As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Importar material de chaves em chaves do AWS KMS
É possível criar uma AWS KMS keys (chave do KMS) com material de chave que você fornece.
Uma chave do KMS é uma representação lógica de uma chave de criptografia. Os metadados de uma chave do KMS incluem o ID do material de chave usado para criptografar e descriptografar dados. Quando você cria uma chave do KMS, por padrão, o AWS KMS gera o material de chave para essa chave do KMS. No entanto, você pode criar uma chave do KMS sem material de chave e importar o seu próprio material de chaves para essa chave do KMS, um recurso normalmente conhecido como "traga sua própria chave" (BYOK).
nota
O AWS KMS não é compatível com a descriptografia de texto cifrado do AWS KMS fora do AWS KMS, mesmo que o texto cifrado tenha sido criptografado em uma chave do KMS com material de chave importado. O AWS KMS não publica o formato de texto cifrado exigido por essa tarefa, e o formato pode ser alterado sem aviso prévio.
O material de chave importado só é compatível com chaves do KMS de criptografia simétrica em armazenamentos de chaves do AWS KMS, incluindo chaves do KMS de criptografia simétrica de várias regiões. Ele não é compatível com chaves do KMS assimétricas, chaves do KMS de Hash-based message authentication code (HMAC – Código de autenticação de mensagem por hash) ou chaves do KMS em armazenamentos personalizados de chaves.
Ao usar o material de chaves importadas, você continua responsável pelo material de chaves enquanto permite que o AWS KMS use uma cópia dele. Você pode optar por fazer isso por um ou mais dos seguintes motivos:
-
Para comprovar que você gerou o material de chaves usando uma origem de entropia que atende aos seus requisitos.
-
Para usar o material de chaves de sua própria infraestrutura com serviços da AWS, e usar o AWS KMS para gerenciar o ciclo de vida desse material de chaves na AWS.
-
Para definir um horário de validade do material de chaves na AWS e para excluí-lo manualmente, mas também para disponibilizá-lo novamente no futuro. Por outro lado, programar a exclusão de chaves exige um período de espera de 7 a 30 dias, após os quais você não pode recuperar a chave do KMS excluída.
-
Para possuir a cópia original do material de chave e mantê-lo fora da AWS para durabilidade adicional e recuperação de desastres durante o ciclo de vida completo do material de chave.
Quando seu material de chave de importação, você o protege em trânsito criptografando-o com a chave pública de um key pair RSA que oAWS KMS gera e enviando-o com um token de importação que identifica exclusivamente a chave KMS. Antes de armazenar seu material de chave importado,AWS KMS criptografa-o novamente com uma chave simétrica AES em um móduloAWS KMS de segurança de hardware.
É possível monitorar o uso e o gerenciamento de uma chave do KMS com material de chave importado. O AWS KMS registra uma entrada no log do AWS CloudTrail quando você cria a chave do KMS, baixa a chave pública e importa o token e importa o material de chave. O AWS KMS também registra uma entrada quando você exclui manualmente o material de chave importado ou quando o AWS KMS exclui o material de chave expirado.
Para obter mais informações sobre diferenças importantes entre as chaves do KMS com material de chaves importado e aquelas com material de chaves gerado pelo AWS KMS, consulte Sobre o material de chave importada.
Regiões
O material de chaves importado é compatível com todas as Regiões da AWS às quais o AWS KMS oferece suporte. Os requisitos para o material de chaves importado são diferentes nas regiões da China. Para obter detalhes, consulte Importar o material de chave — etapa 3: Criptografar o material de chave.
Tópicos
Sobre o material de chave importada
Antes de decidir importar o material de chaves para o AWS KMS, você deve entender as seguintes características do material de chaves importadas.
- Você gera o material de chave
Você é responsável por gerar o material de chaves usando uma origem de aleatoriedade que atende aos seus requisitos de segurança. O material de chave importado deve ser uma chave de criptografia simétrica de 256 bits, exceto nas regiões da China, em que ele deve ser uma chave de criptografia simétrica de 128 bits.
