概述

注意事项

• 安全性

  用户需要确保符合自己安全要求的随机源生成密钥材料。用户在使用导入密钥时，需要对自己密钥材料的安全性负责。请保存密钥材料的原始备份，以便在意外删除密钥材料时，能及时将备份的密钥材料重新导入KMS。

• 可用性与持久性

  在将密钥材料导入KMS之前，用户需要确保密钥材料的可用性和持久性。

  导入的密钥材料与通过KMS创建密钥时自动生成的密钥材料的区别，如表1所示。

  表1 导入的密钥材料与通过KMS创建密钥时自动生成的密钥材料的区别

  密钥材料来源	区别
  导入的密钥	可以手动删除密钥材料，但不能删除该自定义密钥及其元数据。 不支持密钥轮换功能。 在导入密钥材料时，可以设置密钥材料失效时间，密钥材料失效后，KMS将在24小时以内自动删除密钥材料，但不会删除该自定义密钥及其元数据。 建议用户在本地密钥管理基础设施中安全地备份一份密钥材料，以便密钥材料失效或误删除时重新导入该密钥材料。 说明： RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384算法密钥不能手动删除密钥材料，不能设置密钥材料的失效时间，只能永久有效。
  KMS创建的密钥	不能手动删除密钥材料。 仅对称密钥支持密钥轮换功能。 不能设置密钥材料的失效时间。

• 关联性

  当用户将密钥材料导入自定义密钥时，该自定义密钥与该密钥材料永久关联，不能将其他密钥材料导入该自定义密钥中。

• 唯一性

  当用户使用导入的密钥加密数据时，加密后的数据必须使用加密时采用的自定义密钥（即自定义密钥的元数据及密钥材料与导入的密钥匹配）才能解密数据，否则解密会失败。