匯入金鑰資料的特殊考量 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

匯入金鑰資料的特殊考量

在您決定將金鑰材料匯入 之前 AWS KMS,您應該了解匯入金鑰材料的下列特性。

您可以產生關鍵材料

您有責任使用符合您安全要求的隨機來源產生金鑰材料。

您必須為可用性和耐久性負責

AWS KMS 旨在讓匯入的金鑰材料保持高可用性。但 AWS KMS 不會將匯入金鑰材料的耐久性維持在與 AWS KMS 產生的金鑰材料相同的層級。如需詳細資訊,請參閱保護匯入的金鑰資料

您可以刪除金鑰材料

您可以從 KMS 金鑰中刪除匯入的金鑰材料,立即使 KMS 金鑰無法使用。此外,當您將金鑰材料匯入 KMS 金鑰時,您可以決定金鑰是否會過期,並設定其過期時間。當過期時間到達時, AWS KMS 會刪除金鑰材料。如果沒有金鑰材料,即無法在任何密碼編譯操作中使用 KMS 金鑰。若要還原金鑰,您必須將相同的金鑰材料重新匯入至金鑰。

您無法變更非對稱的金鑰材料和 HMAC 金鑰

當您將金鑰材料匯入 KMS 金鑰,KMS 金鑰將永久關聯到該金鑰材料。您可以重新匯入相同的金鑰材料,但您不能將不同的金鑰材料匯入 KMS 金鑰。此外,您無法為具有匯入金鑰材料的任何 KMS 金鑰啟用自動金鑰輪換。不過,您可以手動輪換具有匯入金鑰材料的 KMS 金鑰

您可以在對稱加密金鑰上執行隨需輪換

具有匯入金鑰材料的對稱加密金鑰支援隨需輪換。您可以將多個金鑰材料匯入這些金鑰,並使用隨需輪換來更新目前的金鑰材料。目前的金鑰材料同時用於加密和解密,但其他 (非目前) 金鑰材料只能用於解密。

您無法變更金鑰資料來源

設計用於匯入金鑰材料的 KMS 金鑰具有無法變更的 EXTERNAL 來源值。您無法轉換匯入金鑰材料的 KMS 金鑰,以使用任何其他來源的金鑰材料,包括 AWS KMS。同樣地,您無法將 KMS 金鑰與 AWS KMS 金鑰材料轉換為專為匯入金鑰材料設計的金鑰材料。

您無法匯出金鑰資料

您無法匯出您匯入的任何金鑰材料。 AWS KMS 無法以任何形式將匯入的金鑰材料傳回給您。您必須在 外部保留匯入金鑰材料的副本 AWS,最好是在金鑰管理器中,例如硬體安全模組 (HSM),以便在刪除金鑰材料或金鑰材料過期時重新匯入金鑰材料。

您可利用匯入金鑰資料來建立多區域金鑰。

具匯入金鑰資料的多區域擁有匯入金鑰資料的 KMS 金鑰功能,且可在 AWS 區域之間互通。若要利用匯入金鑰資料來建立多區域金鑰,您必須匯入相同金鑰資料至主要 KMS 金鑰以及每個複本金鑰。如需匯入多區域金鑰之金鑰資料的詳細資訊,請參閱 匯入新的金鑰資料

非對稱金鑰與 HMAC 金鑰為可攜式且可互通

您可以在 外部使用您的非對稱金鑰材料和 HMAC 金鑰材料 AWS ,與具有相同匯入金鑰材料的 AWS KMS 金鑰互通。

與不可分割地繫結至演算法中使用的 KMS 金鑰的 AWS KMS 對稱加密文字不同, AWS KMS 會使用標準 HMAC 和非對稱格式進行加密、簽署和產生 MAC。因此,這些金鑰為可攜式,並且支援傳統委付金鑰案例。

當您的 KMS 金鑰已匯入金鑰材料時,您可以使用 外部匯入的金鑰材料 AWS 來執行下列操作。

  • HMAC 金鑰 — 您可利用匯入金鑰資料來驗證 HMAC KMS 金鑰所產生的 HMAC 標籤。您也可以將 HMAC KMS 金鑰與匯入的金鑰材料搭配使用,以驗證由外部金鑰材料產生的 HMAC 標籤 AWS。

  • 非對稱加密金鑰 — 您可以使用 外部的私有非對稱加密金鑰 AWS ,以對應的公有金鑰解密 KMS 金鑰加密的加密文字。您也可以使用非對稱 KMS 金鑰來解密在 外部產生的非對稱加密文字 AWS。

  • 非對稱簽署金鑰 — 您可以使用非對稱簽署 KMS 金鑰搭配匯入的金鑰材料,來驗證 外部私有簽署金鑰所產生的數位簽章 AWS。您也可以使用 外部的非對稱公有簽署金鑰 AWS 來驗證非對稱 KMS 金鑰所產生的簽章。

  • 非對稱金鑰協議金鑰 — 您可以使用非對稱金鑰協議 KMS 金鑰搭配匯入的金鑰材料,以衍生與 外部對等的共用秘密 AWS。

如您匯入相同金鑰資料至位於相同 AWS 區域的不同 KMS 金鑰,則這些金鑰也可互通。若要在不同 中建立可互通的 KMS 金鑰 AWS 區域,請使用匯入的金鑰材料建立多區域金鑰。

RSA 私有金鑰

  • AWS KMS 要求匯入的 RSA 私有金鑰具有符合 FIPS 186-5 第 A. 1.3 節所述測試的主要因素。其他軟體或裝置可能會使用不同的演算法來驗證 RSA 私有金鑰的這些主要因素。在極少數情況下,可能無法接受使用其他演算法驗證的金鑰 AWS KMS。

對稱加密金鑰為不可攜式且不可互通

AWS KMS 產生的對稱加密文字不是可攜式或互通性。 AWS KMS 不會發佈可攜性所需的對稱加密文字格式,而且格式可能會變更,恕不另行通知。

  • AWS KMS 即使您使用已匯入的金鑰材料 AWS,也無法解密您在 外部加密的對稱加密文字。

  • AWS KMS 不支援解密 AWS KMS 外部的任何對稱加密文字 AWS KMS,即使加密文字是在具有匯入金鑰材料的 KMS 金鑰下加密。

  • 具相同匯入金鑰資料的 KMS 金鑰無法互通。 AWS KMS 產生每個 KMS 金鑰特定加密文字的對稱加密文字。此密文格式可保證僅加密該資料的 KMS 金鑰可解密。

此外,您無法使用 AWS Encryption SDKAmazon S3 用戶端加密等任何 AWS 工具來解密 AWS KMS 對稱加密文字。

因此,您無法將金鑰與匯入的金鑰材料搭配使用,以支援金鑰託管安排,其中具有金鑰材料條件存取的授權第三方可以解密外部的某些加密文字 AWS KMS。若要支援金鑰委付,請使用 AWS Encryption SDK 在獨立於 AWS KMS的金鑰下將您的訊息加密。