaves do KMS com um valor Origin (Origem) de External (Import key material) (Externo (Importar material de chave)).

    Se você baixou o material da chave, o token de importação e criptografou o material da chave, escolha Next (Avançar).

  8. Na seção Encrypted key material and import token (Material de chave criptografada e token de importação), faça o seguinte:

    1. Em Wrapped key material (material de chave empacotada), escolha Choose file (Escolher arquivo). Faça upload do arquivo que contém o material de chaves encapsulado (criptografado).

    2. Em Import token (Importar token), escolha Choose file (Escolher arquivo). Faça upload do arquivo que contém o token de importação obtido por download.

  9. Na seção Expiration option (Opção de expiração), determine se o material de chave expira. Para definir uma data e hora de expiração, escolha Key material expires (O material de chaves expira), e use o calendário para selecionar uma data e hora. Você pode especificar uma data de até 365 dias da data e hora atuais.

  10. Selecione Upload key material (Fazer upload do material de chaves).

Importar material chave (AWS KMS API)

Para importar material chave, use a ImportKeyMaterialoperação. O exemplo a seguir usa a AWS CLI, mas você pode usar qualquer linguagem de programação compatível.

Para usar este exemplo:

  1. Substitua 1234abcd-12ab-34cd-56ef-1234567890ab pelo ID da chave do KMS que você especificou quando baixou a chave pública e o token de importação. Para identificar a chave do KMS, use seu ID de chave ou ARN de chave. Você não pode usar um nome de alias ou ARN de alias para esta operação.

  2. Substitua EncryptedKeyMaterial.bin pelo nome do arquivo que contém o material de chaves criptografado.

  3. Substitua ImportToken.bin pelo nome do arquivo que contém o token de importação.

  4. Se você quiser que o material da chave importada expire, defina o valor do parâmetro expiration-model para seu valor padrão, KEY_MATERIAL_EXPIRES, ou omita o parâmetro expiration-model. Em seguida, substitua o valor do parâmetro valid-to com a data e a hora em que você deseja que o material da chave expire. A data e a hora podem ser de até 365 dias a partir do momento da solicitação.

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --encrypted-key-material fileb://EncryptedKeyMaterial.bin \ --import-token fileb://ImportToken.bin \ --expiration-model KEY_MATERIAL_EXPIRES \ --valid-to 2023-06-17T12:00:00-08:00

    Se você não quiser que o material da chave importada expire, defina o valor do parâmetro expiration-model como KEY_MATERIAL_DOES_NOT_EXPIRE e omita o parâmetro valid-to do comando.

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --encrypted-key-material fileb://EncryptedKeyMaterial.bin \ --import-token fileb://ImportToken.bin \ --expiration-model KEY_MATERIAL_DOES_NOT_EXPIRE
dica

Se o comando não for bem-sucedido, você poderá ver uma KMSInvalidStateException ou NotFoundException. Você poderá repetir a solicitação.