As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Importar o material de chave para chaves do AWS KMS
É possível criar uma AWS KMS keys (chave do KMS) com material de chave que você fornece.
Uma chave do KMS é uma representação lógica de uma chave de criptografia. Os metadados de uma chave do KMS incluem o ID do material de chave usado para criptografar e descriptografar dados. Quando você cria uma chave do KMS, por padrão, o AWS KMS gera o material de chave para essa chave do KMS. No entanto, você pode criar uma chave do KMS sem material de chave e importar o seu próprio material de chaves para essa chave do KMS, um recurso normalmente conhecido como "traga sua própria chave" (BYOK).
nota
O AWS KMS não é compatível com a descriptografia de texto cifrado do AWS KMS fora do AWS KMS, mesmo que o texto cifrado tenha sido criptografado em uma chave do KMS com material de chave importado. O AWS KMS não publica o formato de texto cifrado exigido por essa tarefa, e o formato pode ser alterado sem aviso prévio.
O material de chaves importadas é compatível com todos os tipos de chaves do KMS, exceto as chaves do KMS em armazenamentos chaves personalizadas. No entanto, nas regiões da China, é possível importar material de chave de criptografia simétrica somente para chaves do KMS.
Ao usar o material de chaves importadas, você continua responsável pelo material de chaves enquanto permite que o AWS KMS use uma cópia dele. Você pode optar por fazer isso por um ou mais dos seguintes motivos:
-
Para comprovar que o material de chaves foi gerado usando uma origem de entropia que atende aos seus requisitos.
-
Para usar o material de chaves de sua própria infraestrutura com serviços da AWS, e usar o AWS KMS para gerenciar o ciclo de vida desse material de chaves na AWS.
-
Para usar chaves existentes e bem estabelecidas no AWS KMS, como chaves para assinatura de código, assinatura de certificado PKI e aplicativos fixados em certificados
-
Para definir um horário de validade do material de chaves na AWS e para excluí-lo manualmente, mas também para disponibilizá-lo novamente no futuro. Por outro lado, programar a exclusão de chaves exige um período de espera de 7 a 30 dias, após os quais você não pode recuperar a chave do KMS excluída.
-
Para possuir a cópia original do material de chave e mantê-lo fora da AWS para durabilidade adicional e recuperação de desastres durante o ciclo de vida completo do material de chave.
-
Para chaves assimétricas e chaves de HMAC, a importação cria chaves compatíveis e interoperáveis que operam dentro e fora da AWS.
É possível auditar e monitorar o uso e o gerenciamento de uma chave do KMS com material de chave importado. O AWS KMS registra um evento no log do AWS CloudTrail quando você cria a chave do KMS, baixa a chave pública e importa o token e importa o material de chave. O AWS KMS também registra um evento quando você exclui manualmente o material de chave importado ou quando o AWS KMS exclui o material de chave expirado.
Para obter mais informações sobre diferenças importantes entre as chaves do KMS com material de chaves importado e aquelas com material de chaves gerado pelo AWS KMS, consulte Sobre o material de chave importada.
Chaves do KMS compatíveis
O AWS KMS oferece suporte para material de chave importado para os tipos de chaves do KMS a seguir. Não é possível importar material de chave para chaves do KMS em armazenamentos personalizados de chaves. Nas regiões da China, é possível importar material de chave somente para chaves de criptografia simétrica.
-
Chaves do KMS RSA assimétricas (para criptografia ou assinatura, mas não ambas)
-
Chaves do KMS de curva elíptica assimétrica (ECC) (somente assinatura)
-
Chaves multirregionais de todos os tipos compatíveis.
Regiões
O material de chaves importado é compatível com todas as Regiões da AWS às quais o AWS KMS oferece suporte.
Nas regiões da China, é possível importar material de chave somente para chaves do KMS. Além disso, os principais requisitos de material diferem de outras regiões. Para obter mais detalhes, consulte Importar o material de chave — etapa 3: Criptografar o material de chave.
Tópicos
