Gerenciar o material de chave importada - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciar o material de chave importada

Esses tópicos explicam como importar e reimportar material de chave em uma chave do KMS e como criar material de chave importado que expira automaticamente.

Visão geral da importação do material de chave

A visão geral a seguir explica o processo para importar seu material de chaves para o AWS KMS. Para obter mais detalhes sobre cada etapa no processo, consulte o tópico correspondente.

  1. Crie uma chave do KMS sem material de chave - A origem deve ser EXTERNAL. A origem da chave EXTERNAL indica que a chave foi projetada para material de chave importado e AWS KMS impede a geração de material de chave para a chave KMS. Em uma etapa posterior, você importará seu próprio material de chave para essa chave do KMS.

    O material da chave que você importa deve ser compatível com a especificação da chave associada AWS KMS . Para obter mais informações sobre compatibilidade, consulte Requisitos para material de chave importada.

  2. Baixar a chave pública de empacotamento e o token de importação – depois de concluir a etapa 1, baixe uma chave publica de empacotamento e um token de importação. Esses itens protegem seu material principal enquanto ele é importado para AWS KMSo.

    Nesta etapa, você escolhe o tipo (“especificação de chave”) para a chave de empacotamento RSA e o algoritmo de empacotamento que você usará para criptografar os dados em trânsito para o AWS KMS. É possível escolher uma especificação de chave de empacotamento e um algoritmo de chave de empacotamento diferentes sempre que importar ou reimportar o mesmo material de chave.

  3. Criptografar o material de chaves – use a chave pública de empacotamento baixada na etapa 2 para criptografar o material de chaves que você criou no seu próprio sistema.

  4. Importar o material de chaves – carregue o material de chave criptografado que você criou na etapa 3 e o token de importação que você baixou na etapa 2.

    Nessa etapa, é possível definir um prazo de validade opcional. Quando o material da chave importada expira, ele é AWS KMS excluído e a chave KMS fica inutilizável. Para continuar usando a chave do KMS, você deve reimportar o mesmo material de chave.

    Quando a operação de importação é concluída com êxito, o estado da chave KMS muda de PendingImport para Enabled. Agora, você pode usar suas chaves do KMS em operações de criptografia.

AWS KMS registra uma entrada em seu AWS CloudTrail registro quando você cria a chave KMS, baixa a chave pública de empacotamento e o token de importação e importa o material da chave. AWS KMS também registra uma entrada quando você exclui material de chave importado ou quando AWS KMS exclui material de chave expirado.

Reimportar o material de chave

Se você gerencia uma chave do KMS com material de chaves importado, talvez seja necessário importar novamente o material de chave. Você também reimportar o material de chave para substituir material de chave prestes a expirar ou excluído ou para alterar o modelo de expiração ou a data de validade do material de chave.

Quando você importa o material de chave para uma chave do KMS, esta é associada permanentemente a esse material de chave. Você pode reimportar o mesmo material de chaves, mas não pode importar outro material de chaves para essa chave do KMS. Você não pode alternar o material de chave e o AWS KMS não pode criar esse material de chave para uma chave do KMS com material de chave importado.

Você pode reimportar material da chave a qualquer momento, em qualquer programação que atenda aos seus requisitos de segurança. Não é necessário esperar até que o material da chave esteja expirando ou prestes a expirar.

Para importar novamente um material de chaves, use o mesmo procedimento que você usou para importar o material de chaves na primeira vez, com as seguintes exceções.

  • Utilize uma chave do KMS existente em vez de criar uma nova. Você pode ignorar a Etapa 1 do procedimento de importação.

  • Ao reimportar o material de chave, você pode alterar o modelo de expiração e data de expiração.

Cada vez que você importa o material de chave para uma chave do KMS, é necessário baixar e usar uma nova chave de empacotamento e token de importação da chave do KMS. O procedimento de empacotamento não afeta o conteúdo do material de chave, portanto você pode usar diferentes chaves públicas de empacotamento e diferentes algoritmos de empacotamento para importar o mesmo material de chave.

Identificar chaves do KMS com material de chave importado

Quando você cria uma chave do KMS sem material de chave, o valor da propriedade Origin dessa chave do KMS é EXTERNAL e não pode ser alterado. Ao contrário do key state (estado da chave), o valor Origin não depende da presença ou ausência de material de chave.

Você pode usar o valor de origem EXTERNAL para identificar chaves do KMS projetadas para material de chave importado. Você pode encontrar a origem da chave no AWS KMS console ou usando a DescribeKeyoperação. Também é possível exibir as propriedades do material de chave, como se e quando ela expira, usando o console ou as APIs.

