Etapa 4: Importar o material de chave - AWS Key Management Service
Definir um prazo de validade (opcional)Defina a descrição principal do materialReimportar material de chaveImportar novo material chaveImportar o material de chave (console)Importar material chave (AWS KMS API)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 4: Importar o material de chave

Depois de criptografar o material de chave, você pode importá-lo para uso com uma AWS KMS key. Para importar o material de chaves, você faz upload do material de chaves criptografado de Etapa 3: Criptografar o material de chave e o token de importação que você baixou em Etapa 2: Fazer download da chave pública de empacotamento e do token de importação. É necessário importar o material de chaves para a mesma chave do KMS que especificou quando você baixou a chave pública e o token de importação. Quando o material da chaves é importado com êxito, o estado da chave da chave do KMS muda para Enabled, e você pode usar a chave do KMS em operações de criptografia.

Ao importar material de chaves, é possível definir uma hora de expiração opcional para ele. Quando o material de chave perde a validade, o AWS KMS exclui o material de chave e a chave KMS se torna inutilizável. Depois de importar o material de chaves, você não pode definir, alterar ou cancelar a data de expiração da importação atual. Para alterar esses valores, você deve reimportar o mesmo material de chave.

Para todas as chaves KMS com EXTERNAL origem, o primeiro material de chave importado se torna atual e permanentemente associado a ela. Chaves de criptografia simétricas de região única com suporte de EXTERNAL origem à rotação sob demanda. Você pode associar vários materiais de chaves a chaves importadas que oferecem suporte à rotação sob demanda. Você deve definir o importType parâmetro como NEW_KEY_MATERIAL com a ImportKeyMaterialação para associar o novo material de chave a uma chave KMS. Esse material de chave não é associado permanentemente à chave até que você execute a RotateKeyOnDemandação. Até lá, esse material chave está no PENDING_ROTATION estado. O valor padrão do ImportType parâmetro opcional éEXISTING_KEY_MATERIAL. Ao omitir o ImportType parâmetro ou especificá-lo comoEXISTING_KEY_MATERIAL, você deve importar um material de chave previamente associado à chave KMS.

Para chaves KMS assimétricas, HMAC ou multirregionais com EXTERNAL origem, somente um material de chave pode ser associado à chave. AWS KMS rejeitará solicitações de ImportKeyMaterialAPI com o ImportType parâmetro.

Quando todos os materiais de chaves permanentemente associados a uma chave KMS são importados, a chave KMS fica disponível para uso em operações criptográficas. Se qualquer um desses materiais de chave for excluído ou tiver permissão para expirar, o estado da chave KMS mudará para PendingImport e a chave ficará inutilizável para operações criptográficas.

Para importar material chave, você pode usar o AWS KMS console ou a ImportKeyMaterialAPI. Você pode usar a API diretamente fazendo solicitações HTTP ou usando um AWS SDKs, AWS Command Line Interfaceou Ferramentas da AWS para PowerShell.

Quando você importa o material da chave, uma ImportKeyMaterialentrada é adicionada ao seu AWS CloudTrail registro para registrar a ImportKeyMaterial operação. A CloudTrail entrada é a mesma se você usa o AWS KMS console ou a AWS KMS API.

Definir um prazo de validade (opcional)

Ao importar o material de chave para a chave do KMS, você pode definir uma data e hora de validade opcionais para o material de chave de até 365 dias a partir da data de importação. Quando o material de chave importado expira, ele é AWS KMS excluído. Essa ação altera estado de chave da chave do KMS para PendingImport, impedindo que ela seja usada em operações de criptografia. Para usar a chave do KMS, você deve reimportar uma cópia do material de chave original.

Garantir que o material de chave importado expire com frequência pode ajudar a atender aos requisitos regulatórios, mas aumenta o risco dos dados criptografados sob a chave do KMS. Até que você reimporte uma cópia do material da chave original, uma chave do KMS com material de chave expirado ficará inutilizável, e todos os dados criptografados sob a chave do KMS ficarão inacessíveis. Se você não reimportar o material da chave por qualquer motivo, inclusive por perda da cópia do material da chave original, a chave do KMS ficará permanentemente inutilizável, e os dados criptografados sob a chave do KMS ficarão irrecuperáveis.