- Você pode excluir o material de chave.
-
Você pode excluir material de chave importado de uma chave do KMS, tornando imediatamente a chave do KMS inutilizável. Além disso, cada vez que você importar material de chave para chave do KMS, é possível ativar e desativar a expiração e alterar o prazo de validade. Quando o prazo de validade chegar, o AWS KMS excluirá o material de chave. Sem o material de chave, a chave do KMS não pode ser usada em nenhuma operação criptográfica. Para restaurar a chave, é necessário reimportar o mesmo material de chave para a chave.
- Não é possível alterar o material de chave
Quando você importa o material de chave para uma chave do KMS, esta é associada permanentemente a esse material de chave. Você pode reimportar o mesmo material de chaves, mas não pode importar outro material de chaves para essa chave do KMS. Além disso, não é possível habilitar a alternância automática de chaves de uma chave do KMS com material de chaves importado. No entanto, você pode alternar manualmente uma chave do KMS com material de chave importado.
- Não é possível alterar a origem do material de chave
As chaves do KMS projetadas para material de chave importado têm um valor de origem de
EXTERNALque não pode ser alterado. Não é possível converter uma chave do KMS para material de chave importado para usar material de chave de qualquer outra fonte, incluindo o AWS KMS.- Não é possível descriptografar com nenhuma outra chave do KMS
Quando você criptografa os dados sob uma chave do KMS, o texto cifrado é associado permanentemente à chave do KMS e ao seu material de chave. Ele não pode ser descriptografado com nenhuma outra chave do KMS, incluindo uma chave do KMS diferente com o mesmo material de chave. Este é um recurso de segurança das chaves do KMS.
A única exceção são chaves de várias regiões, que foram projetadas para serem interoperáveis. Para obter detalhes, consulte Por que nem todas as chaves do KMS com material de chave importado são interoperáveis?.
- Sem portabilidade ou recursos de garantia
Os textos cifrados simétricos produzidos pelo AWS KMS não são portáteis. O AWS KMS não publica o formato de texto cifrado simétrico exigido pela portabilidade, e o formato pode ser alterado sem aviso prévio.
-
O AWS KMS não pode descriptografar textos cifrados simétricos que você criptografa fora da AWS, mesmo usando material de chave que você importou.
-
O AWS KMS não é compatível com a descriptografia de texto cifrado do AWS KMS fora da AWS KMS, mesmo que o texto cifrado tenha sido criptografado em uma chave do KMS com material de chave importado.
Além disso, você não pode usar nenhuma ferramenta da AWS, como o AWS Encryption SDK ou a criptografia do lado do cliente do Amazon S3, para descriptografar textos cifrados simétricos do AWS KMS.
Como resultado, não é possível usar chaves com material de chave importada para oferecer suporte a acordos de garantia de chave em que um terceiro autorizado com acesso condicional ao material de chave possa descriptografar determinados textos cifrados fora do AWS KMS. Para oferecer suporte à garantia de chave, use o AWS Encryption SDK para criptografar sua mensagem em uma chave que seja independente do AWS KMS.
-
- Você é responsável pela disponibilidade e durabilidade
Você é responsável pela disponibilidade e durabilidade gerais do material de chaves. AWS KMS é criado para manter o material de chaves importado altamente disponível. No entanto, o AWS KMS não mantém a durabilidade do material de chave importada no mesmo nível que o material de chave gerado pelo AWS KMS. Para restaurar o material de chave importado que foi excluído de uma chave do KMS, é necessário manter uma cópia do material de chaves em um sistema controlado por você. Recomendamos armazenar uma cópia exportável do material de chave importado em um sistema de gerenciamento de chaves, como um módulo de segurança de hardware (HSM).
Essa diferença é importante nos seguintes casos:
-
Ao definir um tempo de validade para o material de chave importado, o AWS KMS exclui esse material depois que ele expira. O AWS KMS não exclui a chave do KMS ou seus metadados. Você pode criar um CloudWatch alarme da Amazon que envia uma notificação quando estiver se aproximando da data de validade.
