Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Schritt 2: Herunterladen des öffentlichen Verpackungsschlüssels und des Import-Tokens
<a name="importing-keys-get-public-key-and-token"></a>

Nachdem Sie [ein AWS KMS key Material ohne Schlüssel erstellt](importing-keys-create-cmk.md) haben, laden Sie mithilfe der AWS KMS Konsole oder der [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)API einen öffentlichen Wrapping-Schlüssel und ein Import-Token für diesen KMS-Schlüssel herunter. Der öffentliche Verpackungsschlüssel und das Import-Token bilden einen untrennbaren Satz, der zusammen verwendet werden muss.

Sie werden den öffentlichen Verpackungsschlüssel verwenden, um [Ihr Schlüsselmaterial für den Transport zu verschlüsseln](importing-keys-encrypt-key-material.md). [Bevor Sie ein RSA-Wrapping-Schlüsselpaar herunterladen, wählen Sie die Länge (Schlüsselspezifikation) des RSA-Wrapping-Schlüsselpaars und den Wrapping-Algorithmus aus, mit dem Sie Ihr importiertes Schlüsselmaterial für den Transport in Schritt 3 verschlüsseln werden.](importing-keys-encrypt-key-material.md) AWS KMS unterstützt auch die SM2 Wrapping-Schlüsselspezifikation (nur für China Regionen).

Jeder öffentliche Verpackungsschlüssel und Import-Token-Satz ist 24 Stunden gültig. Wenn Sie sie nicht innerhalb von 24 Stunden nach dem Download verwenden, um Schlüsselmaterial zu importieren, müssen Sie einen neuen Satz herunterladen. Sie können jederzeit neue öffentliche Verpackungsschlüssel herunterladen und Tokensätze importieren. Auf diese Weise können Sie die Länge Ihres RSA-Verpackungsschlüssels („Schlüsselspezifikation“) ändern oder einen verlorenen Satz ersetzen.

Sie können auch einen öffentlichen Verpackungsschlüssel und ein Import-Token-Set herunterladen, um [dasselbe Schlüsselmaterial erneut in einen KMS-Schlüssel zu importieren](importing-keys-import-key-material.md#reimport-key-material). Sie können dies tun, um die Ablaufzeit für das Schlüsselmaterial festzulegen oder zu ändern, oder um abgelaufenes oder gelöschtes Schlüsselmaterial wiederherzustellen. Sie müssen Ihr Schlüsselmaterial bei jedem Import in herunterladen und erneut verschlüsseln. AWS KMS

**Verwendung des öffentlichen Verpackungsschlüssels**  
Der Download beinhaltet einen öffentlichen Schlüssel, der nur für Sie bestimmt ist. AWS-Konto Er wird auch als *öffentlicher* Schlüssel bezeichnet.  
Bevor Sie Schlüsselmaterial importieren, verschlüsseln Sie das Schlüsselmaterial mit dem öffentlichen Wrapping-Schlüssel und laden das verschlüsselte Schlüsselmaterial anschließend in hoch. AWS KMS Beim AWS KMS Empfang Ihres verschlüsselten Schlüsselmaterials entschlüsselt es das Schlüsselmaterial mit dem entsprechenden privaten Schlüssel und verschlüsselt das Schlüsselmaterial anschließend erneut unter einem symmetrischen AES-Schlüssel, alles innerhalb eines AWS KMS Hardware-Sicherheitsmoduls (HSM).

**Nutzen des Import-Tokens**  
Der Download enthält ein Import-Token mit Metadaten, das sicherstellt, dass Ihr Schlüsselmaterial korrekt importiert wird. Wenn Sie Ihr verschlüsseltes Schlüsselmaterial hochladen AWS KMS, müssen Sie dasselbe Import-Token hochladen, das Sie in diesem Schritt heruntergeladen haben.

