Etapa 4: Importar o material de chave - AWS Key Management Service
Definir um prazo de validade (opcional)Definir descrição de material de chaveImportar novo material de chaveReimportar material de chaveImportar o material de chave (console)Importar material chave (AWS KMS API)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 4: Importar o material de chave

Depois de criptografar o material de chave, você pode importá-lo para uso com uma AWS KMS key. Para importar o material de chaves, você faz upload do material de chaves criptografado de Etapa 3: Criptografar o material de chave e o token de importação que você baixou em Etapa 2: Fazer download da chave pública de empacotamento e do token de importação. É necessário importar o material de chaves para a mesma chave do KMS que especificou quando você baixou a chave pública e o token de importação. Quando o material da chaves é importado com êxito, o estado da chave da chave do KMS muda para Enabled, e você pode usar a chave do KMS em operações de criptografia.

Ao importar material de chaves, é possível definir uma hora de expiração opcional para ele. Quando o material de chave perde a validade, o AWS KMS exclui o material de chave e a chave KMS se torna inutilizável. Depois de importar o material de chaves, você não pode definir, alterar ou cancelar a data de expiração da importação atual. Para alterar esses valores, você deve reimportar o mesmo material de chave.

Em todas as chaves do KMS com a origem EXTERNAL, o primeiro material de chave importado se torna atual e permanentemente associado a ela. Chaves de criptografia simétricas com suporte de EXTERNAL origem para rotação sob demanda. Você pode associar vários materiais de chave a chaves importadas compatíveis com rodízio sob demanda. O processo de importação de novo material de chave é diferente para chaves de região única e de várias regiões, conforme descrito na seção Importar novo material de chave. Você deve definir o importType parâmetro como NEW_KEY_MATERIAL com a ImportKeyMaterialação para associar o novo material de chave a uma chave KMS. O valor padrão do parâmetro opcional ImportType é EXISTING_KEY_MATERIAL. Quando você omite o parâmetro ImportType ou o especifica como EXISTING_KEY_MATERIAL, é necessário importar um material de chave previamente associado à chave do KMS.

Para chaves assimétricas ou HMAC KMS com EXTERNAL origem, somente um material de chave pode ser associado à chave. AWS KMS rejeitará solicitações de ImportKeyMaterialAPI com o ImportType parâmetro.

Quando todos os materiais de chave permanentemente associados a uma chave do KMS são importados, a chave do KMS fica disponível para uso em operações criptográficas. Se algum desses materiais de chave for excluído ou deixado expirar, o estado da chave do KMS mudará para PendingImport e a chave ficará inutilizável para operações criptográficas.

Para importar material chave, você pode usar o AWS KMS console ou a ImportKeyMaterialAPI. Você pode usar a API diretamente fazendo solicitações HTTP ou usando um AWS SDKs, AWS Command Line Interfaceou AWS Tools for PowerShell.

Quando você importa o material da chave, uma ImportKeyMaterialentrada é adicionada ao seu AWS CloudTrail registro para registrar a ImportKeyMaterial operação. A CloudTrail entrada é a mesma se você usa o AWS KMS console ou a AWS KMS API.

Definir um prazo de validade (opcional)

Ao importar o material de chave para a chave do KMS, você pode definir uma data e hora de validade opcionais para o material de chave de até 365 dias a partir da data de importação. Quando o material de chave importado expira, ele é AWS KMS excluído. Essa ação altera estado de chave da chave do KMS para PendingImport, impedindo que ela seja usada em operações de criptografia. Para usar a chave do KMS, você deve reimportar uma cópia do material de chave original.

Garantir que o material de chave importado expire com frequência pode ajudar a atender aos requisitos regulatórios, mas aumenta o risco dos dados criptografados sob a chave do KMS. Até que você reimporte uma cópia do material da chave original, uma chave do KMS com material de chave expirado ficará inutilizável, e todos os dados criptografados sob a chave do KMS ficarão inacessíveis. Se você não reimportar o material da chave por qualquer motivo, inclusive por perda da cópia do material da chave original, a chave do KMS ficará permanentemente inutilizável, e os dados criptografados sob a chave do KMS ficarão irrecuperáveis.

