匯入 AWS KMS 金鑰的金鑰材料

您可利用您提供的金鑰資料來建立 AWS KMS keys (KMS 金鑰)。

KMS 金鑰是加密金鑰的邏輯表示。KMS 金鑰的中繼資料包括用於加密和解密資料的金鑰資料的 ID。當您建立 KMS 金鑰時， AWS KMS 預設會為該 KMS 金鑰產生金鑰材料。但是，您可以建立不含金鑰材料的 KMS 金鑰，然後將您自己的金鑰材料匯入該 KMS 金鑰。這項功能通常稱為「使用自有金鑰 (BYOK)」。

注意

AWS KMS 不支援解密以外的任何加 AWS KMS 密文字 AWS KMS，即使加密文字是使用匯入金鑰材料的 KMS 金鑰加密。 AWS KMS 不會發佈此工作所需的加密文字格式，且格式可能會變更，恕不另行通知。

所有類型的 KMS 金鑰都支援匯入的金鑰資料，但自訂金鑰存放區的 KMS 金鑰除外。然而，在中國區域，僅能匯入對稱加密金鑰資料至 KMS 金鑰。

使用匯入的關鍵材料時，您仍然對關鍵材料負責，同時允許 AWS KMS 使用該關鍵材料的複本。您可能因為以下一個或多個原因而選擇這樣做：

• 為證明您採用符合要求的熵來源產生金鑰資料。

• 將您自己基礎架構中的關鍵材料與 AWS 服務搭配使用，並用 AWS KMS 於管理其中關鍵材料的生命週期 AWS。

• 使用中現有且完善的金鑰 AWS KMS，例如用於程式碼簽署的金鑰、PKI 憑證簽署和憑證固定的應用程式

• 為中設定關鍵材料的到期時間 AWS 並手動刪除它，但也可以在 future 再次使用。反之，排程金鑰刪除需要等候 7 到 30 天，超過此期間將無法恢復已刪除的 KMS 金鑰。

• 擁有金鑰材料的原始副本，並在金鑰材料的 AWS 完整生命週期內將其保留在外面，以提高耐用性和災難復原。

• 對於非對稱金鑰和 HMAC 金鑰，匯入會建立在內外運作的相容且可互通的金鑰。 AWS

您可以使用匯入的金鑰材料稽核和監控 KMS 金鑰的使用和管理。 AWS KMS 當您建立 KMS 金鑰、下載包裝公開金鑰和匯入權杖，以及匯入金鑰材料時，會在記錄 AWS CloudTrail 檔中記錄事件。 AWS KMS 當您手動刪除匯入的金鑰材料或刪除過期的金鑰材料時，也 AWS KMS 會記錄事件。

如需有關 KMS 金鑰與匯入金鑰材料之間的重要差異資訊 AWS KMS，請參閱關於匯入的金鑰材料。

支援的 KMS 金鑰

AWS KMS 支援以下類型的 KMS 金鑰匯入金鑰材料。您無法匯入金鑰資料至自訂金鑰存放區的 KMS 金鑰。在中國區域，僅能匯入金鑰資料至對稱加密金鑰。

• 對稱加密 KMS 金鑰

• 非對稱 RSA KMS 金鑰 (用於加密或簽署，但不能同時使用)

• 非對稱橢圓曲線 (ECC) KMS 金鑰 (僅限簽署)

• HMAC KMS 金鑰

• 所有支援類型的多區域金鑰。

區域

所有 AWS KMS 支援的支援都支援匯入 AWS 區域 的關鍵材料。

在中國區域，僅能匯入金鑰資料至對稱加密 KMS 金鑰。此外，金鑰資料要求與其他區域不同。如需詳細資訊，請參閱 匯入金鑰材料步驟 3：加密金鑰材料。

主題

• 規劃匯入金鑰資料
• 受管匯入的金鑰資料
• 步驟 1：建立不含金鑰材料的 KMS 金鑰
• 步驟 2：下載包裝公有金鑰及匯入字符
• 步驟 3：加密金鑰材料
• 步驟 4：匯入金鑰材料