Você não pode excluir o material de chave gerado pelo AWS KMS para uma chave do KMS nem definir o material de chave do AWS KMS para expirar, embora possa alterná-lo.
-
Quando você exclui manualmente o material de chave importado, o AWS KMS exclui esse material, mas não exclui a chave do KMS ou seus metadados. Por outro lado, programar a exclusão de chaves exige um período de espera de 7 a 30 dias, após o qual o AWS KMS exclui permanentemente a chave do KMS, seus metadados e o material de chave.
-
No improvável evento de determinadas falhas regionais afetarem o AWS KMS (tais como uma queda de energia), o AWS KMS não poderá restaurar automaticamente seu material de chave importado. No entanto, o AWS KMS pode restaurar a chave do KMS e seus metadados.
-
Permissões para importar material de chave
Para criar e gerenciar chaves do KMS com material de chave importado, o usuário precisa de permissão para as operações nesse processo. Você pode fornecer as permissões kms:GetParametersForImport, kms:ImportKeyMaterial e kms:DeleteImportedKeyMaterial na política de chaves ao criar a chave do KMS. No console do AWS KMS, essas permissões são adicionadas automaticamente para administradores de chaves quando você cria uma chave com uma origem externa de material de chave.
Para criar chaves do KMS com material de chave importado, a entidade principal precisa das permissões a seguir.
kms:CreateKey (política do IAM)
-
Para limitar essa permissão a chaves do KMS com material de chave importado, use a condiçãoKeyOrigin de política kms: com um valor de
EXTERNAL.{ "Sid": "CreateKMSKeysWithoutKeyMaterial", "Effect": "Allow", "Resource": "*", "Action": "kms:CreateKey", "Condition": { "StringEquals": { "kms:KeyOrigin": "EXTERNAL" } } }
-
-
kms:GetParametersForImport (Política principal ou política do IAM)
-
Para limitar essa permissão a solicitações que usem um algoritmo de quebra e especificação de chave de quebra, use as condições deWrappingKeySpec política kms:WrappingAlgorithm e kms:.
-
-
kms:ImportKeyMaterial (Política principal ou política do IAM)
-
Para permitir ou proibir material de chave que expire e controlar a data de validade, use as condições deValidTo política kms:ExpirationModel e kms: e kms:.
-
Para reimportar material de chave importado, a entidade principal precisa dasImportKeyMaterial permissões kms:GetParametersForImport e kms:.
Para excluir material de chave importado, a entidade principal precisa daDeleteImportedKeyMaterial permissão kms:.
Por exemplo, para permitir que o exemplo KMSAdminRole gerencie todos os aspectos de uma chave do KMS com material de chave importado, inclua uma declaração de política de chaves como a seguinte na política de chaves da chave do KMS.
{ "Sid": "Manage KMS keys with imported key material", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole" }, "Action": [ "kms:GetParametersForImport", "kms:ImportKeyMaterial", "kms:DeleteImportedKeyMaterial" ] }
Definir um prazo de validade (opcional)
Ao importar o material de chave para a chave do KMS, você pode definir uma data e hora de validade opcionais para o material de chave de até 365 dias a partir da data de importação. Quando o material de chave importado expira, o AWS KMS o exclui. Essa ação altera estado de chave da chave do KMS para PendingImport, impedindo que ela seja usada em operações de criptografia. Para usar a chave do KMS, você deve reimportar uma cópia do material de chave original. Ao reimportar o material de chave, é possível ativar e desativar a expiração e definir um novo prazo de validade.
Garantir que o material de chave importado expire com frequência pode ajudar a atender aos requisitos regulatórios, mas aumenta o risco dos dados criptografados sob a chave do KMS. Até que você reimporte uma cópia do material da chave original, uma chave do KMS com material de chave expirado ficará inutilizável, e todos os dados criptografados sob a chave do KMS ficarão inacessíveis. Se você não reimportar o material da chave por qualquer motivo, inclusive por perda da cópia do material da chave original, a chave do KMS ficará permanentemente inutilizável, e os dados criptografados sob a chave do KMS ficarão irrecuperáveis.
