导入密钥材料 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

导入密钥材料

AWS KMS 提供一种导入用于 HBK 的加密材料的机制。如中所述正在呼叫 CreateKey,如果将 CreateKey命令Origin设置为EXTERNAL,则会创建一个不包含底层 HBK 的逻辑 KMS 密钥。必须使用 ImportKeyMaterial API 调用导入加密材料。您可以使用此功能来控制密钥创建和加密材料的持久性。如果您使用此功能,我们建议您在环境中处理这些密钥和持久性时格外小心。有关导入密钥材料的完整详细信息和建议,请参阅 AWS Key Management Service 开发人员指南中的导入密钥材料

正在呼叫 ImportKeyMaterial

ImportKeyMaterial 请求导入 HBK 的必要加密材料。加密材料必须是 256 位对称密钥。它必须使用 WrappingAlgorithm 中指定的算法在最近 GetParametersForImport 请求返回的公有密钥下进行加密。

ImportKeyMaterial 请求使用以下参数:

{ "EncryptedKeyMaterial": blob, "ExpirationModel": "string", "ImportToken": blob, "KeyId": "string", "ValidTo": number }
EncryptedKeyMaterial

导入的密钥材料使用 GetParametersForImport 请求中返回的公有密钥和该请求中指定的包装算法进行加密。

ExpirationModel

指定密钥材料是否过期。该值为 KEY_MATERIAL_EXPIRES 时,ValidTo 参数必须包含到期日期。该值为 KEY_MATERIAL_DOES_NOT_EXPIRE 时,不包含 ValidTo 参数。有效值为 "KEY_MATERIAL_EXPIRES""KEY_MATERIAL_DOES_NOT_EXPIRE"

ImportToken

提供该公有密钥的同一 GetParametersForImport 请求返回的导入令牌。

KeyId

将与导入的密钥材料关联的 KMS 密钥。KMS 密钥的 Origin 必须为 EXTERNAL

您可以删除并将同一导入的密钥材料重新导入指定的 KMS 密钥中,但无法导入任何其他密钥材料或将其与 KMS 密钥关联。

ValidTo

(可选)导入的密钥材料过期的时间。当密钥材料过期后,AWS KMS 将删除密钥材料,并且 KMS 密钥将变为不可用。在 ExpirationModel 的值为 KEY_MATERIAL_EXPIRES 时,则必须提供此参数,否则无效。

请求成功后,KMS 密钥即可在 AWS KMS 内使用,直至到达指定的过期日期(如已指定)。导入的密钥材料过期后,EKT 将从 AWS KMS 存储层中删除。