Schritt 4: Importieren des Schlüsselmaterials - AWS Key Management Service
Festlegen einer Ablaufzeit (optional)Geben Sie die Beschreibung des wichtigsten Materials einSchlüsselmaterial erneut importierenNeues Schlüsselmaterial importierenImportieren von Schlüsselmaterial (Konsole)Schlüsselmaterial importieren (AWS KMS API)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 4: Importieren des Schlüsselmaterials

Nachdem Sie Ihr Schlüsselmaterial verschlüsselt haben, können Sie das Schlüsselmaterial importieren, um es mit einem AWS KMS key zu verwenden. Um Schlüsselmaterial zu importieren, laden Sie das verschlüsselte Schlüsselmaterial aus Schritt 3: Verschlüsselung des Schlüsselmaterials und den Import-Token, den Sie von Schritt 2: Herunterladen des öffentlichen Verpackungsschlüssels und des Import-Tokens heruntergeladen haben, hoch. Sie müssen das Schlüsselmaterial in den gleichen KMS-Schlüssel importieren, den Sie auch beim Herunterladen des öffentlichen Schlüssels und Import-Tokens angegeben haben. Wenn Schlüsselmaterial erfolgreich importiert wird, ändert sich der Schlüsselstatus des KMS-Schlüssels auf Enabled, und Sie können den KMS-Schlüssel in kryptografischen Operationen verwenden.

Wenn Sie Schlüsselmaterial importieren, können Sie ein optionales Ablaufdatum für das Schlüsselmaterial festlegen. Wenn das Schlüsselmaterial abgelaufen ist, löscht AWS KMS das Schlüsselmaterial und der KMS-Schlüssel kann nicht mehr verwendet werden. Nachdem Sie Ihr Schlüsselmaterial importiert haben, können Sie das Ablaufdatum für den aktuellen Import nicht mehr festlegen, ändern oder stornieren. Um diese Werte zu ändern, müssen Sie dasselbe Schlüsselmaterial erneut importieren.

Bei allen KMS-Schlüsseln mit EXTERNAL Ursprung wird das erste Schlüsselmaterial, das in sie importiert wurde, aktuell und dauerhaft mit ihnen verknüpft. Symmetrische Verschlüsselungsschlüssel mit EXTERNAL Ursprung in einer Region unterstützen die Rotation nach Bedarf. Sie können importierten Schlüsseln, die eine Rotation nach Bedarf unterstützen, mehrere Schlüsselmaterialien zuordnen. Sie müssen den importType Parameter für NEW_KEY_MATERIAL die ImportKeyMaterialAktion auf festlegen, um neues Schlüsselmaterial einem KMS-Schlüssel zuzuordnen. Dieses Schlüsselmaterial ist dem Schlüssel erst dauerhaft zugeordnet, wenn Sie die RotateKeyOnDemandAktion ausführen. Bis dahin ist dieses Schlüsselmaterial in PENDING_ROTATION Ordnung. Der Standardwert des optionalen ImportType Parameters istEXISTING_KEY_MATERIAL. Wenn Sie den ImportType Parameter weglassen oder als angebenEXISTING_KEY_MATERIAL, müssen Sie ein Schlüsselmaterial importieren, das zuvor dem KMS-Schlüssel zugeordnet war.

Bei asymmetrischen, HMAC- oder regionsübergreifenden KMS-Schlüsseln mit EXTERNAL Ursprung kann dem Schlüssel immer nur ein Schlüsselmaterial zugeordnet werden. AWS KMS lehnt ImportKeyMaterialAPI-Anfragen mit dem Parameter ab. ImportType

Wenn alle Schlüsselmaterialien importiert werden, die dauerhaft mit einem KMS-Schlüssel verknüpft sind, steht der KMS-Schlüssel für kryptografische Operationen zur Verfügung. Wenn eines dieser Schlüsselmaterialien gelöscht wird oder abläuft, ändert sich der Status des KMS-Schlüssels PendingImport und der Schlüssel ist für kryptografische Operationen unbrauchbar.

Um Schlüsselmaterial zu importieren, können Sie die AWS KMS Konsole oder die ImportKeyMaterialAPI verwenden. Sie können die API direkt verwenden, indem Sie HTTP-Anfragen stellen oder ein AWS SDKs, AWS Command Line Interfaceoder verwenden AWS -Tools für PowerShell.

