Izin untuk mengimpor material kunci Persyaratan untuk bahan kunci impor

Buat kunci KMS dengan materi kunci yang diimpor

Materi kunci yang diimpor memungkinkan Anda melindungi AWS sumber daya Anda di bawah kunci kriptografi yang Anda hasilkan. Gambaran umum berikut menjelaskan cara mengimpor material kunci Anda ke dalam AWS KMS. Untuk detail selengkapnya tentang setiap langkah dalam proses, lihat topik yang sesuai.

Buat kunci KMS tanpa bahan kunci - Asal harusEXTERNAL. Asal kunci EXTERNAL menunjukkan bahwa kunci dirancang untuk bahan kunci impor dan AWS KMS mencegah menghasilkan bahan kunci untuk kunci KMS. Pada langkah selanjutnya Anda akan mengimpor materi kunci Anda sendiri ke dalam kunci KMS ini.

Materi kunci yang Anda impor harus kompatibel dengan spesifikasi kunci AWS KMS kunci terkait. Untuk informasi selengkapnya tentang kompatibilitas, lihatPersyaratan untuk bahan kunci impor.
Unduh kunci publik pembungkus dan token impor — Setelah menyelesaikan langkah 1, unduh kunci publik pembungkus dan token impor. Barang-barang ini melindungi materi utama Anda saat diimpor AWS KMS.

Pada langkah ini, Anda memilih jenis (“spesifikasi kunci”) dari kunci pembungkus RSA dan algoritma pembungkus yang akan Anda gunakan untuk mengenkripsi data Anda dalam perjalanan. AWS KMS Anda dapat memilih spesifikasi kunci pembungkus dan algoritma kunci pembungkus yang berbeda setiap kali Anda mengimpor atau mengimpor ulang materi kunci yang sama.
Enkripsi materi kunci — Gunakan kunci publik pembungkus yang Anda unduh di langkah 2 untuk mengenkripsi materi kunci yang Anda buat di sistem Anda sendiri.
Mengimpor materi kunci — Unggah material kunci terenkripsi yang Anda buat pada langkah 3 dan token impor yang Anda unduh di langkah 2.

Pada tahap ini, Anda dapat mengatur waktu kedaluwarsa opsional. Ketika materi kunci yang diimpor kedaluwarsa, AWS KMS menghapusnya, dan kunci KMS menjadi tidak dapat digunakan. Untuk terus menggunakan kunci KMS, Anda harus mengimpor ulang materi kunci yang sama.

Ketika operasi impor selesai dengan sukses, status kunci kunci KMS berubah dari PendingImport ke. Enabled Anda sekarang dapat menggunakan kunci KMS dalam operasi kriptografi.

AWS KMS merekam entri di AWS CloudTrail log Anda saat Anda membuat kunci KMS, mengunduh kunci publik pembungkus dan token impor, dan mengimpor materi kunci. AWS KMS juga mencatat entri saat Anda menghapus materi kunci yang diimpor atau saat AWS KMS menghapus materi kunci yang kedaluwarsa.

Izin untuk mengimpor material kunci

Untuk membuat dan mengelola kunci KMS dengan materi kunci yang diimpor, pengguna memerlukan izin untuk operasi dalam proses ini. Anda dapat memberikankms:GetParametersForImport,kms:ImportKeyMaterial, dan kms:DeleteImportedKeyMaterial izin dalam kebijakan kunci saat Anda membuat kunci KMS. Di AWS KMS konsol, izin ini ditambahkan secara otomatis untuk administrator kunci saat Anda membuat kunci dengan asal materi kunci eksternal.

Untuk membuat kunci KMS dengan bahan kunci yang diimpor, prinsipal memerlukan izin berikut.

kms: CreateKey (kebijakan IAM)

Untuk membatasi izin ini ke kunci KMS dengan materi kunci impor, gunakan kondisi KeyOrigin kebijakan kms: dengan nilai. EXTERNAL


{
  "Sid": "CreateKMSKeysWithoutKeyMaterial",
  "Effect": "Allow",
  "Resource": "*",
  "Action": "kms:CreateKey",
  "Condition": {
    "StringEquals": {
      "kms:KeyOrigin": "EXTERNAL"
    }
  }
}

kms: GetParametersForImport (Kebijakan utama atau kebijakan IAM)
- Untuk membatasi izin ini pada permintaan yang menggunakan algoritme pembungkus tertentu dan spesifikasi kunci pembungkus, gunakan kondisi kebijakan kms: WrappingAlgorithm dan kms:. WrappingKeySpec
kms: ImportKeyMaterial (Kebijakan utama atau kebijakan IAM)
- Untuk mengizinkan atau melarang materi utama yang kedaluwarsa dan mengontrol tanggal kedaluwarsa, gunakan ketentuan kebijakan kms: ExpirationModel dan kms:. ValidTo

Untuk mengimpor kembali materi kunci yang diimpor, prinsipal membutuhkan izin kms: GetParametersForImport dan kms:. ImportKeyMaterial

Untuk menghapus materi kunci yang diimpor, prinsipal membutuhkan DeleteImportedKeyMaterial izin kms:.

Misalnya, untuk memberikan KMSAdminRole izin contoh untuk mengelola semua aspek kunci KMS dengan materi kunci impor, sertakan pernyataan kebijakan kunci seperti berikut dalam kebijakan kunci KMS.


{
  "Sid": "Manage KMS keys with imported key material",
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole"
  },
  "Action": [
    "kms:GetParametersForImport",
    "kms:ImportKeyMaterial",
    "kms:DeleteImportedKeyMaterial"
  ]  
}

Persyaratan untuk bahan kunci impor

Materi kunci yang Anda impor harus kompatibel dengan spesifikasi kunci kunci KMS terkait. Untuk pasangan kunci asimetris, impor hanya kunci pribadi pasangan. AWS KMS kunci publik berasal dari kunci privat.