Para reduzir esse risco, certifique-se de que sua cópia do material de chave importado esteja acessível e crie um sistema para excluir e reimportar o material de chaves antes que ele expire e interrompa sua carga de trabalho. AWS Recomendamos definir um alarme para a expiração do material de chave importado, o que lhe dará tempo suficiente para reimportar o material da chave antes que ele expire. Você também pode usar seus CloudTrail registros para auditar operações que importam (e reimportam) material de chave e excluem material de chave importado, e a AWS KMS operação para excluir material de chave expirado.

AWS KMS não pode restaurar, recuperar ou reproduzir o material de chave excluído. Em vez de definir um prazo de validade, você pode excluir e reimportar o material de chave importado de maneira programática periodicamente, mas os requisitos para reter uma cópia do material da chave original são os mesmos.

Ao importar o material de chave, você determina se o material de chave importado expirará e quando isso ocorrerá. No entanto, você pode ativar e desativar a expiração ou definir um novo prazo de expiração reimportando o material da chave. Use o ExpirationModel parâmetro de ImportKeyMaterialpara ativar (KEY_MATERIAL_EXPIRES) e desativar a expiração (KEY_MATERIAL_DOES_NOT_EXPIRE) e o ValidTo parâmetro para definir o tempo de expiração. O tempo máximo é de 365 dias a partir da importação de dados. Não há mínimo, mas o tempo deve estar no futuro.

Defina a descrição principal do material

As chaves de criptografia simétricas de região única com EXTERNAL origem podem ter vários materiais de chave associados a elas. Você pode especificar uma descrição opcional do material chave ao importar o material chave para essas chaves. A descrição pode ser usada para rastrear onde o material chave correspondente é mantido de forma durável no exterior AWS KMS.

Reimportar material de chave

Se você gerencia uma chave do KMS com material de chaves importado, talvez seja necessário importar novamente o material de chave. Você também reimportar o material de chave para substituir material de chave prestes a expirar ou excluído ou para alterar o modelo de expiração ou a data de validade do material de chave.

Você pode reimportar material da chave a qualquer momento, em qualquer programação que atenda aos seus requisitos de segurança. Não é necessário esperar até que o material da chave esteja expirando ou prestes a expirar.

O procedimento para reimportar o material de chaves é o mesmo que você usa para importar o material de chaves pela primeira vez, com as seguintes exceções.

  • Utilize uma chave do KMS existente em vez de criar uma nova. Você pode ignorar a Etapa 1 do procedimento de importação.

  • Ao reimportar o material de chave, você pode alterar o modelo de expiração e data de expiração.

Cada vez que você importa o material de chave para uma chave do KMS, é necessário baixar e usar uma nova chave de empacotamento e token de importação da chave do KMS. O procedimento de empacotamento não afeta o conteúdo do material de chave, portanto você pode usar diferentes chaves públicas de empacotamento e diferentes algoritmos de empacotamento para importar o mesmo material de chave.

Importar novo material chave

Para realizar a rotação sob demanda em uma chave KMS de criptografia simétrica com material de chave importado, primeiro você precisará importar um novo material de chave, não associado anteriormente à chave. Use a ImportKeyMaterialoperação com o ImportType parâmetro definido NEW_KEY_MATERIAL para realizar essa tarefa. O material da chave importado dessa maneira permanecerá no PENDING_ROTATION estado até que você execute a RotateKeyOnDemandoperação ou gire a chave no AWS Management Console. Uma chave KMS pode ter no máximo um material de chave no PENDING_ROTATION estado a qualquer momento.

Importar o material de chave (console)

Você pode usar o AWS Management Console para importar material chave.

  1. Se você estiver na página Upload your wrapped key material (Fazer upload de chave empacotada), vá para Passo 8.

  2. Faça login no console AWS Management Console e abra o AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  3. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  4. No painel de navegação, escolha Chaves gerenciadas pelo cliente.

