导入 AWS KMS 密钥的密钥材料

您可以使用您提供的密钥材料创建 AWS KMS keys（KMS 密钥）。

KMS 密钥是加密密钥的逻辑表示形式。KMS 密钥的元数据包括数据加密和解密所用密钥材料的 ID。默认情况下，当您创建 KMS 密钥时，AWS KMS 会为该 KMS 密钥生成密钥材料。但是，您可以创建不带密钥材料的 KMS 密钥，然后将自己的密钥材料导入该 KMS 密钥中，这个功能通常被称为“自带密钥 (BYOK)”。

注意

AWS KMS 不支持在 AWS KMS 以外解密任何 AWS KMS 密文，即使密文是使用带有导入密钥材料的 KMS 密钥加密的。AWS KMS 不会发布此任务所需的密文格式，格式可能会在不通知的情况下更改。

除自定义密钥存储中的 KMS 密钥外，所有类型的 KMS 密钥都支持导入的密钥材料。但是，在中国区域，您只能将对称加密密钥材料导入 KMS 密钥。

在使用导入的密钥材料时，您仍然需要对密钥材料负责，并允许 AWS KMS 使用其副本。出于以下一个或多个原因，您可以选择执行该操作：

• 证明使用符合您要求的熵源生成了密钥材料。

• 将来自您自己的基础设施的密钥材料与 AWS 服务配合使用，并使用 AWS KMS 管理该密钥材料在 AWS 内的生命周期。

• 在 AWS KMS 中使用现有的成熟密钥，例如用于代码签名、PKI 证书签名和证书固定的应用程序的密钥

• 在 AWS 中为密钥材料设置过期时间，并手动删除它，但也可以使其在未来再次可用。相比之下，计划密钥删除需要 7 到 30 天的等待期限，之后，您不能恢复已删除的 KMS 密钥。

• 拥有密钥材料的原始备份，并将其保存在 AWS 外部，以在密钥材料的整个生命周期内获得额外的持久性和灾难恢复能力。

• 对于非对称密钥和 HMAC 密钥，导入会创建兼容且可互操作的密钥，这些密钥可在 AWS 内部和外部运行。

您可以审计并监控 KMS 密钥及导入的密钥材料的使用和管理。当您创建 KMS 密钥、下载包装公有密钥和导入令牌以及导入密钥材料时，AWS KMS 将在 AWS CloudTrail 日志中记录一个事件。此外，当您手动删除导入的密钥材料或者在 AWS KMS 删除已过期的密钥材料时，AWS KMS 也会记录一个事件。

如需了解带有导入密钥材料的 KMS 密钥与带有 AWS KMS 生成的密钥材料的 KMS 密钥之间的重要区别，请参阅 关于导入的密钥材料。

支持的 KMS 密钥

AWS KMS 支持以下类型的 KMS 密钥的导入密钥材料。您无法将密钥材料导入自定义密钥存储中的 KMS 密钥。在中国区域，您只能将密钥材料导入对称加密密钥。

• 对称加密 KMS 密钥

• 非对称 RSA KMS 密钥（用于加密或签名，但不能同时用于两者）

• 非对称椭圆曲线（ECC）KMS 密钥（仅限签名）

• HMAC KMS 密钥

• 支持的所有类型的多区域密钥。

区域

AWS 区域 支持的所有 AWS KMS 中都支持导入的密钥材料。

在中国区域，您只能将密钥材料导入对称加密 KMS 密钥。此外，密钥材料要求与其他区域不同。有关详细信息，请参阅 导入密钥材料步骤 3：加密密钥材料。

主题

• 计划导入密钥材料
• 管理导入的密钥材料
• 步骤 1：创建不带密钥材料的 KMS 密钥
• 步骤 2：下载包装公有密钥和导入令牌
• 步骤 3：加密密钥材料
• 步骤 4：导入密钥材料