本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
导入密钥的 Amazon KMS 密钥材料
您可以使用您提供的密钥材料创建 Amazon KMS keys(KMS 密钥)。
KMS 密钥是加密密钥的逻辑表示形式。KMS 密钥的元数据包括数据加密和解密所用密钥材料的 ID。默认情况下,当您创建 KMS 密钥时, Amazon KMS 会为该 KMS 密钥生成密钥材料。但是,您可以创建不带密钥材料的 KMS 密钥,然后将自己的密钥材料导入该 KMS 密钥中,这个功能通常被称为“自带密钥 (BYOK)”。
注意
Amazon KMS 不支持解密外部的任何密文 Amazon KMS,即使 Amazon KMS 密文是在 KMS 密钥下使用导入的密钥材料加密的。 Amazon KMS 不会发布此任务所需的密文格式,并且格式可能会更改,恕不另行通知。
除自定义密钥存储中的 KMS 密钥外,所有类型的 KMS 密钥都支持导入的密钥材料。但是,在中国区域,您只能将对称加密密钥材料导入 KMS 密钥。
当您使用导入的密钥材料时,您仍需对密钥材料负责,同时 Amazon KMS 允许使用密钥材料的副本。出于以下一个或多个原因,您可以选择执行该操作:
-
证明使用符合您要求的熵源生成了密钥材料。
-
将您自己的基础设施中的密钥材料与 Amazon 服务一起使用,并用于管理 Amazon KMS 其中的密钥材料的生命周期 Amazon。
-
在中使用现有的、成熟的密钥 Amazon KMS,例如用于代码签名、PKI 证书签名和证书固定的应用程序的密钥
-
为中的密钥材料设置过期时间 Amazon 并手动将其删除,但也可以使其在将来再次可用。相比之下,计划密钥删除需要 7 到 30 天的等待期限,之后,您不能恢复已删除的 KMS 密钥。
-
拥有密钥材料的原始副本,并将其保存在外部,以便在密钥材料 Amazon 的整个生命周期中提高耐用性和灾难恢复。
-
对于非对称密钥和 HMAC 密钥,导入会创建兼容且可互操作的密钥,这些密钥可在内部和外部运行。 Amazon
您可以使用导入的密钥材料来审核和监控 KMS 密钥的使用和管理。 Amazon KMS 在创建 KMS 密钥、下载封装公钥和导入令牌以及导入密钥材料时,会在 Amazon CloudTrail 日志中记录事件。 Amazon KMS 还会记录手动删除导入的密钥材料或 Amazon KMS 删除过期的密钥材料时的事件。
有关使用导入密钥材料的 KMS 密钥与使用由生成的密钥材料的 KMS 密钥之间重要区别的信息 Amazon KMS,请参阅关于导入的密钥材料。
支持的 KMS 密钥
Amazon KMS 支持以下类型的 KMS 密钥的导入密钥材料。您无法将密钥材料导入自定义密钥存储中的 KMS 密钥。在中国区域,您只能将密钥材料导入对称加密密钥。
-
非对称 RSA KMS 密钥(用于加密或签名,但不能同时用于两者)
-
非对称椭圆曲线(ECC)KMS 密钥(仅限签名)
-
支持的所有类型的多区域密钥。
区域
所有支持的密钥材料均 Amazon Web Services 区域 支持导入的密钥材料。 Amazon KMS
在中国区域,您只能将密钥材料导入对称加密 KMS 密钥。此外,密钥材料要求与其他区域不同。有关更多信息,请参阅 导入密钥材料步骤 3:加密密钥材料。