  5. Escolha o alias ou o ID da chave do KMS para a qual você baixou a chave pública e o token de importação.

  6. Expanda a seção Cryptographic configuration (Configuração criptográfica) e visualize seus valores. As guias estão na página de detalhes de uma chave do KMS, abaixo da seção General configuration (Configuração geral).

    É possível importar material de chaves somente para uma chave do KMS com uma Origin (Origem) de External (Import key material) (Externa [Importar material de chave]). Para obter informações sobre como criar chaves do KMS com material de chave importado, consulte Importação de material chave para AWS KMS chaves.

  7. Para chaves assimétricas, HMAC e multirregionais, escolha a guia Material chave e, em seguida, escolha Importar material chave. Para chaves de criptografia simétricas de região única, escolha a guia Material da chave e rotações. Em seguida, escolha Importar material de chave inicial ou Importar novo material de chave ou Reimportar material de chave. A opção Reimportar material-chave está disponível no Actions menu da tabela de materiais-chave.

    Se você baixou o material da chave, o token de importação e criptografou o material da chave, escolha Next (Avançar).

  8. Na seção Encrypted key material and import token (Material de chave criptografada e token de importação), faça o seguinte:

    1. Em Wrapped key material (material de chave empacotada), escolha Choose file (Escolher arquivo). Faça upload do arquivo que contém o material de chaves encapsulado (criptografado).

    2. Em Import token (Importar token), escolha Choose file (Escolher arquivo). Faça upload do arquivo que contém o token de importação obtido por download.

  9. Na seção Expiration option (Opção de expiração), determine se o material de chave expira. Para definir uma data e hora de expiração, escolha Key material expires (O material de chaves expira), e use o calendário para selecionar uma data e hora. Você pode especificar uma data de até 365 dias da data e hora atuais.

  10. Para chaves de criptografia simétricas, você pode, opcionalmente, especificar uma descrição para o material de chave que está sendo importado.

  11. Escolha Importar material de chave.

Importar material chave (AWS KMS API)

Para importar material chave, use a ImportKeyMaterialoperação. O exemplo a seguir usa a AWS CLI, mas você pode usar qualquer linguagem de programação compatível.

Para usar este exemplo:

  1. Substitua 1234abcd-12ab-34cd-56ef-1234567890ab pelo ID da chave do KMS que você especificou quando baixou a chave pública e o token de importação. Para identificar a chave do KMS, use seu ID de chave ou ARN de chave. Você não pode usar um nome de alias ou ARN de alias para esta operação.

  2. Substitua EncryptedKeyMaterial.bin pelo nome do arquivo que contém o material de chaves criptografado.

  3. Substitua ImportToken.bin pelo nome do arquivo que contém o token de importação.

  4. Se você quiser que o material da chave importada expire, defina o valor do parâmetro expiration-model para seu valor padrão, KEY_MATERIAL_EXPIRES, ou omita o parâmetro expiration-model. Em seguida, substitua o valor do parâmetro valid-to com a data e a hora em que você deseja que o material da chave expire. A data e a hora podem ser de até 365 dias a partir do momento da solicitação. 

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_EXPIRES \
    --valid-to 2023-06-17T12:00:00-08:00

    Se você não quiser que o material da chave importada expire, defina o valor do parâmetro expiration-model como KEY_MATERIAL_DOES_NOT_EXPIRE e omita o parâmetro valid-to do comando.

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_DOES_NOT_EXPIRE

  5. Se você quiser importar um novo material de chave, não associado anteriormente à chave KMS, defina o ImportType parâmetro como. NEW_KEY_MATERIAL Essa opção só pode ser usada com chaves de criptografia simétrica de região única. Para essas chaves, você também pode usar o KeyMaterialDescription parâmetro opcional para definir uma descrição para o material da chave importada no seguinte exemplo de linha de comando: 

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_EXPIRES \
    --valid-to 2023-06-17T12:00:00-08:00 \
    --import-type NEW_KEY_MATERIAL \
    --key-material-description "Q2 2025 Rotation"
dica

Se o comando não for bem-sucedido, você poderá ver uma KMSInvalidStateException ou NotFoundException. Você poderá repetir a solicitação.