Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Atualizado em 2023-03-01 GMT+08:00

Visão geral

Uma CMK contém metadados de chave (ID da chave, alias da chave, descrição, status da chave e data de criação) e materiais de chave utilizados para criptografia e descriptografia dados.
  • Quando um usuário usa o console do KMS para criar uma CMK, o KMS gera automaticamente um material de chave para a CMK.
  • Se quiser usar seu próprio material de chave, você pode usar a função de importação de chave no console do KMS para criar uma CMK cujo material de chave esteja vazio e importar o material de chave para a CMK.

Observações importantes

  • Segurança

    Você precisa garantir que as fontes aleatórias atendam aos seus requisitos de segurança ao usá-las para gerar materiais importantes. Ao usar a função de chave de importação, você precisa ser responsável pela segurança de seus principais materiais. Salve o backup original do material da chave para que o material da chave de backup possa ser importado para o KMS no momento em que o material da chave for excluído acidentalmente.

  • Disponibilidade e durabilidade

    Antes de importar o material da chave para o KMS, você precisa garantir a disponibilidade e a durabilidade do material da chave.

    As diferenças entre o material de chave importado e o material de chave gerado pelo KMS são mostradas em Tabela 1.

    Tabela 1 Diferenças entre o material chave importado e o material chave gerado pelo KMS

    Fonte de material de chave

    Diferença

    As CMKs usando materiais de chave importados

    • Você pode excluir o material da chave, mas não pode excluir a CMK e seus metadados.
    • Tais chaves não podem ser rotacionadas.
    • Ao importar o material da chave, você pode definir o tempo de expiração do material da chave. Após a expiração do material da chave, o KMS exclui automaticamente o material da chave dentro de 24 horas, mas não exclui a CMK e seus metadados.

      É recomendável que você salve uma cópia do material em seu dispositivo local, pois ele pode ser usado para reimportação em casos de materiais de chave inválidos ou exclusão incorreta de materiais de chave.

      NOTA:

      Chaves usando algoritmos RSA_2048, RSA_3072, RSA_4096, EC_P256 e EC_P384 são permanentemente válidas. Seus principais materiais não podem ser excluídos manualmente e seu tempo de expiração não pode ser configurado.

    As CMKs usando os principais materiais gerados pelo KMS

    • O material da chave não pode ser excluído manualmente.
    • As teclas simétricas podem ser giradas.
    • Você não pode definir o tempo de expiração para o material de chave.
  • Vinculação

    Quando um material de chave é importado para uma CMK, a CMK é permanentemente associada ao material de chave. Outros materiais importantes não podem ser importados para a CMK.

  • Singularidade

    Se você usar a CMK criada usando o material de chave importado para criptografar dados, os dados criptografados poderão ser descriptografados somente pela CMK que foi usada para criptografar os dados, porque os metadados e o material de chave da CMK devem ser consistentes.