Para mitigar esse risco, verifique se sua cópia do material de chaves importado está acessível e crie um sistema para excluir e reimportar o material da chave antes que ele expire e interrompa sua workload da AWS. Recomendamos definir um alarme para a expiração do material de chave importado, o que lhe dará tempo suficiente para reimportar o material da chave antes que ele expire. Você também pode usar seus CloudTrail logs para auditar operações que importam (e reimportamAWS KMS) material de chave expirado.
Você pode importar material de chave diferente para a chave do KMS, e o AWS KMS não pode restaurar, recuperar ou reproduzir o material da chave excluído. Em vez de definir um prazo de validade, você pode excluir e reimportar o material de chave importado de maneira programática periodicamente, mas os requisitos para reter uma cópia do material da chave original são os mesmos.
Ao importar o material de chave, você determina se o material de chave importado expirará e quando isso ocorrerá. Mas é possível ativar e desativar a expiração ou definir um novo prazo de validade excluindo e reimportando o material da chave. Use oExpirationModel parâmetro of ImportKeyMaterialpara ativar e desativar a expiração (KEY_MATERIAL_DOES_NOT_EXPIRE) e oValidTo parâmetro para definir o tempo de expiração.KEY_MATERIAL_EXPIRES O tempo máximo é de 365 dias a partir da importação de dados. Não há mínimo, mas o tempo deve estar no futuro.
Como importar o material de chave
A visão geral a seguir explica o processo para importar seu material de chaves para o AWS KMS. Para obter mais detalhes sobre cada etapa no processo, consulte o tópico correspondente.
-
Criar uma chave do KMS de criptografia simétrica sem material de chave: a especificação de chave deve ser
SYMMETRIC_DEFAULTe a origem deve serEXTERNAL. Uma origem de chave deEXTERNALindica que a chave foi projetada para material de chave importado e evita que o AWS KMS gere material de chave para a chave do KMS. Em uma etapa posterior, você importará seu próprio material de chave para essa chave do KMS. -
Baixar a chave pública e o token de importação – depois de concluir a etapa 1, baixe uma chave publica e um token de importação. Esses itens protegem a importação de seu material de chaves para o AWS KMS.
-
Criptografar o material de chaves – use a chave pública baixada na etapa 2 para criptografar o material de chaves que você criou no seu próprio sistema.
-
Importar o material de chaves – carregue o material de chave criptografado que você criou na etapa 3 e o token de importação que você baixou na etapa 2.
Nessa etapa, é possível definir um prazo de validade opcional. Quando o material de chave importado expira, o AWS KMS o exclui, e a chave do KMS torna-se inutilizável. Para continuar usando a chave do KMS, você deve reimportar o material de chave
same.Quando a operação de importação é concluída com êxito, o estado da chave KMS muda de
PendingImportparaEnabled. Agora, você pode usar suas chaves do KMS em operações de criptografia.
O AWS KMS registra uma entrada no log do AWS CloudTrail quando você cria a chave do KMS, baixa a chave pública e importa o token e importa o material de chave. O AWS KMS também registra uma entrada quando você exclui o material de chave importado ou quando o AWS KMS exclui o material de chave expirado.
Como importar novamente o material de chave
Se você gerencia uma chave do KMS com material de chaves importado, talvez seja necessário importar novamente o material de chave. Você também reimportar material de chave para substituir material de chave prestes a expirar ou excluído ou para definir, eliminar ou alterar o prazo de validade do material de chave. Não é possível converter uma chave do KMS projetada para material de chave importado em umaAWS KMS chave com material de chave.
Você pode reimportar material da chave a qualquer momento, em qualquer programação que atenda aos seus requisitos de segurança. Não é necessário esperar até que o material da chave esteja expirando ou prestes a expirar.
Para importar novamente um material de chaves, use o mesmo procedimento que você usou para importar o material de chaves na primeira vez, com as seguintes exceções.
-
Utilize uma chave do KMS existente em vez de criar uma nova. Você pode ignorar a Etapa 1 do procedimento de importação.