Para identificar chaves do KMS com material de chave importado (console)

  1. Abra o AWS KMS console em https://console.aws.amazon.com/kms.

  2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  3. Use uma das seguintes técnicas para visualizar a propriedade Origin das suas chaves do KMS.

    • Para adicionar uma coluna Origin (Origem) à sua tabela de chaves do KMS, no canto superior direito, escolha o ícone Settings (Configurações). Selecione Origin (Origem) e clique em Confirm (Confirmar). A coluna Origin (Origem) facilita a identificação das chaves do KMS com um valor de propriedade de origem External (Import Key material) (Externa [Importar material-chave]).

    • Para encontrar o valor da propriedade Origin de uma chave do KMS específica, escolha o ID de chave ou a alias da chave do KMS. Em seguida, escolha a guia Configuration (Configuração). As guias estão abaixo da seção General configuration (Configuração geral).

  4. Para exibir informações detalhadas sobre o material de chave, escolha a guia Key material (Material de chave). Essa guia é exibida na página de detalhes apenas para chaves do KMS com material de chave importado.

Para identificar chaves KMS com material de chave importado (AWS KMS API)

Use a DescribeKeyoperação. A resposta inclui a propriedade Origin da chave do KMS, o modelo de validade e a data de validade, como mostra o exemplo a seguir.

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyMetadata": { "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Origin": "EXTERNAL", "ExpirationModel": "KEY_MATERIAL_EXPIRES" "ValidTo": 2023-06-05T12:00:00+00:00, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "CreationDate": 2018-06-09T00:06:50.831000+00:00, "Enabled": false, "MultiRegion": false, "Description": "", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingImport", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

Criação de um CloudWatch alarme para expiração do material chave importado

Você pode criar um CloudWatch alarme que o notifique quando o material de chave importado em uma chave KMS estiver se aproximando do prazo de expiração. Por exemplo, o alarme pode notificá-lo quando faltarem menos de 30 dias para a expiração.

Ao importar o material de chave para uma chave do KMS, é possível especificar opcionalmente uma data e hora quando o material de chave expira. Quando o material da chave expira, ele é AWS KMS excluído e a chave KMS fica inutilizável. Para usar a chave do KMS novamente, você deve reimportar o material de chave. No entanto, se você reimportar o material de chave antes que ele expire, você poderá evitar interromper processos que usem essa chave do KMS.

Esse alarme usa a SecondsUntilKeyMaterialExpiresmétrica que AWS KMS publica CloudWatch para chaves KMS com material de chave importado que expira. Cada alarme usa essa métrica para monitorar o material de chave importado para uma chave específica do KMS. Você não pode criar um alarme único para todas as chaves do KMS com material de chave expirado ou um alarme para chaves do KMS que você possa vir a criar futuramente.

Requisitos

Os seguintes recursos são necessários para um CloudWatch alarme que monitora a expiração do material de chave importado.

Criar o alarme

Siga as instruções em Criar um CloudWatch alarme com base em um limite estático usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.

Campo Valor
Selecionar métrica

Escolha KMS e, em seguida, selecione Per-Key Metrics (Métricas por chave).

Selecione a linha com a chave do KMS e a métrica SecondsUntilKeyMaterialExpires. Depois, escolha Select metric (Selecionar métrica).

A lista Metrics (Métricas) exibe a métrica SecondsUntilKeyMaterialExpires apenas para chaves do KMS com material de chave importado que expira. Se você não tiver chaves do KMS com essas propriedades na conta e na região, essa lista estará vazia.

Estatística Mínimo
Período 1 minuto
Tipo de limite Estático
Sempre que… Sempre que o nome da métrica for maior que 1

Excluir o material de chave importada

Você pode excluir o material de chave importado de uma chave do KMS a qualquer momento. Além disso, quando o material de chave importado com uma data de expiração expira, o material de chave é AWS KMS excluído. Nos dois casos, quando o material da chave é excluído, o estado de chave da chave do KMS muda para Importação pendente e a chave do KMS não pode ser usada em nenhuma operação criptográfica até que você reimporte o mesmo material de chave. (Não é possível importar material de chave para uma chave do KMS de HMAC.)

