导入 AWS KMS 密钥的密钥材料
您可以使用您提供的密钥材料创建 AWS KMS keys(KMS 密钥)。
KMS 密钥是数据密钥的逻辑表示形式。KMS 密钥的元数据包括用于执行加密操作的密钥材料的 ID。默认情况下,当您创建 KMS 密钥时,AWS KMS 会为该 KMS 密钥生成密钥材料。但是,您可以创建不带密钥材料的 KMS 密钥,然后将自己的密钥材料导入该 KMS 密钥中,这个功能通常被称为“自带密钥 (BYOK)”。
注意
AWS KMS 不支持在 AWS KMS 以外解密任何由对称加密 KMS 密钥加密的 AWS KMS 加密文字,即使加密文字是使用具有导入的密钥材料的 KMS 密钥加密的。AWS KMS 不会发布此任务所需的加密文字格式,并且格式可能会在不通知的情况下更改。
在使用导入的密钥材料时,您仍然需要对密钥材料负责,并允许 AWS KMS 使用其副本。出于以下一个或多个原因,您可以选择执行该操作:
-
证明使用符合您要求的熵源生成了密钥材料。
-
将来自您自己的基础设施的密钥材料与 AWS 服务配合使用,并使用 AWS KMS 管理该密钥材料在 AWS 内的生命周期。
-
在 AWS KMS 中使用现有的成熟密钥,例如用于代码签名、PKI 证书签名和证书固定的应用程序的密钥
-
在 AWS 中为密钥材料设置过期时间,并手动删除它,但也可以使其在未来再次可用。相比之下,计划密钥删除需要 7 到 30 天的等待期限,之后,您不能恢复已删除的 KMS 密钥。
-
拥有密钥材料的原始备份,并将其保存在 AWS 外部,以在密钥材料的整个生命周期内获得额外的持久性和灾难恢复能力。
-
对于非对称密钥和 HMAC 密钥,导入会创建兼容且可互操作的密钥,这些密钥可在 AWS 内部和外部运行。
支持的 KMS 密钥类型
AWS KMS 支持以下类型的 KMS 密钥的导入密钥材料。您无法将密钥材料导入自定义密钥存储中的 KMS 密钥。
区域
AWS 区域 支持的所有 AWS KMS 中都支持导入的密钥材料。
在中国区域,对称加密 KMS 密钥的密钥材料要求与其他区域不同。有关更多信息,请参阅 步骤 3:加密密钥材料。
了解更多
-
要创建具有导入密钥材料的 KMS 密钥,请参阅删除具有导入密钥材料的 KMS 密钥。
-
要创建警报以在 KMS 密钥中导入的密钥材料即将到期时通知您,请参阅针对导入密钥材料的到期创建 CloudWatch 警报。
-
要将密钥材料重新导入 KMS 密钥中,请参阅重新导入密钥材料。
-
要识别和查看带导入的密钥材料的 KMS 密钥,请参阅识别带导入的密钥材料的 KMS 密钥。
-
如需了解删除带导入的密钥材料的 KMS 密钥的特殊注意事项,请参阅Deleting KMS keys with imported key material。
