Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Data Encryption Workshop/ Guia de usuário/ Serviço de gerenciamento de chaves/ Criação de CMKs usando materiais importados de chave/ Visão geral
Atualizado em 2024-09-14 GMT+08:00
Ver PDF
Compartilhar

Visão geral

Uma chave personalizada contém metadados de chave (ID da chave, alias da chave, descrição, status da chave e data de criação) e materiais de chaves usados para criptografar e descriptografar dados.
  • Quando um usuário usa o console do KMS para criar uma chave personalizada, o KMS gera automaticamente um material de chave para a chave personalizada.
  • Se quiser usar seu próprio material de chave, você pode usar a função de importação de chave no console do KMS para criar uma chave personalizada cujo material de chave esteja vazio e importar o material de chave para a chave personalizada.

Observações importantes

  • Segurança

    Você precisa garantir que as fontes aleatórias atendam aos seus requisitos de segurança ao usá-las para gerar materiais de chaves. Ao usar a função de chave de importação, você precisa ser responsável pela segurança de seus materiais de chaves. Salve o backup original do material da chave para que o material da chave de backup possa ser importado para o KMS no momento em que o material da chave for excluído acidentalmente.

  • Disponibilidade e durabilidade

    Antes de importar o material da chave para o KMS, você precisa garantir a disponibilidade e a durabilidade do material da chave.

    As diferenças entre o material de chave importado e o material de chave gerado pelo KMS são mostradas em Tabela 1.

    Tabela 1 Diferenças entre o material da chave importado e o material da chave gerado pelo KMS

    Fonte de material de chave

    Diferença

    Chaves importadas
    • Você pode excluir o material da chave, mas não pode excluir a chave personalizada e seus metadados.
    • Tais chaves não podem ser giradas.
    • Ao importar o material da chave, você pode definir o tempo de expiração do material da chave. Após a expiração do material da chave, o KMS exclui automaticamente o material da chave em 24 horas, mas não exclui a chave personalizada e seus metadados.

      Recomenda-se salvar uma cópia do material em seu dispositivo local, pois ela pode ser usada para reimportação em casos de materiais de chaves inválidos ou de exclusão incorreta de materiais de chaves.

      NOTA:

      Chaves usando algoritmos RSA_2048, RSA_3072, RSA_4096, EC_P256 e EC_P384 são permanentemente válidas. Seus materiais de chaves não podem ser excluídos manualmente e seu tempo de expiração não pode ser configurado.

    Chaves criadas no KMS
    • O material da chave não pode ser excluído manualmente.
    • As chaves simétricas podem ser giradas.
    • Você não pode definir o tempo de expiração para o material de chave.
  • Vinculação

    Quando um material de chave é importado para uma chave personalizada, a chave personalizada é permanentemente vinculada ao material da chave. Outros materiais de chaves não podem ser importados para a chave personalizada.

  • Exclusividade

    Se você usar a chave personalizada criada usando o material da chave importada para criptografar dados, os dados criptografados poderão ser descriptografados somente pela chave personalizada que foi usada para criptografar os dados, porque os metadados e o material da chave personalizada devem ser consistentes.