Wenn Sie das Schlüsselmaterial importieren, wird Ihrem AWS CloudTrail Protokoll ein ImportKeyMaterialEintrag hinzugefügt, um den ImportKeyMaterial Vorgang aufzuzeichnen. Der CloudTrail Eintrag ist derselbe, unabhängig davon, ob Sie die AWS KMS Konsole oder die AWS KMS API verwenden.

Festlegen einer Ablaufzeit (optional)

Wenn Sie das Schlüsselmaterial für Ihren KMS-Schlüssel importieren, können Sie optional ein Ablaufdatum und eine Ablaufzeit für das Schlüsselmaterial von bis zu 365 Tagen ab dem Importdatum festlegen. Wenn importiertes Schlüsselmaterial abläuft, AWS KMS wird es gelöscht. Diese Aktion ändert den Status des KMS-Schlüssels zu PendingImport, wodurch verhindert wird, dass er in kryptografischen Operationen verwendet wird. Wenn Sie den KMS-Schlüssel verwenden möchten, müssen Sie das Schlüsselmaterial erneut importieren.

Wenn Sie sicherstellen, dass importiertes Schlüsselmaterial häufig abläuft, können Sie zwar die gesetzlichen Anforderungen erfüllen, jedoch birgt dies ein zusätzliches Risiko für Daten, die unter dem KMS-Schlüssel verschlüsselt sind. Solange Sie keine Kopie des ursprünglichen Schlüsselmaterials neu importieren, ist ein KMS-Schlüssel mit abgelaufenem Schlüsselmaterial unbrauchbar, und alle unter dem KMS-Schlüssel verschlüsselten Daten sind unzugänglich. Wenn Sie das Schlüsselmaterial aus irgendeinem Grund, einschließlich des Verlusts Ihrer Kopie des ursprünglichen Schlüsselmaterials, nicht erneut importieren, ist der KMS-Schlüssel dauerhaft unbrauchbar, und die unter dem KMS-Schlüssel verschlüsselten Daten sind nicht wiederherstellbar.

Um dieses Risiko zu minimieren, sollten Sie sicherstellen, dass auf Ihre Kopie des importierten Schlüsselmaterials zugegriffen werden kann, und ein System einrichten, das das Schlüsselmaterial löscht und erneut importiert, bevor es abläuft und Ihre Arbeitslast unterbricht. AWS Wir empfehlen Ihnen, einen Alarm für den Ablauf Ihres importierten Schlüsselmaterials einzustellen, der Ihnen genügend Zeit gibt, das Schlüsselmaterial vor Ablauf erneut zu importieren. Sie können Ihre CloudTrail Protokolle auch verwenden, um Vorgänge zu überprüfen, bei denen Schlüsselmaterial importiert (und erneut importiert) und importiertes Schlüsselmaterial gelöscht wird, sowie den AWS KMS Vorgang zum Löschen abgelaufener Schlüsselmaterialien.

AWS KMS Das gelöschte Schlüsselmaterial kann nicht wiederhergestellt, wiederhergestellt oder reproduziert werden. Anstatt eine Ablaufzeit festzulegen, können Sie das importierte Schlüsselmaterial programmgesteuert löschen und in regelmäßigen Abständen erneut importieren. Die Anforderungen für die Beibehaltung einer Kopie des ursprünglichen Schlüsselmaterials sind jedoch dieselben.

Sie legen fest, ob und wann importiertes Schlüsselmaterial abläuft, wenn Sie das Schlüsselmaterial importieren. Sie können das Ablaufdatum jedoch ein- und ausschalten oder eine neue Ablaufzeit festlegen, indem Sie das Schlüsselmaterial erneut importieren. Verwenden Sie den ExpirationModel Parameter von ImportKeyMaterial, um den Ablauf ein- (KEY_MATERIAL_EXPIRES) und auszuschalten (KEY_MATERIAL_DOES_NOT_EXPIRE), und den ValidTo Parameter, um die Ablaufzeit festzulegen. Der maximale Zeitraum beträgt 365 Tage ab dem Import der Daten. Es gibt kein Minimum, aber der Zeitpunkt muss in der Zukunft liegen.

Geben Sie die Beschreibung des wichtigsten Materials ein

Symmetrischen Verschlüsselungsschlüsseln mit EXTERNAL Ursprung in einer Region können mehrere Schlüsselmaterialien zugeordnet sein. Sie können beim Import von Schlüsselmaterial in solche Schlüssel eine optionale Beschreibung des Schlüsselmaterials angeben. Anhand der Beschreibung kann nachverfolgt werden, wo das entsprechende Schlüsselmaterial dauerhaft draußen AWS KMS aufbewahrt wird.