AWS KMS mendukung spesifikasi kunci berikut untuk kunci KMS dengan bahan kunci yang diimpor.

Spesifikasi kunci kunci KMS	Persyaratan material utama
Kunci enkripsi simetris SYMMETRIC_DEFAULT	256-bit (32 byte) data biner Di Wilayah Tiongkok, itu harus berupa 128-bit (16 byte) data biner.
Kunci HMAC HMAC_224 HMAC_256 HMAC_384 HMAC_512	Materi kunci HMAC harus sesuai dengan RFC 2104. Panjang kunci harus setidaknya panjang yang sama yang ditentukan oleh spesifikasi kunci. Panjang kunci maksimum adalah 1024-bit.
Kunci pribadi asimetris RSA RSA_2048 RSA_3072 RSA_4096	Kunci pribadi asimetris RSA yang Anda impor harus menjadi bagian dari key pair yang sesuai dengan RFC 3447. Modulus: 2048 bit, 3072 bit atau 4096 bit Jumlah bilangan prima: 2 (kunci RSA multi-prime tidak didukung) Materi kunci asimetris harus dikodekan BER atau dikodekan DER dalam format Public-Key Cryptography Standards (PKCS) #8 yang sesuai dengan RFC 5208.
Kunci pribadi asimetris kurva elips ECC_NIST_P256 (secp256r1) ECC_NIST_P384 (secp384r1) ECC_NIST_P521 (secp521r1) ECC_SECG_P256K1 (secp256k1)	Kunci pribadi asimetris ECC yang Anda impor harus menjadi bagian dari key pair yang sesuai dengan RFC 5915. Kurva: NIST P-256, NIST P-384, NIST P-521, atau Secp256K1 Parameter: Kurva bernama saja (kunci ECC dengan parameter eksplisit ditolak) Koordinat titik publik: Dapat dikompresi, tidak dikompresi, atau proyektif Materi kunci asimetris harus dikodekan BER atau dikodekan DER dalam format Public-Key Cryptography Standards (PKCS) #8 yang sesuai dengan RFC 5208.
Kunci ML-DSA ML_DSA_44 ML_DSA_65 ML_DSA_87	Mengimpor kunci ML-DSA tidak didukung.
SM2 kunci pribadi asimetris (hanya Wilayah Tiongkok)	Kunci pribadi SM2 asimetris yang Anda impor harus menjadi bagian dari key pair yang sesuai dengan 0003. GM/T Kurva: SM2 Parameter: Kurva bernama saja (SM2kunci dengan parameter eksplisit ditolak) Koordinat titik publik: Dapat dikompresi, tidak dikompresi, atau proyektif Materi kunci asimetris harus dikodekan BER atau dikodekan DER dalam format Public-Key Cryptography Standards (PKCS) #8 yang sesuai dengan RFC 5208.

Spesifikasi kunci kunci KMS

Persyaratan material utama

Kunci enkripsi simetris

SYMMETRIC_DEFAULT

256-bit (32 byte) data biner

Di Wilayah Tiongkok, itu harus berupa 128-bit (16 byte) data biner.

Kunci HMAC

HMAC_224

HMAC_256

HMAC_384

HMAC_512

Materi kunci HMAC harus sesuai dengan RFC

2104.

Panjang kunci harus setidaknya panjang yang sama yang ditentukan oleh spesifikasi kunci. Panjang kunci maksimum adalah 1024-bit.

Kunci pribadi asimetris RSA

RSA_2048

RSA_3072

RSA_4096

Kunci pribadi asimetris RSA yang Anda impor harus menjadi bagian dari key pair yang sesuai dengan RFC 3447.

Modulus: 2048 bit, 3072 bit atau 4096 bit

Jumlah bilangan prima: 2 (kunci RSA multi-prime tidak didukung)

Materi kunci asimetris harus dikodekan BER atau dikodekan DER dalam format Public-Key Cryptography Standards (PKCS) #8 yang sesuai dengan RFC 5208.

Kunci pribadi asimetris kurva elips

ECC_NIST_P256 (secp256r1)

ECC_NIST_P384 (secp384r1)

ECC_NIST_P521 (secp521r1)

ECC_SECG_P256K1 (secp256k1)

Kunci pribadi asimetris ECC yang Anda impor harus menjadi bagian dari key pair yang sesuai dengan RFC 5915.

Kurva: NIST P-256, NIST P-384, NIST P-521, atau Secp256K1

Parameter: Kurva bernama saja (kunci ECC dengan parameter eksplisit ditolak)

Koordinat titik publik: Dapat dikompresi, tidak dikompresi, atau proyektif

Materi kunci asimetris harus dikodekan BER atau dikodekan DER dalam format Public-Key Cryptography Standards (PKCS) #8 yang sesuai dengan RFC 5208.

Kunci ML-DSA

ML_DSA_44

ML_DSA_65

ML_DSA_87

Mengimpor kunci ML-DSA tidak didukung.

SM2 kunci pribadi asimetris (hanya Wilayah Tiongkok)

Kunci pribadi SM2 asimetris yang Anda impor harus menjadi bagian dari key pair yang sesuai dengan 0003. GM/T

Kurva: SM2

Parameter: Kurva bernama saja (SM2kunci dengan parameter eksplisit ditolak)

Koordinat titik publik: Dapat dikompresi, tidak dikompresi, atau proyektif

Materi kunci asimetris harus dikodekan BER atau dikodekan DER dalam format Public-Key Cryptography Standards (PKCS) #8 yang sesuai dengan RFC 5208.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Buat kunci replika Multi-wilayah

Langkah 1: Buat materi AWS KMS key tanpa kunci