本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
保護匯入的金鑰資料
您匯入的金鑰資料在傳輸過程及靜態狀態都受到保護。在匯入金鑰材料之前,您可以使用在 FIPS 140-3 密碼編譯模組驗證計劃下驗證的 AWS KMS 硬體安全模組 (HSMs) 中產生的 RSA 金鑰對公有金鑰來加密 (或「包裝」) 金鑰材料。 https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884
收到時, 會使用 AWS KMS HSM 中對應的私有金鑰 AWS KMS 來解密金鑰材料,並在僅存在於 HSM 揮發性記憶體中的 AES 對稱金鑰下重新加密。您的金鑰資料永遠不會以純文字形式離開 HSM。它只會在使用中且僅在 AWS KMS HSMs內解密。
與匯入的金鑰資料搭配運用的 KMS 金鑰取決於您在 KMS 金鑰設定的存取控制政策。此外,您可利用別名與標籤來識別及控制 KMS 金鑰的存取權。您可以使用 等服務來啟用和停用金鑰、檢視和監控金鑰 AWS CloudTrail。
然而,您要維護金鑰資料的唯一故障安全副本。為了獲得此額外控制措施的回報,您必須負責匯入金鑰材料的耐用性和整體可用性。 AWS KMS 旨在讓匯入金鑰材料保持高可用性。但 AWS KMS 不會將匯入金鑰材料的耐久性維持在與 AWS KMS 產生的金鑰材料相同的層級。
這種持久性差異在以下情況具有意義:
-
當您為匯入的金鑰材料設定過期時間時, 會在金鑰材料過期後 AWS KMS 刪除金鑰材料。 AWS KMS 不會刪除 KMS 金鑰或其中繼資料。您可以建立 Amazon CloudWatch 警示,在匯入的金鑰資料臨近其到期日期時通知您。
您無法刪除為 KMS 金鑰 AWS KMS 產生的金鑰材料,也無法將 AWS KMS 金鑰材料設定為過期。
-
當您手動刪除匯入的金鑰材料時, 會 AWS KMS 刪除金鑰材料,但不會刪除 KMS 金鑰或其中繼資料。相反地,排程金鑰刪除需要 7 到 30 天的等待期間,之後會 AWS KMS 永久刪除 KMS 金鑰、其中繼資料及其金鑰材料。
-
萬一發生影響 AWS KMS (例如總停電) 的特定全區域故障, AWS KMS 無法自動還原您匯入的金鑰材料。不過, AWS KMS 可以還原 KMS 金鑰及其中繼資料。
您必須將匯入金鑰材料的副本保留 AWS 在您控制的系統中的 外部。建議您將匯入金鑰資料的可匯出複本儲存在金鑰管理系統,例如 HSM。最佳實務是,您應該將 KMS 金鑰 ARN 和 產生的金鑰材料 ID 的參考與可匯出的金鑰材料複本 AWS KMS 一起存放。如匯入的金鑰資料遭到刪除或到期,則在您重新匯入相同金鑰資料之前,其關聯的 KMS 金鑰將無法運用。如匯入的金鑰資料永久遺失,則利用 KMS 金鑰加密的任何密文均無法復原。
重要
單一區域、對稱加密金鑰可以有多個與其相關聯的金鑰材料。一旦您刪除其中一個金鑰材料,或其中一個金鑰材料過期,整個 KMS 金鑰就會變得無法使用 (除非已刪除或即將過期的金鑰材料是 PENDING_ROTATION)。您必須重新匯入與此類金鑰相關聯的任何過期或刪除的金鑰資料,金鑰才能用於密碼編譯操作。
