更新时间:2024-12-09 GMT+08:00

概述

自定义密钥包含密钥元数据(密钥ID、密钥别名、描述、密钥状态与创建日期)和用于加解密数据的密钥材料。
  • 当用户使用KMS管理控制台创建自定义密钥时,KMS系统会自动为该自定义密钥生成密钥材料。
  • 当用户希望使用自己的密钥材料时,可通过KMS管理控制台,创建密钥材料来源为外部的自定义密钥,并将自己的密钥材料导入该自定义密钥中。

注意事项

  • 安全性

    用户需要确保符合自己安全要求的随机源生成密钥材料。用户在使用导入密钥时,需要对自己密钥材料的安全性负责。请保存密钥材料的原始备份,以便在意外删除密钥材料时,能及时将备份的密钥材料重新导入KMS。

  • 可用性与持久性

    在将密钥材料导入KMS之前,用户需要确保密钥材料的可用性和持久性。

    导入的密钥材料与通过KMS创建密钥时自动生成的密钥材料的区别,如表1所示。

    表1 导入的密钥材料与通过KMS创建密钥时自动生成的密钥材料的区别

    密钥材料来源

    区别

    导入的密钥

    • 可以手动删除密钥材料,但不能删除该自定义密钥及其元数据。
    • 不支持密钥轮换功能。
    • 在导入密钥材料时,可以设置密钥材料失效时间,密钥材料失效后,KMS将在24小时以内自动删除密钥材料,但不会删除该自定义密钥及其元数据。

      建议用户在本地密钥管理基础设施中安全地备份一份密钥材料,以便密钥材料失效或误删除时重新导入该密钥材料。

      说明:

      RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384算法密钥不能手动删除密钥材料,不能设置密钥材料的失效时间,只能永久有效。

    KMS创建的密钥

    • 不能手动删除密钥材料。
    • 仅对称密钥支持密钥轮换功能。
    • 不能设置密钥材料的失效时间。
  • 关联性

    当用户将密钥材料导入自定义密钥时,该自定义密钥与该密钥材料永久关联,不能将其他密钥材料导入该自定义密钥中。

  • 唯一性

    当用户使用导入的密钥加密数据时,加密后的数据必须使用加密时采用的自定义密钥(即自定义密钥的元数据及密钥材料与导入的密钥匹配)才能解密数据,否则解密会失败。