Schlüsselmaterial erneut importieren

Wenn Sie einen KMS-Schlüssel mit importiertem Schlüsselmaterial verwalten, müssen Sie das Schlüsselmaterial möglicherweise erneut importieren. Sie können das Schlüsselmaterial erneut importieren, um ablaufendes odergelöschtes Schlüsselmaterial zu ersetzen oder um das Ablaufmodell oder das Ablaufdatum des Schlüsselmaterials zu ändern.

Sie können Schlüsselmaterial jederzeit nach einem beliebigen Zeitplan, der Ihren Sicherheitsanforderungen entspricht, wieder importieren. Sie müssen nicht warten, bis das Schlüsselmaterial seine Ablaufzeit erreicht oder fast erreicht hat.

Das Verfahren zum erneuten Importieren von Schlüsselmaterial entspricht dem Verfahren, das Sie für den ersten Import des Schlüsselmaterials verwenden, mit den folgenden Ausnahmen.

  • Verwenden Sie einen vorhandenen KMS-Schlüssel, anstatt einen neuen KMS-Schlüssel zu erstellen. Sie können Schritt 1 des Importvorgangs überspringen.

  • Wenn Sie Schlüsselmaterial erneut importieren, können Sie das Ablaufmodell und das Ablaufdatum ändern.

Jedes Mal, wenn Sie Schlüsselmaterial in einen KMS-Schlüssel importieren, müssen Sie einen neuen Verpackungsschlüssel und ein Import-Token für den KMS-Schlüssel herunterladen und verwenden. Das Verpackungsverfahren hat keine Auswirkungen auf den Inhalt des Schlüsselmaterials. Sie können also unterschiedliche öffentliche Verpackungsschlüssel und unterschiedliche Verpackungsalgorithmen verwenden, um das gleiche Schlüsselmaterial zu importieren.

Neues Schlüsselmaterial importieren

Um bei Bedarf einen KMS-Schlüssel mit symmetrischer Verschlüsselung und importiertem Schlüsselmaterial zu rotieren, müssen Sie zunächst neues Schlüsselmaterial importieren, das dem Schlüssel noch nicht zugeordnet war. Verwenden Sie den ImportKeyMaterialVorgang, bei dem der ImportType Parameter auf gesetzt istNEW_KEY_MATERIAL, um diese Aufgabe auszuführen. Auf diese Weise importiertes Schlüsselmaterial bleibt so PENDING_ROTATION lange erhalten, bis Sie den RotateKeyOnDemandVorgang ausführen oder den Schlüssel in der drehen AWS Management Console. Ein KMS-Schlüssel kann zu jedem Zeitpunkt höchstens ein Schlüsselmaterial im PENDING_ROTATION Status haben.

Importieren von Schlüsselmaterial (Konsole)

Sie können den verwenden AWS Management Console , um Schlüsselmaterial zu importieren.

  1. Wenn Sie sich auf der Seite Ihr verpacktes Schlüsselmaterial hochladen befinden, fahren Sie mit Schritt 8 fort.

  2. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

  3. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  4. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  5. Wählen Sie die Schlüssel-ID oder den Alias des KMS-Schlüssels, für den Sie den öffentlichen Schlüssel und das Import-Token heruntergeladen haben.

  6. Erweitern Sie den Bereich Cryptographic configuration (kryptografische Konfiguration) und zeigen Sie dessen Werte an. Die Registerkarten befinden sich auf der Detailseite für einen KMS-Schlüssel unter dem Abschnitt General configuration (allgemeine Konfiguration).

    Sie können Schlüsselmaterial nur in KMS-Schlüssel mit dem Ursprung Extern (Schlüsselmaterial importieren). Weitere Informationen zum Erstellen eines KMS-Schlüssels mit importiertem Schlüsselmaterial finden Sie unter Schlüsselmaterial für AWS KMS Schlüssel importieren.

  7. Wählen Sie für asymmetrische Schlüssel, HMAC-Schlüssel und Schlüssel mit mehreren Regionen die Registerkarte Schlüsselmaterial und dann Schlüsselmaterial importieren. Wählen Sie für symmetrische Verschlüsselungsschlüssel mit einer Region die Registerkarte Schlüsselmaterial und Rotationen. Wählen Sie dann entweder Ursprüngliches Schlüsselmaterial importieren oder Neues Schlüsselmaterial importieren oder Schlüsselmaterial erneut importieren. Die Option Schlüsselmaterial erneut importieren ist im Actions Menü in der Tabelle Schlüsselmaterialien verfügbar.