-
Você deve importar novamente o mesmo material de chave importado originalmente para a chave do KMS. Não é possível importar outro material de chave para uma chave do KMS.
-
Se a chave do KMS importou o material de chave importado, você deve excluir o material de chave importado existente antes de importá-lo novamente.
-
É necessário baixar uma chave pública e token de importação para cada operação de importação. Você pode usar o mesmo algoritmo de encapsulamento ou um diferente para cada operação de importação em uma chave KMS.
-
Ao reimportar material de chave, é possível ativar e desativar operações posteriores e alterar o prazo de validade.
Cada vez que você importa o material de chave para uma chave do KMS, é necessário baixar e usar uma nova chave de empacotamento e token de importação da chave do KMS. O procedimento de empacotamento não afeta o conteúdo do material de chave, portanto você pode usar diferentes chaves de empacotamento (e diferentes tokens de importação) para importar o mesmo material de chave.
Como identificar chaves do KMS com material de chave importado
Quando você cria uma chave do KMS sem material de chave, o valor da propriedade Origin dessa chave do KMS é EXTERNAL e não pode ser alterado. Ao contrário do key state (estado da chave), o valor Origin não depende da presença ou ausência de material de chave.
Você pode usar o valor de origem EXTERNAL para identificar chaves do KMS projetadas para material de chave importado. Você pode visualizar o status de conexão noAWS KMS console do ou usando a DescribeKeyoperação. Também é possível exibir as propriedades do material de chave, como se e quando ela expira, usando o console ou as APIs.
Para identificar chaves do KMS com material de chave importado (console)
-
Abra o console do AWS KMS em https://console.aws.amazon.com/kms
. -
Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.
-
Use uma das seguintes técnicas para visualizar a propriedade
Origindas suas chaves do KMS.-
Para adicionar uma coluna Origin (Origem) à sua tabela de chaves do KMS, no canto superior direito, escolha o ícone Settings (Configurações). Selecione Origin (Origem) e clique em Confirm (Confirmar). A coluna Origin (Origem) facilita a identificação das chaves do KMS com um valor de propriedade de origem
EXTERNAL. -
Para encontrar o valor da propriedade
Originde uma chave do KMS específica, escolha o ID de chave ou a alias da chave do KMS. Em seguida, escolha a guia Configuration (Configuração). As guias estão abaixo da seção General configuration (Configuração geral).
-
Para exibir informações detalhadas sobre o material de chave, escolha a guia Key material (Material de chave). Essa guia é exibida na página de detalhes apenas para chaves do KMS com material de chave importado.
Para identificar chaves do KMS com material de chave importado (API do AWS KMS)
Use a DescribeKeyoperação. A resposta inclui a propriedade Origin da chave do KMS, o modelo de validade e a data de validade, como mostra o exemplo a seguir.
$aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyMetadata": { "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Origin": "EXTERNAL", "ExpirationModel": "KEY_MATERIAL_EXPIRES" "ValidTo": 2023-03-08T12:00:00+00:00, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "CreationDate": 2018-06-09T00:06:50.831000+00:00, "Enabled": false, "MultiRegion": false, "Description": "", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingImport", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }
Criar um CloudWatch alarme para expirar material de chave importado
Você pode criar um CloudWatch alarme que envia uma notificação quando o material de chave importado em uma chave do KMS estiver se aproximando da data de validade. Por exemplo, o alarme pode notificá-lo quando faltarem menos de 30 dias para a expiração.
Ao importar o material de chave para uma chave do KMS, é possível especificar opcionalmente uma data e hora quando o material de chave expira. Quando o material de chave perde a validade, o AWS KMS exclui o material de chave e a chave KMS se torna inutilizável. Para usar a chave do KMS novamente, você deve reimportar o material de chave. No entanto, se você reimportar o material de chave antes que ele expire, você poderá evitar interromper processos que usem essa chave do KMS.
