导入密钥的 AWS KMS 密钥材料 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

导入密钥的 AWS KMS 密钥材料

您可以使用您提供的密钥材料创建 AWS KMS keys(KMS 密钥)。

KMS 密钥是加密密钥的逻辑表示形式。KMS 密钥的元数据包括数据加密和解密所用密钥材料的 ID。默认情况下,当您创建 KMS 密钥时, AWS KMS 会为该 KMS 密钥生成密钥材料。但是,您可以创建不带密钥材料的 KMS 密钥,然后将自己的密钥材料导入该 KMS 密钥中,这个功能通常被称为“自带密钥 (BYOK)”。

注意

AWS KMS 不支持解密外部的任何密文 AWS KMS,即使 AWS KMS 密文是在 KMS 密钥下使用导入的密钥材料加密的。 AWS KMS 不会发布此任务所需的密文格式,并且格式可能会更改,恕不另行通知。

自定义密钥存储中的 KMS 密钥外,所有类型的 KMS 密钥都支持导入的密钥材料。但是,在中国区域,您只能将对称加密密钥材料导入 KMS 密钥。

当您使用导入的密钥材料时,您仍需对密钥材料负责,同时 AWS KMS 允许使用密钥材料的副本。出于以下一个或多个原因,您可以选择执行该操作:

  • 证明使用符合您要求的熵源生成了密钥材料。

  • 将您自己的基础设施中的密钥材料与 AWS 服务一起使用,并用于管理 AWS KMS 其中的密钥材料的生命周期 AWS。

  • 在中使用现有的、成熟的密钥 AWS KMS,例如用于代码签名、PKI 证书签名和证书固定的应用程序的密钥

  • 为中的密钥材料设置过期时间 AWS 并手动将其删除,但也可以使其在将来再次可用。相比之下,计划密钥删除需要 7 到 30 天的等待期限,之后,您不能恢复已删除的 KMS 密钥。

  • 拥有密钥材料的原始副本,并将其保存在外部,以便在密钥材料 AWS 的整个生命周期中提高耐用性和灾难恢复。

  • 对于非对称密钥和 HMAC 密钥,导入会创建兼容且可互操作的密钥,这些密钥可在内部和外部运行。 AWS

您可以使用导入的密钥材料来审核和监控 KMS 密钥的使用和管理。 AWS KMS 在创建 KMS 密钥、下载封装公钥和导入令牌以及导入密钥材料时,会在 AWS CloudTrail 日志中记录事件。 AWS KMS 还会记录手动删除导入的密钥材料或 AWS KMS 删除过期的密钥材料时的事件。

有关使用导入密钥材料的 KMS 密钥与使用由生成的密钥材料的 KMS 密钥之间重要区别的信息 AWS KMS,请参阅关于导入的密钥材料

支持的 KMS 密钥

AWS KMS 支持以下类型的 KMS 密钥的导入密钥材料。您无法将密钥材料导入自定义密钥存储中的 KMS 密钥。在中国区域,您只能将密钥材料导入对称加密密钥。

区域

所有支持的密钥材料均 AWS 区域 支持导入的密钥材料。 AWS KMS

在中国区域,您只能将密钥材料导入对称加密 KMS 密钥。此外,密钥材料要求与其他区域不同。有关更多信息,请参阅 导入密钥材料步骤 3:加密密钥材料