As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Importação de material chave para AWS KMS chaves
É possível criar uma AWS KMS keys (chave do KMS) com material de chave que você fornece.
Uma chave do KMS é uma representação lógica de uma chave de criptografia. Os metadados de uma chave do KMS incluem o ID do material de chave usado para criptografar e descriptografar dados. Quando você cria uma chave do KMS, por padrão, o AWS KMS gera o material de chave para essa chave do KMS. No entanto, você pode criar uma chave do KMS sem material de chave e importar o seu próprio material de chaves para essa chave do KMS, um recurso normalmente conhecido como "traga sua própria chave" (BYOK).
nota
AWS KMS não suporta a descriptografia de nenhum texto AWS KMS cifrado fora do AWS KMS, mesmo que o texto cifrado tenha sido criptografado em uma chave KMS com material de chave importado. AWS KMS não publica o formato de texto cifrado exigido por essa tarefa e o formato pode ser alterado sem aviso prévio.
O material de chaves importadas é compatível com todos os tipos de chaves do KMS, exceto as chaves do KMS em repositórios de chaves personalizados.
Ao usar material de chave importado, você permanece responsável pelo material de chaves, AWS KMS permitindo o uso de uma cópia dele. Você pode optar por fazer isso por um ou mais dos seguintes motivos:
-
Para comprovar que o material de chaves foi gerado usando uma origem de entropia que atende aos seus requisitos.
-
Para usar o material chave de sua própria infraestrutura com AWS serviços e AWS KMS para gerenciar o ciclo de vida desse material chave em seu interior. AWS
-
Para usar chaves existentes e bem estabelecidas AWS KMS, como chaves para assinatura de código, assinatura de certificado PKI e aplicativos fixados em certificados
-
Para definir um prazo de validade para o material de chave AWS e excluí-lo manualmente, mas também para disponibilizá-lo novamente no futuro. Por outro lado, programar a exclusão de chaves exige um período de espera de 7 a 30 dias, após os quais você não pode recuperar a chave do KMS excluída.
-
Possuir a cópia original do material principal e mantê-la do lado de fora AWS para maior durabilidade e recuperação de desastres durante todo o ciclo de vida do material principal.
-
Para chaves assimétricas e chaves HMAC, a importação cria chaves compatíveis e interoperáveis que operam dentro e fora dela. AWS
Você pode auditar e monitorar o uso e o gerenciamento de uma chave KMS com material de chave importado. AWS KMS registra um evento em seu AWS CloudTrail registro quando você cria a chave KMS, baixa a chave pública de empacotamento e o token de importação e importa o material da chave. AWS KMS também registra um evento quando você exclui manualmente o material de chave importado ou quando AWS KMS exclui material de chave expirado.
Para obter informações sobre diferenças importantes entre chaves KMS com material de chave importado e aquelas com material de chave gerado por AWS KMS, consulteSobre o material de chave importada.
Chaves do KMS compatíveis
AWS KMS suporta material de chave importado para os seguintes tipos de chaves KMS. Não é possível importar material de chave para chaves do KMS em repositórios de chaves personalizados.
-
Chaves do KMS RSA assimétricas (para criptografia ou assinatura, mas não ambas)
-
Chaves KMS de curva elíptica assimétrica (ECC) (para assinar ou derivar segredos compartilhados, mas não ambas)
-
Chaves KMS SM2 assimétricas — somente regiões da China (para criptografia, assinatura ou derivação de segredos compartilhados)
-
Chaves multirregionais de todos os tipos compatíveis.
Regiões
O material chave importado é suportado em todos Regiões da AWS os AWS KMS suportes.
Nas regiões da China, os principais requisitos de material para chaves KMS de criptografia simétrica diferem de outras regiões. Para obter detalhes, consulte Importar o material de chave — etapa 3: Criptografar o material de chave.
Tópicos
