用户主密钥CMK是平安云KMS中的基本资源,是由密钥ID、基本元数据(如密钥状态等)以及用于加解密数据的密钥材料构成。
在创建密钥时,如果选择密钥材料来源是外部,则KMS将生成一个不包含主密钥材料的主密钥,并且密钥状态处于待导入状态,您可以将自己的密钥材料导入到该CMK中。
通常导入外部密钥材料会应用于如下场景中:
- 用户不想使用平安云KMS中创建的密钥材料,而希望使用自己的密钥材料,并且可以随时删除密钥材料。
- 之前导入的用户自己的密钥材料被意外删除时,用户可以重新导入相同的密钥材料。
- 用户本地的加密数据迁移上云时,为了能够云上云下共享一个密钥材料,可以将云下的密钥材料导入。
在对外部密钥进行密钥材料导入的时候,需要注意:
- 确保导入的密钥材料是符合要求的随机源生成的。
- 确保导入的密钥材料的可靠性,虽然平安云KMS可以确保导入密钥材料高可用,但是不能保证导入密钥材料与KMS生成的密钥材料具有相同的可靠性。
导入外部密钥材料的步骤如下图所示。