Além de desativar a chave do KMS e retirar as permissões, a exclusão do material da chave pode ser usada como uma estratégia para interromper o uso da chave do KMS de forma rápida, mas temporária. Por outro lado, programar a exclusão de uma chave do KMS com material de chave importado também interrompe rapidamente o uso da chave do KMS. No entanto, se a exclusão não for cancelada durante o período de espera, a chave do KMS, o material da chave e todos os metadados da chave serão excluídos permanentemente. Para obter detalhes, consulte Excluir uma chave do KMS com material de chave importado.

Para excluir o material chave, você pode usar o AWS KMS console ou a operação DeleteImportedKeyMaterialda API. AWS KMS registra uma entrada em seu AWS CloudTrail registro quando você exclui material de chave importado e quando AWS KMS exclui material de chave expirado.

Como a exclusão do material essencial afeta os serviços AWS

Quando você exclui o material da chave, a chave do KMS sem material da chave torna-se inutilizável imediatamente (sujeita a consistência posterior). Porém, os recursos criptografados com chaves de dados protegidas pela chave do KMS não serão afetados até que a chave do KMS seja usada novamente, por exemplo, para descriptografar a chave de dados. Esse problema afeta Serviços da AWSmuitos dos quais usam chaves de dados para proteger seus recursos. Para obter detalhes, consulte Como as chaves do KMS inutilizáveis afetam as chaves de dados.

Excluir material de chave (console)

Você pode usar o AWS Management Console para excluir o material chave.

  1. Faça login AWS Management Console e abra o console AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  3. No painel de navegação, escolha Chaves gerenciadas pelo cliente.

  4. Execute um destes procedimentos:

    • Marque a caixa de seleção de uma chave do KMS com material de chave importado. Escolha Key actions (Ações de chave), Delete key material (Excluir material de chaves).

    • Escolha o alias ou ID de uma chave do KMS com material de chave importado. Escolha a guia Key material (Material de chaves) e, em seguida, Delete key material (Excluir material de chave).

  5. Confirme que você deseja excluir o material de chaves e selecione Delete key material (Excluir material de chaves). O status da chave do KMS, que corresponde ao seu estado de chave, muda para Pending import (Importação pendente).

Excluir material chave (AWS KMS API)

Para usar a AWS KMS API para excluir material chave, envie uma DeleteImportedKeyMaterialsolicitação. O exemplo a seguir mostra como fazer isso com a AWS CLI.

Substitua 1234abcd-12ab-34cd-56ef-1234567890ab pelo ID da chave do KMS cujo material de chave você quer excluir. É possível usar o ID de chave ou o ARN da chave do KMS, mas não é possível usar um alias para essa operação.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

Excluir uma chave do KMS com material de chave importado

A exclusão do material de chave de uma chave do KMS com material de chave importado é temporária e reversível. Para restaurar a chave, reimporte o material da chave.

Entretanto, a exclusão de uma chave do KMS é irreversível. Se você agendar a exclusão da chave e o período de espera necessário expirar, excluirá AWS KMS permanente e irreversivelmente a chave KMS, seu material de chave e todos os metadados associados à chave KMS.

No entanto, o risco e a consequência da exclusão de uma chave do KMS com material de chave importado dependem do tipo (“especificação de chave”) da chave do KMS.

  • Chaves de criptografia simétricas — Se você excluir uma chave do KMS de criptografia simétrica, todos os textos cifrados restantes criptografados por essa chave serão irrecuperáveis. Não é possível criar uma nova chave do KMS de criptografia simétrica que possa descriptografar os textos cifrados de uma chave de criptografia simétrica excluída com chave do KMs, mesmo que você tenha o mesmo material de chave. Os metadados exclusivos de cada chave do KMS são vinculados criptograficamente a cada texto cifrado simétrico. Esse recurso de segurança garante que somente a chave do KMS que criptografou o texto cifrado simétrico poderá descriptografá-lo, mas impede que você recrie uma chave do KMS equivalente.

  • Chaves assimétricas e HMAC — Se você tiver o material da chave original, poderá criar uma nova chave KMS com as mesmas propriedades criptográficas de uma chave KMS assimétrica ou HMAC que foi excluída. AWS KMS gera cifrotextos e assinaturas RSA padrão, assinaturas ECC e tags HMAC, que não incluem nenhum recurso de segurança exclusivo. Além disso, é possível usar uma chave do HMAC ou a chave privada de um par de chaves assimétricas fora da AWS.

    Uma nova chave do KMS criada com o mesmo material de chave assimétrica ou HMAC terá um identificador de chave diferente. Você precisará criar uma nova política de chaves, recriar todos os aliases e atualizar as políticas e concessões existentes do IAM para se referir à nova chave.