导入密钥的 Amazon KMS 密钥材料 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

导入密钥的 Amazon KMS 密钥材料

您可以使用您提供的KMS密钥材料创建 Amazon KMS keys (密钥)。

KMS密钥是数据密钥的逻辑表示形式。KMS密钥的元数据包括用于执行加密操作的密钥材料的 ID。默认情况下,当您创建KMS密钥时, Amazon KMS 会生成该密钥的KMS密钥材料。但是你可以创建一个没有KMS密钥材料的密钥,然后将自己的密钥材料导入到该KMS密钥中,这个功能通常被称为 “自带密钥” (BYOK)。

突出显示其所代表的密钥材料的钥匙图标。
注意

Amazon KMS 不支持解密由外部对称 Amazon KMS 加密密钥加密的任何密文 Amazon KMS,即使密文是在使用导入的KMS密钥材料的密钥下加密的。KMS Amazon KMS 不会发布此任务所需的密文格式,并且格式可能会更改,恕不另行通知。

当您使用导入的密钥材料时,您仍需对密钥材料负责,同时 Amazon KMS 允许使用密钥材料的副本。出于以下一个或多个原因,您可以选择执行该操作:

  • 证明使用符合您要求的熵源生成了密钥材料。

  • 将您自己的基础设施中的密钥材料与 Amazon 服务一起使用,并用于管理 Amazon KMS 其中的密钥材料的生命周期 Amazon。

  • 在中使用现有的、成熟的密钥 Amazon KMS,例如用于代码签名、PKI证书签名和证书固定的应用程序的密钥

  • 为中的密钥材料设置过期时间 Amazon 并手动将其删除,但也可以使其在将来再次可用。相比之下,计划删除密钥需要等待 7 到 30 天,之后您将无法恢复已删除的KMS密钥。

  • 拥有密钥材料的原始副本,并将其保存在外部,以便在密钥材料 Amazon 的整个生命周期中提高耐用性和灾难恢复。

  • 对于非对称密钥和密HMAC钥,导入会创建兼容且可互操作的密钥,这些密钥可在内部和外部运行。 Amazon

支持的KMS密钥类型

Amazon KMS 支持为以下类型的密钥导入KMS密钥材料。您无法将密钥材料导入到自定义KMS密钥存储库中的密钥中。

区域

所有支持的密钥材料均 Amazon Web Services 区域 支持导入的密钥材料。 Amazon KMS

在中国区域,对称加密密钥的KMS密钥材料要求与其他地区不同。有关详细信息,请参阅步骤 3:加密密钥材料

了解更多