导入密钥材料步骤 1:创建不带密钥材料的 AWS KMS 客户主密钥 (CMK) - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

导入密钥材料步骤 1:创建不带密钥材料的 AWS KMS 客户主密钥 (CMK)

默认情况下, 在AWS KMS创建 客户主密钥 () CMK时为您创建密钥材料。要改为导入您自己的密钥材料,请先创建CMK不带密钥材料的 。您可以通过 CMKs CMK的区分这两种类型的 。当 为您AWS KMS创建密钥材料时, CMK的源为 AWS_KMS。在创建CMK不带密钥材料的 时, CMK的源为 EXTERNAL,这表示密钥材料是在 外部生成的AWS KMS。

CMK 没有密钥材料的 处于待处理导入状态,无法使用。要使用它,您必须按下文所述导入密钥材料。导入密钥材料时, CMK的密钥状态更改为已启用。有关密钥状态的更多信息,请参阅密钥状态:对 CMK 的影响

要创建CMK不带密钥材料的 ,您可以使用 AWS 管理控制台 或 AWS KMS API。通过发出 HTTP 请求或通过 AWS 开发工具包命令行工具之一,您可以直接使用该 API。

AWS KMS 在AWS CloudTrail创建 CMK时, 在日志中记录一个条目,下载公有密钥和导入令牌,以及导入密钥材料。 AWS KMS 还会在删除导入的密钥材料或删除AWS KMS过期的密钥材料时记录一个条目。

创建CMK不带密钥材料的 (控制台)

您可以使用 AWS 管理控制台 创建CMK不带密钥材料的 。在执行此操作之前,您可以配置 控制台以在 列表中显示 Origin (源) 列CMKs。导入的密钥的 Origin (源) 值为 External (外部)

您只需CMK为导入的密钥材料创建一次。要将相同的密钥材料重新导入现有 中CMK,请参阅步骤 2: 下载公有密钥和导入令牌

  1. 登录 AWS 管理控制台并通过以下网址打开 AWS Key Management Service (AWS KMS) 控制台:https://console.aws.amazon.com/kms

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择 Customer managed keys (客户托管密钥)

  4. 选择 Create key

  5. 选择 Symmetric (对称)。您无法将密钥材料导入非对称 CMK。

  6. 展开 Advanced options (高级选项)

  7. 对于 Key material origin (密钥材料源),选择 External (外部)

    然后,选中 I understand the security, availability, and durability implications of using an imported key 旁边的复选框,表示您了解使用导入密钥材料的影响。要了解这些含义,请参阅关于导入的密钥材料

    选择 Next

  8. 键入别名并(可选)键入 的描述CMK。

    选择 Next

  9. (可选)。在 Add tags (添加标签) 页面上,添加用于标识或分类 的标签CMK。

    选择 Next

  10. Key administrators (密钥管理员) 部分中,选择可管理 的 IAM 用户和角色CMK。有关更多信息,请参阅允许密钥管理员管理 CMK

    注意

    IAM 策略可以向其他用户IAM和角色授予管理 的权限CMK。

  11. (可选)要阻止所选IAM用户和角色删除此 CMK,请在页面底部的 Key deletion (密钥删除) 部分中,清除 Allow key administrators to delete this key (允许密钥管理员删除此密钥) 复选框。

    选择 Next

  12. This account (此账户) 部分中,选择此IAM账户中可在AWSCMK加密操作中使用 的用户和角色。有关更多信息,请参阅允许密钥用户使用 CMK

    注意

    IAM 策略可以向其他用户IAM和角色授予使用 的权限CMK。

  13. (可选)您可以允许其他AWS账户CMK将此参数用于加密操作。为此,请在页面底部的 Other AWS accounts (其他账户) 部分中,选择 Add another AWS account (添加其他账户),然后输入外部账户AWS的账户标识号。要添加多个外部账户,请重复此步骤。

    注意

    要允许外部账户中的委托人使用 CMK,外部账户的管理员必须创建提供这些权限的 IAM 策略。有关更多信息,请参阅允许其他账户中的用户使用 CMK

    选择 Next

  14. 查看您选择的密钥设置。您仍然可以返回并更改所有设置。

  15. 完成后,选择 Finish (完成) 以创建密钥。

    如果操作成功,则您已创建一个CMK不带密钥材料的 。其状态为 Pending import (等待导入)。要立即继续执行该流程,请参阅下载公有密钥和导入令牌 (控制台)。要稍后继续此过程,请选择 Cancel (取消)

下一步: 步骤 2: 下载公有密钥和导入令牌.

创建CMK不带密钥材料的 (AWS KMS API)

要使用 AWS KMS API 创建CMK不带密钥材料的对称,请发送 CreateKey 请求,并将 Origin 参数设置为 EXTERNAL。以下示例说明如何使用 AWS Command Line Interface (AWS CLI) 执行该操作。

$ aws kms create-key --origin EXTERNAL

该命令成功执行后,您会看到类似以下内容的输出。CMK的 OriginEXTERNAL ,其 KeyStatePendingImport

{ "KeyMetadata": { "Origin": "EXTERNAL", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "Enabled": false, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingImport", "CreationDate": 1568289600.0, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333" "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

从命令输出中复制 CMK的密钥 ID 以便在后续步骤中使用,然后继续。 步骤 2: 下载公有密钥和导入令牌