导入密钥的 AWS KMS 密钥材料

您可以使用您提供的密钥材料创建 AWS KMS keys （KMS 密钥）。

KMS 密钥是数据密钥的逻辑表示形式。KMS 密钥的元数据包括用于执行加密操作的密钥材料的 ID。在创建 KMS 密钥时，默认情况下， AWS KMS 会生成该 KMS 密钥的密钥材料。但是，您可以创建不带密钥材料的 KMS 密钥，然后将自己的密钥材料导入该 KMS 密钥中，这个功能通常被称为“自带密钥 (BYOK)”。

注意

AWS KMS 不支持解密通过外部对称加 AWS KMS 密 KMS 密钥加密的任何密文 AWS KMS，即使密文是使用导入的密钥材料在 KMS 密钥下加密的。 AWS KMS 不会发布此任务所需的密文格式，并且格式可能会更改，恕不另行通知。

当您使用导入的密钥材料时，您仍需对密钥材料负责，同时 AWS KMS 允许使用密钥材料的副本。出于以下一个或多个原因，您可以选择执行该操作：

• 证明使用符合您要求的熵源生成了密钥材料。

• 将您自己的基础设施中的密钥材料与 AWS 服务一起使用，并用于管理 AWS KMS 其中的密钥材料的生命周期 AWS。

• 在中使用现有的、成熟的密钥 AWS KMS，例如用于代码签名、PKI 证书签名和证书固定的应用程序的密钥

• 为中的密钥材料设置过期时间 AWS 并手动将其删除，但也可以使其在将来再次可用。相比之下，计划密钥删除需要 7 到 30 天的等待期限，之后，您不能恢复已删除的 KMS 密钥。

• 拥有密钥材料的原始副本，并将其保存在外部，以便在密钥材料 AWS 的整个生命周期中提高耐用性和灾难恢复。

• 对于非对称密钥和 HMAC 密钥，导入会创建兼容且可互操作的密钥，这些密钥可在内部和外部运行。 AWS

支持的 KMS 密钥类型

AWS KMS 支持以下类型的 KMS 密钥的导入密钥材料。您无法将密钥材料导入自定义密钥存储中的 KMS 密钥。

• 对称加密 KMS 密钥

• 非对称 KMS 密钥

• HMAC KMS 密钥

• 支持的所有类型的多区域密钥。

区域

所有支持的密钥材料均 AWS 区域 支持导入的密钥材料。 AWS KMS

在中国区域，对称加密 KMS 密钥的密钥材料要求与其他区域不同。有关详细信息，请参阅步骤 3：加密密钥材料。

了解更多

• 要创建具有导入密钥材料的 KMS 密钥，请参阅删除具有导入密钥材料的 KMS 密钥。

• 要创建警报以在 KMS 密钥中导入的密钥材料即将到期时通知您，请参阅为导入的密钥材料过期创建 CloudWatch 警报。

• 要将密钥材料重新导入 KMS 密钥中，请参阅重新导入密钥材料。

• 要识别和查看带导入的密钥材料的 KMS 密钥，请参阅识别带导入的密钥材料的 KMS 密钥。

• 如需了解删除带导入的密钥材料的 KMS 密钥的特殊注意事项，请参阅Deleting KMS keys with imported key material。