Para reduzir esse risco, certifique-se de que sua cópia do material de chave importado esteja acessível e crie um sistema para excluir e reimportar o material de chaves antes que ele expire e interrompa sua carga de trabalho. AWS Recomendamos definir um alarme para a expiração do material de chave importado, o que lhe dará tempo suficiente para reimportar o material da chave antes que ele expire. Você também pode usar seus CloudTrail registros para auditar operações que importam (e reimportam) material de chave e excluem material de chave importado, e a AWS KMS operação para excluir material de chave expirado.

AWS KMS não pode restaurar, recuperar ou reproduzir o material de chave excluído. Em vez de definir um prazo de validade, você pode excluir e reimportar o material de chave importado de maneira programática periodicamente, mas os requisitos para reter uma cópia do material da chave original são os mesmos.

Ao importar o material de chave, você determina se o material de chave importado expirará e quando isso ocorrerá. Mas é possível ativar e desativar a expiração ou definir um novo prazo de validade reimportando o material de chave. Use o ExpirationModel parâmetro de ImportKeyMaterialpara ativar (KEY_MATERIAL_EXPIRES) e desativar a expiração (KEY_MATERIAL_DOES_NOT_EXPIRE) e o ValidTo parâmetro para definir o tempo de expiração. O tempo máximo é de 365 dias a partir da importação de dados. Não há mínimo, mas o tempo deve estar no futuro.

Definir descrição de material de chave

As chaves de criptografia simétricas com EXTERNAL origem podem ter vários materiais de chave associados a elas. Você pode especificar uma descrição opcional de material de chave ao importar o material de chave para essas chaves. A descrição pode ser usada para rastrear onde o material de chave correspondente é mantido a longo prazo no AWS KMS exterior.

Para chaves multirregionais, você pode definir ou alterar a descrição do material da chave somente na chave de região primária. AWS KMS propaga automaticamente a descrição do material chave para réplicas de chaves de região.

Importar novo material de chave

Primeiro você precisará importar um novo material de chave, não associado anteriormente à chave para realizar um rodízio sob demanda de uma chave do KMS de criptografia simétrica com material de chave importado.

  • Chaves de região única

    • Use a ImportKeyMaterialoperação com o ImportType parâmetro definido NEW_KEY_MATERIAL para realizar essa tarefa. Esse material de chave não é associado permanentemente à chave até que você execute a RotateKeyOnDemandoperação ou gire a chave no Console de gerenciamento da AWS. Até lá, esse material de chave fica no estado PENDING_ROTATION. Uma chave do KMS nunca pode ter mais que um material de chave no estado PENDING_ROTATION. Um material de chave em PENDING_ROTATION estado pode ser excluído sem afetar a usabilidade da chave em operações criptográficas.

  • Chaves de várias regiões

    • Para importar material chave em uma chave multirregional, você deve primeiro importar o novo material chave para a chave de região primária. Você não pode importar diretamente novos materiais de chave para réplicas de chaves de região. Depois de importar o novo material de chave para a chave de região primária, você pode importar os mesmos materiais de chave para as réplicas de chaves de região.

    • Use a ImportKeyMaterialoperação com o ImportType parâmetro definido como NEW_KEY_MATERIAL para a chave de região primária para realizar essa tarefa. Para a chave de região da réplica, use o EXISTING_KEY_MATERIAL parâmetro ImportType para a ImportKeyMaterial operação.