    Wenn Sie das Schlüsselmaterial und Import-Token heruntergeladen haben und das Schlüsselmaterial verschlüsselt haben, wählen Sie Weiter.

  8. Gehen Sie im Abschnitt Verschlüsseltes Schlüsselmaterial und Import-Token wie folgt vor.

    1. Wählen Sie unter Verpacktes Schlüsselmaterial Datei auswählen aus. Laden Sie dann die Datei hoch, die das durch den Umhüllungsschlüssel geschützte Schlüsselmaterial enthält.

    2. Wählen Sie unter Token importieren die Option Datei wählen. Laden Sie die heruntergeladene Datei mit dem Import-Token hoch.

  9. Wählen Sie im Bereich Expiration option (Ablaufoption) aus, ob das Schlüsselmaterial abläuft. Um ein Ablaufdatum und eine Uhrzeit festzulegen, wählen Sie Key material expires (Schlüsselmaterial läuft ab) und wählen Sie dann Datum und Uhrzeit über das Kalendersteuerelement aus. Sie können ein Datum angeben, das bis zu 365 Tage nach dem aktuellen Datum und der aktuellen Uhrzeit liegt.

  10. Bei symmetrischen Verschlüsselungsschlüsseln können Sie optional eine Beschreibung für das zu importierende Schlüsselmaterial angeben.

  11. Wählen Sie Schlüsselmaterial importieren aus.

Schlüsselmaterial importieren (AWS KMS API)

Verwenden Sie den ImportKeyMaterialVorgang, um Schlüsselmaterial zu importieren. Für die folgenden Beispiele wird die AWS CLIverwendet. Sie können aber jede unterstützte Programmiersprache nutzen.

Zur Verwendung dieses Beispiels gehen Sie wie folgt vor:

  1. Ersetzen Sie 1234abcd-12ab-34cd-56ef-1234567890ab durch eine Schlüssel-ID des KMS-Schlüssels, den Sie beim Herunterladen des öffentlichen Schlüssels und des Import-Tokens angegeben haben. Verwenden Sie zum Identifizieren des KMS-Schlüssels seine Schlüssel-ID oder den Schlüssel-ARN. Sie können für diese Operation keinen Alias-Namen oder Alias-ARN verwenden.

  2. Ersetzen Sie EncryptedKeyMaterial.bin durch den Namen der Datei, die das verschlüsselten Schlüsselmaterial enthält.

  3. Ersetzen Sie ImportToken.bin durch den Namen der Datei, die den Import-Token enthält.

  4. Wenn das importierte Schlüsselmaterial ablaufen soll, setzen Sie den Wert für den expiration-model-Parameter auf den Standardwert zurück, KEY_MATERIAL_EXPIRES, oder lassen Sie den expiration-model-Parameter weg. Ersetzen Sie dann den Wert des valid-to-Parameters mit dem Datum und der Uhrzeit, zu der das Schlüsselmaterial ablaufen soll. Datum und Uhrzeit können bis zu 365 Tage ab dem Zeitpunkt der Anfrage betragen. 

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_EXPIRES \
    --valid-to 2023-06-17T12:00:00-08:00

    Wenn das importierte Schlüsselmaterial nicht ablaufen soll, setzen Sie den Wert für den expiration-model-Parameter aufKEY_MATERIAL_DOES_NOT_EXPIRE und lassen Sie den valid-to-Parameter aus dem Befehl weg.

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_DOES_NOT_EXPIRE

  5. Wenn Sie neues Schlüsselmaterial importieren möchten, das zuvor nicht mit dem KMS-Schlüssel verknüpft war, legen Sie den ImportType Parameter auf festNEW_KEY_MATERIAL. Diese Option kann nur mit symmetrischen Verschlüsselungsschlüsseln aus einer Region verwendet werden. Für diese Schlüssel können Sie im folgenden Befehlszeilenbeispiel auch den optionalen KeyMaterialDescription Parameter verwenden, um eine Beschreibung für das importierte Schlüsselmaterial festzulegen: 

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_EXPIRES \
    --valid-to 2023-06-17T12:00:00-08:00 \
    --import-type NEW_KEY_MATERIAL \
    --key-material-description "Q2 2025 Rotation"
Tipp

Wenn der Befehl nicht erfolgreich ist, wird möglicherweise eine KMSInvalidStateException oder eine NotFoundException angezeigt. Sie können die Anfrage wiederholen.