Importação de material chave para AWS KMS chaves - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Importação de material chave para AWS KMS chaves

É possível criar uma AWS KMS keys (chave do KMS) com material de chave que você fornece.

Uma chave do KMS é uma representação lógica de uma chave de criptografia. Os metadados de uma chave do KMS incluem o ID do material de chave usado para criptografar e descriptografar dados. Quando você cria uma chave do KMS, por padrão, o AWS KMS gera o material de chave para essa chave do KMS. No entanto, você pode criar uma chave do KMS sem material de chave e importar o seu próprio material de chaves para essa chave do KMS, um recurso normalmente conhecido como "traga sua própria chave" (BYOK).

nota

AWS KMS não suporta a descriptografia de nenhum texto AWS KMS cifrado fora do AWS KMS, mesmo que o texto cifrado tenha sido criptografado em uma chave KMS com material de chave importado. AWS KMS não publica o formato de texto cifrado exigido por essa tarefa e o formato pode ser alterado sem aviso prévio.

O material de chaves importadas é compatível com todos os tipos de chaves do KMS, exceto as chaves do KMS em repositórios de chaves personalizados. No entanto, nas regiões da China, é possível importar material de chave de criptografia simétrica somente para chaves do KMS.

Ao usar material de chave importado, você permanece responsável pelo material de chaves, AWS KMS permitindo o uso de uma cópia dele. Você pode optar por fazer isso por um ou mais dos seguintes motivos:

  • Para comprovar que o material de chaves foi gerado usando uma origem de entropia que atende aos seus requisitos.

  • Para usar o material chave de sua própria infraestrutura com AWS serviços e AWS KMS para gerenciar o ciclo de vida desse material chave em seu interior. AWS

  • Para usar chaves existentes e bem estabelecidas AWS KMS, como chaves para assinatura de código, assinatura de certificado PKI e aplicativos fixados em certificados

  • Para definir um prazo de validade para o material de chave AWS e excluí-lo manualmente, mas também para disponibilizá-lo novamente no futuro. Por outro lado, programar a exclusão de chaves exige um período de espera de 7 a 30 dias, após os quais você não pode recuperar a chave do KMS excluída.

  • Possuir a cópia original do material principal e mantê-la do lado de fora AWS para maior durabilidade e recuperação de desastres durante todo o ciclo de vida do material principal.

  • Para chaves assimétricas e chaves HMAC, a importação cria chaves compatíveis e interoperáveis que operam dentro e fora dela. AWS

Você pode auditar e monitorar o uso e o gerenciamento de uma chave KMS com material de chave importado. AWS KMS registra um evento em seu AWS CloudTrail registro quando você cria a chave KMS, baixa a chave pública de empacotamento e o token de importação e importa o material da chave. AWS KMS também registra um evento quando você exclui manualmente o material de chave importado ou quando AWS KMS exclui material de chave expirado.

Para obter informações sobre diferenças importantes entre chaves KMS com material de chave importado e aquelas com material de chave gerado por AWS KMS, consulteSobre o material de chave importada.

Chaves do KMS compatíveis

AWS KMS suporta material de chave importado para os seguintes tipos de chaves KMS. Não é possível importar material de chave para chaves do KMS em repositórios de chaves personalizados. Nas regiões da China, é possível importar material de chave somente para chaves de criptografia simétrica.

Regiões

O material chave importado é suportado em todos Regiões da AWS os AWS KMS suportes.

Nas regiões da China, é possível importar material de chave somente para chaves do KMS. Além disso, os principais requisitos de material diferem de outras regiões. Para obter detalhes, consulte Importar o material de chave — etapa 3: Criptografar o material de chave.

Tópicos