    • O material chave para chaves multirregionais de criptografia simétrica deve ser importado para todas as chaves de região de réplica e chaves de região primárias antes que o estado do material da chave mude para estado. PENDING_ROTATION Até lá, o estado do novo material chave éPENDING_MULTI_REGION_IMPORT_AND_ROTATION. Uma chave KMS pode ter no máximo um material de chave PENDING_ROTATION ou PENDING_MULTI_REGION_IMPORT_AND_ROTATION estado a qualquer momento (veja a KeyMaterialState descrição em RotationsListEntry). Um material de chave em PENDING_MULTI_REGION_IMPORT_AND_ROTATION ou PENDING_ROTATION estado não está associado permanentemente à chave e pode ser excluído sem afetar a usabilidade da chave em operações criptográficas.

Reimportar material de chave

Se você gerencia uma chave do KMS com material de chaves importado, talvez seja necessário importar novamente o material de chave. Você também reimportar o material de chave para substituir material de chave prestes a expirar ou excluído ou para alterar o modelo de expiração ou a data de validade do material de chave.

Você pode reimportar material da chave a qualquer momento, em qualquer programação que atenda aos seus requisitos de segurança. Não é necessário esperar até que o material da chave esteja expirando ou prestes a expirar.

Os procedimentos para reimportar material de chave são iguais ao procedimento que você usou para importar o material de chave a primeira vez, com as exceções a seguir.

  • Utilize uma chave do KMS existente em vez de criar uma nova. Você pode ignorar a Etapa 1 do procedimento de importação.

  • Ao reimportar o material de chave, você pode alterar o modelo de expiração e data de expiração. Para chaves de criptografia simétricas, você também pode alterar a descrição do material da chave.

    Para chaves multirregionais, você pode definir ou alterar a descrição do material da chave somente na chave de região primária. AWS KMS propaga automaticamente a descrição do material chave para réplicas de chaves de região.

Cada vez que você importa o material de chave para uma chave do KMS, é necessário baixar e usar uma nova chave de empacotamento e token de importação da chave do KMS. O procedimento de empacotamento não afeta o conteúdo do material de chave, portanto você pode usar diferentes chaves públicas de empacotamento e diferentes algoritmos de empacotamento para importar o mesmo material de chave.

Importar o material de chave (console)

Você pode usar o Console de gerenciamento da AWS para importar material chave.

  1. Se você estiver na página Upload your wrapped key material (Fazer upload de chave empacotada), vá para Passo 10.

  2. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  3. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  4. No painel de navegação, escolha Chaves gerenciadas pelo cliente.

  5. Escolha o alias ou o ID da chave do KMS para a qual você baixou a chave pública e o token de importação.

  6. Expanda a seção Cryptographic configuration (Configuração criptográfica) e visualize seus valores. As guias estão na página de detalhes de uma chave do KMS, abaixo da seção General configuration (Configuração geral).

    É possível importar material de chaves somente para uma chave do KMS com uma Origin (Origem) de External (Import key material) (Externa [Importar material de chave]). Para obter informações sobre como criar chaves do KMS com material de chave importado, consulte Importação de material chave para AWS KMS chaves.

  7. Escolha a guia apropriada com base no seu tipo de chave.

    • Para chaves assimétricas e HMAC, escolha a guia Material da chave.

    • Para chaves de criptografia simétricas, escolha a guia Material da chave e rotações.

  8. Escolha a ação de importação.

    • Para chaves assimétricas e HMAC, escolha Importar material de chave.

    • Para chaves de criptografia simétricas, escolha uma das seguintes opções:

      • Importar material de chave inicial (se nenhum material de chave tiver sido importado ainda)

      • Importar novo material chave (para adicionar novo material para rotação)

      • Reimportar material chave (disponível no menu Ações na tabela de materiais principais)

    nota

    Para chaves multirregionais, você deve primeiro importar o novo material de chave para a chave de região primária. Em seguida, importe o mesmo material de chave em cada chave de região de réplica.

