As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Importação de material chave para AWS KMS chaves
Você pode criar uma AWS KMS keys (KMSchave) com o material chave que você fornece.
Uma KMS chave é uma representação lógica de uma chave de dados. Os metadados de uma KMS chave incluem a ID do material de chave usado para realizar operações criptográficas. Quando você cria uma KMS chave, por padrão, AWS KMS gera o material da chave para essa KMS chave. Mas você pode criar uma KMS chave sem material de chave e depois importar seu próprio material de chave para essa KMS chave, um recurso geralmente conhecido como “traga sua própria chave” (BYOK).
nota
AWS KMS não suporta a decodificação de nenhum AWS KMS texto cifrado criptografado por uma chave de criptografia simétrica externa AWS KMS, mesmo que o texto cifrado tenha sido criptografado sob uma KMS chave com material de chave importado. KMS AWS KMS não publica o formato de texto cifrado exigido por essa tarefa e o formato pode ser alterado sem aviso prévio.
Ao usar material de chave importado, você permanece responsável pelo material de chaves, AWS KMS permitindo o uso de uma cópia dele. Você pode optar por fazer isso por um ou mais dos seguintes motivos:
-
Para comprovar que o material de chaves foi gerado usando uma origem de entropia que atende aos seus requisitos.
-
Para usar o material-chave de sua própria infraestrutura com AWS serviços e AWS KMS para gerenciar o ciclo de vida desse material chave interno. AWS
-
Para usar chaves existentes e bem estabelecidas AWS KMS, como chaves para assinatura de código, assinatura de PKI certificado e aplicativos fixados em certificados
-
Para definir um prazo de validade para o material de chave AWS e excluí-lo manualmente, mas também para disponibilizá-lo novamente no futuro. Por outro lado, programar a exclusão da chave requer um período de espera de 7 a 30 dias, após o qual você não pode recuperar a chave excluídaKMS.
-
Possuir a cópia original do material principal e mantê-la do lado de fora AWS para maior durabilidade e recuperação de desastres durante todo o ciclo de vida do material principal.
-
Para chaves e chaves assimétricas, a importação cria HMAC chaves compatíveis e interoperáveis que operam dentro e fora dela. AWS
Tipos de KMS chaves compatíveis
AWS KMS suporta material de chave importado para os seguintes tipos de KMS chaves. Você não pode importar material de KMS chaves para chaves em lojas de chaves personalizadas.
-
Chaves multirregionais de todos os tipos compatíveis.
Regiões
O material chave importado é suportado em todos Regiões da AWS os AWS KMS suportes.
Nas regiões da China, os principais requisitos de material para KMS chaves de criptografia simétrica diferem de outras regiões. Para obter detalhes, consulte Etapa 3: Criptografar o material de chave.
Saiba mais
-
Para criar KMS chaves com material de chave importado, consulteCriar uma chave do KMS com material de chave importado.
-
Para criar um alarme que notifique você quando o material de chave importado em uma KMS chave está se aproximando do prazo de expiração, consulte. Criar um alarme do CloudWatch para a expiração do material de chave importado
-
Para reimportar o material da chave em uma KMS chave, consulteReimportar material de chave.
-
Para identificar e visualizar KMS chaves com material de chave importado, consulteIdentificar chaves do KMS com material de chave importado.
-
Para saber mais sobre considerações especiais para excluir KMS chaves com material de chave importado, consulte. Deleting KMS keys with imported key material
