导入的密钥材料的特殊注意事项 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

导入的密钥材料的特殊注意事项

在决定将密钥材料导入之前 Amazon KMS,您应该了解导入的密钥材料的以下特征。

您可以生成密钥材料

您负责使用符合您的安全要求的随机源来生成密钥材料。

您需要对可用性和持久性负责

Amazon KMS 旨在保持导入的密钥材料的高可用性。但是 Amazon KMS 不能将进口密钥材料的耐久性保持在与 Amazon KMS 生成的密钥材料相同的水平。有关更多信息,请参阅 保护导入的密钥材料

您可以删除密钥材料

您可以从 KMS 密钥中删除导入的密钥材料,以便立即使 KMS 密钥不可用。此外,当您将密钥材料导入 KMS 密钥中时,您可以确定密钥是否到期,并设置其到期时间。到期时间到来时, Amazon KMS 删除密钥材料。如果没有密钥材料,则该 KMS 密钥无法用于任何加密操作。要还原密钥,必须将相同密钥材料重新导入到密钥中。

您无法更改非对称密钥、HMAC 密钥和多区域密钥的密钥材料

当您将密钥材料导入 KMS 密钥中时,该 KMS 密钥将与该密钥材料永久关联。您可以重新导入相同的密钥材料,但不能将不同的密钥材料导入该 KMS 密钥。而且,您不能为具有导入密钥材料的 KMS 密钥启用自动密钥轮换。但是,您可以手动轮换带有导入密钥材料的 KMS 密钥。

您可以按需轮换单区域、对称的加密密钥

带有导入密钥材料的单区域对称加密密钥支持按需轮换。您可以将多个密钥材料导入这些密钥,并使用按需轮换来更新当前密钥材料。当前密钥材料用于加密和解密,但其他(非当前)密钥材料只能用于解密。

您无法更改密钥材料源

专用于导入的密钥材料的 KMS 密钥拥有一个 EXTERNAL值,该值无法更改。您不能将导入的密钥材料的 KMS 密钥转换为使用任何其他来源(包括)的密钥材料 Amazon KMS。同样,您不能将包含密钥材料的 KMS Amazon KMS 密钥转换为专为导入的密钥材料而设计的密钥。

您无法导出密钥材料

您无法导出您导入的任何密钥材料。 Amazon KMS 无法以任何形式将导入的密钥材料退还给您。您必须在外部保存导入的密钥材料的副本 Amazon,最好是在密钥管理器中,例如硬件安全模块 (HSM),以便在删除密钥材料或密钥材料过期时可以重新导入。

您可创建具有导入密钥材料的多区域密钥

具有导入密钥材料的多区域具有包含导入密钥材料的 KMS 密钥的功能,并且可以在 Amazon Web Services 区域之间进行互操作。要创建具有导入密钥材料的多区域密钥,您必须将相同的密钥材料导入 KMS 主密钥和每个副本密钥。多区域对称加密密钥不支持按需轮换。

非对称密钥和 HMAC 密钥具有可移植性和互操作性

您可以在外部使用非对称密钥材料和 HMAC 密钥材料,与具有相同导入密钥材料的 Amazon Amazon KMS 密钥进行互操作。

与 Amazon KMS 对称密文不同,对称密文与算法中使用的 KMS 密钥密不可分,它 Amazon KMS 使用标准 HMAC 和非对称格式进行加密、签名和 MAC 生成。因此,这些密钥是可移植的,并且支持传统的托管密钥方案。

当您的 KMS 密钥导入了密钥材料后,您可以使用外部导入的密钥材料 Amazon 来执行以下操作。

  • HMAC 密钥 – 您可以使用导入的密钥材料验证由 HMAC KMS 密钥生成的 HMAC 标签。您还可以将 HMAC KMS 密钥与导入的密钥材料一起使用,以验证由外部的密钥材料生成的 HMAC 标签。 Amazon

  • 非对称加密密钥 — 您可以使用外部的私有非对称加密密钥 Amazon 来解密由 KMS 密钥和相应的公钥加密的密文。您也可以使用非对称 KMS 密钥来解密在外部生成的非对称密文。 Amazon

  • 非对称签名密钥 — 您可以使用带有导入密钥材料的非对称签名 KMS 密钥来验证由您的私有签名密钥在外部生成的数字签名。 Amazon您还可以在外部使用非对称公有签名密钥 Amazon 来验证非对称 KMS 密钥生成的签名。

  • 非对称密钥协议密钥 – 您可以使用带导入的密钥材料的非对称密钥协议 KMS 密钥来与 Amazon外的对等方派生共享密钥。

如果您在相同的 Amazon Web Services 区域中将相同的密钥材料导入不同的 KMS 密钥中,则这些密钥也是可以互操作的。要在不同版本中创建可互操作的 KMS 密钥 Amazon Web Services 区域,请使用导入的密钥材料创建多区域密钥。

对称加密密钥不可移植或互操作

生 Amazon KMS 成的对称密文不可移植或互操作。 Amazon KMS 不会发布可移植性所需的对称密文格式,并且格式可能会更改,恕不另行通知。

  • Amazon KMS 即使您使用已导入的密钥材料,也无法解密您在外部加密的 Amazon对称密文。

  • Amazon KMS 不支持解密外部的任何 Amazon KMS 对称密文,即使密文是在 KMS 密钥下使用导入的密钥材料加密的。 Amazon KMS

  • 具有相同导入密钥材料的 KMS 密钥不可互操作。 Amazon KMS 生成每个 KMS 密钥特有的密文的对称密文。此加密文字格式保证只有加密数据的 KMS 密钥才能解密数据。

此外,您不能使用任何 Amazon 工具(例如Amazon Encryption SDKAmazon S3 客户端加密)来解密对称密文 Amazon KMS 。

因此,您不能使用带有导入密钥材料的密钥来支持密钥托管安排,在这种安排中,有权有条件访问密钥材料的授权第三方可以在外部解密某些密文。 Amazon KMS要支持密钥托管,请使用 Amazon Encryption SDK 来通过独立于 Amazon KMS的密钥加密您的消息。