    Para chaves multirregionais primárias, a tabela de materiais principais inclui uma coluna de estado de importação da réplica que exibe o status da importação em todas as regiões da réplica (por exemplo, “0 de 3 importados”). Escolha o valor do estado de importação da réplica para abrir um modal que mostre o status de importação de cada região da réplica. O modal fornece links de importação de material de chave para regiões de réplica onde o novo material de chave não foi importado.

  9. Se você baixou o material da chave, o token de importação e criptografou o material da chave, escolha Next (Avançar).

    nota

    Para chaves multirregionais, você deve primeiro importar o novo material de chave para a chave de região primária. Em seguida, você pode importar o mesmo material de chave para as chaves de região da réplica.

  10. Na seção Encrypted key material and import token (Material de chave criptografada e token de importação), faça o seguinte:

    1. Em Wrapped key material (material de chave empacotada), escolha Choose file (Escolher arquivo). Faça upload do arquivo que contém o material de chaves encapsulado (criptografado).

    2. Em Import token (Importar token), escolha Choose file (Escolher arquivo). Faça upload do arquivo que contém o token de importação obtido por download.

  11. Na seção Expiration option (Opção de expiração), determine se o material de chave expira. Para definir uma data e hora de expiração, escolha Key material expires (O material de chaves expira), e use o calendário para selecionar uma data e hora. Você pode especificar uma data de até 365 dias da data e hora atuais.

  12. Para chaves de criptografia simétrica, você tem a opção de especificar uma descrição para o material da chave que está sendo importado.

  13. Escolha Importar material de chave.

Importar material chave (AWS KMS API)

Para importar material chave, use a ImportKeyMaterialoperação. O exemplo a seguir usa a AWS CLI, mas você pode usar qualquer linguagem de programação compatível.

Para usar este exemplo:

  1. Substitua 1234abcd-12ab-34cd-56ef-1234567890ab pelo ID da chave do KMS que você especificou quando baixou a chave pública e o token de importação. Para identificar a chave do KMS, use seu ID de chave ou ARN de chave. Você não pode usar um nome de alias ou ARN de alias para esta operação.

  2. Substitua EncryptedKeyMaterial.bin pelo nome do arquivo que contém o material de chaves criptografado.

  3. Substitua ImportToken.bin pelo nome do arquivo que contém o token de importação.

  4. Se você quiser que o material da chave importada expire, defina o valor do parâmetro expiration-model para seu valor padrão, KEY_MATERIAL_EXPIRES, ou omita o parâmetro expiration-model. Em seguida, substitua o valor do parâmetro valid-to com a data e a hora em que você deseja que o material da chave expire. A data e a hora podem ser de até 365 dias a partir do momento da solicitação. 

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_EXPIRES \
    --valid-to 2023-06-17T12:00:00-08:00

    Se você não quiser que o material da chave importada expire, defina o valor do parâmetro expiration-model como KEY_MATERIAL_DOES_NOT_EXPIRE e omita o parâmetro valid-to do comando.

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_DOES_NOT_EXPIRE

  5. Se você quiser importar novo material de chave, não associado anteriormente à chave do KMS, defina o parâmetro ImportType como NEW_KEY_MATERIAL. Essa opção só pode ser usada com chaves de criptografia simétricas. Para essas chaves, você também pode usar o parâmetro opcional KeyMaterialDescription para definir uma descrição para o material de chave importado no seguinte exemplo de linha de comando: 

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_EXPIRES \
    --valid-to 2023-06-17T12:00:00-08:00 \
    --import-type NEW_KEY_MATERIAL \
    --key-material-description "Q2 2025 Rotation"

  6. Para chaves multirregionais, você pode definir ou alterar a descrição do material da chave somente na chave de região primária. AWS KMS propaga automaticamente a descrição do material chave para réplicas de chaves de região.

dica

Se o comando não for bem-sucedido, você poderá ver uma KMSInvalidStateException ou NotFoundException. Você poderá repetir a solicitação.