导入密钥材料步骤 1:创建Amazon KMS不带密钥材料的客户主密钥 (CMK) - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

导入密钥材料步骤 1:创建Amazon KMS不带密钥材料的客户主密钥 (CMK)

默认情况下,当您创建客户主密钥 (CMK) 时,Amazon KMS 会为您创建密钥材料。要改为导入自己的密钥材料,请先创建不带密钥材料的 CMK。您可以按照 CMK 的 origin 区分这两种类型的 CMK。当 Amazon KMS 为您创建密钥材料时,CMK 的 origin 为 AWS_KMS。当您创建不带密钥材料的 CMK 时,CMK 的 origin 是 EXTERNAL,这表示该密钥材料是在 Amazon KMS 外部生成的。

不带密钥材料的 CMK 处于等待导入状态,并且不可用。要使用它,您必须按下文所述导入密钥材料。导入密钥材料后,CMK 的密钥状态将更改为已启用。有关密钥状态的更多信息,请参阅密钥状态:对您的 CMK 产生的影响

要创建不带密钥材料的 CMK,您可以使用 Amazon Web Services Management Console 或 Amazon KMS API。通过发出 HTTP 请求或通过使用Amazon开发工具包Amazon Command Line Interface或者Amazon Tools for PowerShell.

Amazon KMS将条目记录在Amazon CloudTrail登录时创建 CMK、下载公有密钥和导入令牌, 和导入密钥材料.Amazon KMS当您删除导入的关键材质或Amazon KMS 删除过期的密钥材料.

有关创建带已导入密钥材料的多区域密钥材料的信息,请参阅将密钥材料导入到多区域键.

创建不带密钥材料的 CMK(控制台)

您可以使用 Amazon Web Services Management Console创建不带密钥材料的 CMK。执行此操作之前,可将控制台配置为显示 CMK 列表中的 Origin (源) 列。导入的密钥的 Origin (源) 值为 External (外部)

您只需为导入的密钥材料创建一次 CMK。要将相同的密钥材料重新导入现有 CMK 中,请参阅第 2 步:下载公有密钥和导入令牌

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Key Management Service (Amazon KMS) 控制台:https://console.aws.amazon.com/kms

  2. 要更改 Amazon 区域,请使用页面右上角的 Region selector (区域选择器)。

  3. 在导航窗格中,选择客户托管密钥

  4. 选择 Create key

  5. 选择 Symmetric (对称)。您无法将密钥材料导入非对称 CMK。

  6. 展开 Advanced options (高级选项)

  7. 对于 Key material origin (密钥材料源),选择 External (外部)

    然后,选中 I understand the security, availability, and durability implications of using an imported key 旁边的复选框,表示您了解使用导入密钥材料的影响。要了解这些含义,请参阅关于导入的密钥材料

  8. 使用多区域复制部分中创建不带密钥材料的多区域主键。有关详细信息,请参阅 将密钥材料导入到多区域键

  9. 选择 Next (下一步)

  10. 为 CMK 键入别名和 (可选的) 描述。

    选择 Next (下一步)

  11. (可选)。在 Add tags (添加标签) 页面上,添加标识或分类 CMK 的标签。

    选择 Next (下一步)

  12. 密钥管理员部分中,选择可管理 CMK 的 IAM 用户和角色。有关更多信息,请参阅允许密钥管理员管理 CMK

    注意

    IAM 策略可以向其他 IAM 用户和角色授予管理 CMK 的权限。

  13. (可选)要阻止选定 IAM 用户和角色删除此 CMK,请在删除密钥部分中,清除允许密钥管理员删除此密钥”复选框。

    选择 Next (下一步)

  14. 此账户部分中,选择此 Amazon Web Services 账户 谁可以使用 CMK加密操作. 有关更多信息,请参阅允许密钥用户使用 CMK

    注意

    IAM 策略可以向其他 IAM 用户和角色授予使用 CMK 的权限。

  15. (可选)您可以允许其他 Amazon Web Services 账户 将此 CMK 用于加密操作。为此,请在其他 Amazon Web Services 账户 部分中,选择添加其他 Amazon Web Services 账户 并输入 Amazon Web Services 账户 外部帐户的识别号码。要添加多个外部账户,请重复此步骤。

    注意

    要允许外部账户中的委托人使用 CMK,外部账户的管理员必须创建提供这些权限的 IAM 策略。有关更多信息,请参阅允许其他账户中的用户使用 CMK

    选择 Next (下一步)

  16. 查看您选择的关键设置。您仍然可以返回并更改所有设置。

  17. 完成后,选择Finish创建密钥。

    如果操作成功,则已创建不带密钥材料的 CMK。其状态为 Pending import (等待导入)。要立即继续执行该流程,请参阅下载公有密钥和导入令牌(控制台)。要稍后继续此过程,请选择 Cancel (取消)

下一步: 第 2 步:下载公有密钥和导入令牌.

创建不带密钥材料的 CMK ()Amazon KMSAPI)

要使用 Amazon KMS API 创建不带密钥材料的对称 CMK,请发送 CreateKey 请求,并将 Origin 参数设置为 EXTERNAL。以下示例说明如何使用 Amazon Command Line Interface (Amazon CLI) 执行该操作。

$ aws kms create-key --origin EXTERNAL

该命令成功执行后,您会看到类似以下内容的输出。该 CMK 的 OriginEXTERNAL,其 KeyStatePendingImport

{ "KeyMetadata": { "Origin": "EXTERNAL", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "Enabled": false, "MultiRegion": false, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingImport", "CreationDate": 1568289600.0, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

从命令输出中复制 CMK 的密钥 ID,以供后面的步骤使用,然后继续第 2 步:下载公有密钥和导入令牌