AWS Key Management Service
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

导入密钥材料步骤 4:导入密钥材料

加密密钥材料之后,您可以导入密钥材料,以将其与 AWS KMS 客户主密钥 (CMK) 配合使用。要导入密钥材料,请上传在步骤 3:加密密钥材料中加密的密钥材料以及在步骤 2:下载公有密钥和导入令牌中下载的导入令牌。您必须将密钥材料导入您在下载公有密钥和导入令牌时指定的同一 CMK 中。

当您导入密钥材料时,您可以选择性地指定密钥材料的过期时间。当密钥材料过期后,AWS KMS 将删除密钥材料,并且 CMK 将变为不可用。要再次使用该 CMK,您必须重新导入密钥材料。

在成功导入密钥材料后,该 CMK 的密钥状态会更改为已启用,并且您可以使用该 CMK。

要导入密钥材料,您可以使用 AWS 管理控制台或 AWS KMS API。通过发出 HTTP 请求或通过 AWS 开发工具包命令行工具之一,您可以直接使用该 API。

导入密钥材料(控制台)

您可以使用 AWS 管理控制台导入密钥材料。

  1. 如果您位于下载包装密钥和导入令牌页面上,请跳到步骤 7

  2. 登录 AWS 管理控制台并通过以下网址打开 AWS Key Management Service (AWS KMS) 控制台:https://console.amazonaws.cn/kms

  3. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  4. 在导航窗格中,选择 Customer managed keys (客户托管密钥)

  5. 选择已为其下载公有密钥和导入令牌的 CMK 的密钥 ID 或别名。

  6. Key Material (密钥材料) 部分,选择 Upload key material (上传密钥材料)

    仅在创建了不带密钥材料的 CMK 后,Key material (密钥材料) 部分才会显示。这些 CMK 的 Origin (源) 值为 EXTERNAL (外部)。您无法将密钥材料导入具有任何其他 Origin (源) 值的 CMK。有关创建带已导入密钥材料的 CMK 的信息,请参阅导入 AWS Key Management Service (AWS KMS) 中的密钥材料

  7. Encrypted key material (加密的密钥材料) 下,选择 Upload file (上传文件)。然后上传包含您的已包装(已加密)密钥材料的文件。

  8. Import token (导入令牌) 下,选择 Upload file (上传文件)。上传包含您已下载的导入令牌的文件。

  9. Choose an expiration option (选择过期选项) 下,确定密钥材料是否过期。要设置到期日期和时间,请选择 Key material expires (密钥材料过期),并使用日历选择日期和时间。

  10. 选择 FinishUpload key material

导入密钥材料(KMS API)

要使用 AWS KMS API 导入密钥材料,请发送 ImportKeyMaterial 请求。以下示例说明如何使用 AWS CLI 执行该操作。

此示例指定密钥材料的过期时间。要导入不过期的密钥材料,将 KEY_MATERIAL_EXPIRES 替换为 KEY_MATERIAL_DOES_NOT_EXPIRE,并省略 --valid-to 参数。

要使用此示例,请执行以下操作:

  1. 1234abcd-12ab-34cd-56ef-1234567890ab 替换为您在下载公有密钥和导入令牌时使用的 CMK 的密钥 ID。要标识 CMK,请使用其密钥 ID 或 ARN。该操作不能使用别名。

  2. EncryptedKeyMaterial.bin 替换为包含加密的密钥材料的文件的名称。

  3. ImportToken.bin 替换为包含导入令牌的文件的名称。

$ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --encrypted-key-material fileb://EncryptedKeyMaterial.bin \ --import-token fileb://ImportToken.bin \ --expiration-model KEY_MATERIAL_EXPIRES \ --valid-to 2016-11-08T12:00:00-08:00