本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
导入密钥材料
AWS KMS 提供一种导入用于 HBK 的加密材料的机制。如中所述正在呼叫 CreateKey,如果将 CreateKey命令Origin
设置为EXTERNAL
,则会创建一个不包含底层 HBK 的逻辑 KMS 密钥。必须使用 ImportKeyMaterial
API 调用导入加密材料。您可以使用此功能来控制密钥创建和加密材料的持久性。如果您使用此功能,我们建议您在环境中处理这些密钥和持久性时格外小心。有关导入密钥材料的完整详细信息和建议,请参阅 AWS Key Management Service 开发人员指南中的导入密钥材料。
正在呼叫 ImportKeyMaterial
ImportKeyMaterial
请求导入 HBK 的必要加密材料。加密材料必须是 256 位对称密钥。它必须使用 WrappingAlgorithm
中指定的算法在最近 GetParametersForImport
请求返回的公有密钥下进行加密。
ImportKeyMaterial
请求使用以下参数:
{ "EncryptedKeyMaterial": blob, "ExpirationModel": "string", "ImportToken": blob, "KeyId": "string", "ValidTo": number }
- EncryptedKeyMaterial
-
导入的密钥材料使用
GetParametersForImport
请求中返回的公有密钥和该请求中指定的包装算法进行加密。 - ExpirationModel
-
指定密钥材料是否过期。该值为
KEY_MATERIAL_EXPIRES
时,ValidTo
参数必须包含到期日期。该值为KEY_MATERIAL_DOES_NOT_EXPIRE
时,不包含ValidTo
参数。有效值为"KEY_MATERIAL_EXPIRES"
和"KEY_MATERIAL_DOES_NOT_EXPIRE"
。 - ImportToken
-
提供该公有密钥的同一
GetParametersForImport
请求返回的导入令牌。 - KeyId
-
将与导入的密钥材料关联的 KMS 密钥。KMS 密钥的
Origin
必须为EXTERNAL
。您可以删除并将同一导入的密钥材料重新导入指定的 KMS 密钥中,但无法导入任何其他密钥材料或将其与 KMS 密钥关联。
- ValidTo
-
(可选)导入的密钥材料过期的时间。当密钥材料过期后,AWS KMS 将删除密钥材料,并且 KMS 密钥将变为不可用。在
ExpirationModel
的值为KEY_MATERIAL_EXPIRES
时,则必须提供此参数,否则无效。
请求成功后,KMS 密钥即可在 AWS KMS 内使用,直至到达指定的过期日期(如已指定)。导入的密钥材料过期后,EKT 将从 AWS KMS 存储层中删除。