Esse alarme usa a SecondsUntilKeyMaterialExpiresmétrica que oAWS KMS publica CloudWatch para chaves do KMS com material de chave importado que expira. Cada alarme usa essa métrica para monitorar o material de chave importado para uma chave específica do KMS. Você não pode criar um alarme único para todas as chaves do KMS com material de chave expirado ou um alarme para chaves do KMS que você possa vir a criar futuramente.
Requisitos
Os recursos a seguir são exigidos para monitorar a expiração do material de chave importado. CloudWatch
-
Uma chave do KMS com material de chave importado que expira. Para obter ajuda, consulte Como identificar chaves do KMS com material de chave importado.
-
Um tópico do Amazon SNS. Para obter detalhes, consulte Criar um tópico do Amazon SNS no Guia CloudWatch do usuário da Amazon.
Criar o alarme
Siga as instruções em Criar um CloudWatch alarme com base em um limite estático usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Value (Valor) |
|---|---|
| Selecionar métrica |
Escolha KMS e, em seguida, selecione Per-Key Metrics (Métricas por chave). Selecione a linha com a chave do KMS e a métrica A lista Metrics (Métricas) exibe a métrica |
| Estatística | Mínimo |
| Período | 1 minuto |
| Tipo de limite | Estático |
| Sempre que… | Sempre que o nome da métrica for maior que 1 |
Excluir o material de chave importada
Você pode excluir o material de chave importado de uma chave do KMS a qualquer momento. Além disso, quando o material de chave importado com data de validade expira, o AWS KMS exclui o material da chave. Nos dois casos, o AWS KMS exclui o material da chave imediatamente, o estado de chave da chave do KMS muda para Importação pendente e a chave do KMS não pode ser usada em nenhuma operação criptográfica.
No entanto, essas ações não excluem a chave KMS. Para usar a chave do KMS novamente, você deverá reimportar o mesmo material de chaves para a chave do KMS. Entretanto, a exclusão de uma chave do KMS é irreversível. Quando você programa a exclusão de chaves e o período de espera necessário expira, o AWS KMS exclui o material de chave e todos os metadados associados à chave do KMS.
Você pode usar o AWS Management Console ou a API do AWS KMS para excluir o material de chaves. Você pode usar a API diretamente, fazendo solicitações HTTP ou usando um AWS SDK
O AWS KMS registra uma entrada no log do AWS CloudTrail quando você exclui o material de chave importada e quando o AWS KMS exclui o material de chave expirado.
Tópicos
Como a exclusão do material de chave afeta os serviços da AWS
Quando você exclui o material da chave, a chave do KMS sem material da chave torna-se inutilizável imediatamente (sujeita a consistência posterior). Porém, os recursos criptografados com chaves de dados protegidas pela chave do KMS não são afetados até que a chave do KMS seja usada novamente, por exemplo, para descriptografar a chave de dados. Esse problema afeta os Serviços da AWS, pois muitos deles usam chaves de dados para proteger recursos. Para obter detalhes, consulte Como as chaves do KMS inutilizáveis afetam as chaves de dados.
Excluir material de chave (console)
Você pode usar o AWS Management Console para excluir o material de chaves.
-
Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms
. -
Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.
-
No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).
-
Faça um dos seguintes procedimentos:
-
Marque a caixa de seleção de uma chave do KMS com material de chave importado. Escolha Key actions (Ações de chave), Delete key material (Excluir material de chaves).
-
Escolha o alias ou ID de uma chave do KMS com material de chave importado. Escolha a guia Key material (Material de chaves) e, em seguida, Delete key material (Excluir material de chave).
-
-
Confirme que você deseja excluir o material de chaves e selecione Delete key material (Excluir material de chaves). O status da chave do KMS, que corresponde ao seu estado de chave, muda para Pending import (Importação pendente).
Excluir o material de chave (API do AWS KMS)
Para usar a AWS KMSAPI para excluir material importante, envie uma DeleteImportedKeyMaterialsolicitação. O exemplo a seguir mostra como fazer isso com a AWS CLI
Substitua 1234abcd-12ab-34cd-56ef-1234567890ab
$aws kms delete-imported-key-material --key-id1234abcd-12ab-34cd-56ef-1234567890ab