## Wählen Sie eine Spezifikation für den öffentlichen Verpackungsschlüssel
<a name="select-wrapping-key-spec"></a>

Um Ihr Schlüsselmaterial beim Import zu schützen, verschlüsseln Sie es mit einem öffentlichen Wrapping-Schlüssel, von dem Sie herunterladen AWS KMS, und einem unterstützten [Wrapping-Algorithmus](#select-wrapping-algorithm). Sie wählen eine Schlüsselspezifikation aus, bevor Sie Ihren öffentlichen Verpackungsschlüssel und das Import-Token herunterladen. Alle Wrapping-Schlüsselpaare werden in AWS KMS Hardware-Sicherheitsmodulen (HSMs) generiert. Der private Schlüssel verlässt das HSM niemals im Klartext.

**Die wichtigsten Spezifikationen für das RSA-Wrapping**  
Die *Schlüsselspezifikation* des öffentlichen Verpackungsschlüssels bestimmt die Länge der Schlüssel in dem RSA-Schlüsselpaar, das Ihr Schlüsselmaterial während des Transports zu AWS KMS schützt. Im Allgemeinen empfehlen wir die Verwendung des am längsten umschließenden öffentlichen Verpackungsschlüssels, der praktisch ist. Wir bieten verschiedene öffentliche Schlüsselspezifikationen für die Verpackung an, um eine Vielzahl von HSMs Schlüsselmanagern zu unterstützen.  
AWS KMS unterstützt die folgenden Schlüsselspezifikationen für die RSA-Wrapping-Schlüssel, die für den Import von Schlüsselmaterial aller Art verwendet werden, sofern nicht anders angegeben.   
+ RSA\_4096 (empfohlen)
+ RSA\_3072
+ RSA\_2048
**Anmerkung**  
Die folgende Kombination wird NICHT unterstützt: ECC\_NIST\_P521-Schlüsselmaterial, die RSA\_2048-Spezifikation für öffentliche Verpackungsschlüssel und ein RSAES\_OAEP\_SHA\_\*-Verpackungsalgorithmus.  
Sie können das Schlüsselmaterial von ECC\_NIST\_P521 nicht direkt mit einem öffentlichen RSA\_2048-Verpackungsschlüssel verpacken. Verwenden Sie einen größeren Verpackungsschlüssel oder einen RSA\_AES\_KEY\_WRAP\_SHA\_\*-WRAP\_\*-Verpackungsalgorithmus.

**SM2 Spezifikationen für die Verpackung des Schlüssels (nur für Regionen in China)**  
AWS KMS unterstützt die folgenden Schlüsselspezifikationen für Wrapping-Schlüssel, die für SM2 den Import von asymmetrischem Schlüsselmaterial verwendet werden.  
+ SM2

## Auswählen des Verpackungsalgorithmus
<a name="select-wrapping-algorithm"></a>

Um Ihr Schlüsselmaterial während des Imports zu schützen, verschlüsseln Sie es mit dem heruntergeladenen öffentlichen Verpackungsschlüssel und einem unterstützten Verpackungsalgorithmus. 

AWS KMS unterstützt mehrere standardmäßige RSA-Wrapping-Algorithmen und einen zweistufigen Hybrid-Wrapping-Algorithmus. Im Allgemeinen empfehlen wir, den sichersten Verpackungsalgorithmus zu verwenden, der mit Ihrem importierten Schlüsselmaterial und den [Verpackungsschlüsselspezifikationen](#select-wrapping-key-spec) kompatibel ist. In der Regel wählen Sie einen Algorithmus aus, der von dem Hardwaresicherheitsmodul (HSM) oder dem Schlüsselverwaltungssystem unterstützt wird, mit dem Ihr Schlüsselmaterial geschützt werden.

In der folgenden Tabelle sind die Verpackungsalgorithmen aufgeführt, die für jeden Typ von Schlüsselmaterial und KMS-Schlüssel unterstützt werden. Die Algorithmen werden in Präferenzreihenfolge aufgeführt.


| Schlüsselmaterial | Unterstützter Verpackungsalgorithmus und -Spezifikation | 
| --- | --- | 
| Schlüssel zur symmetrischen Verschlüsselung 256-Bit-AES-Schlüssel<br /> <br /> SM4 128-Bit-Schlüssel (nur Regionen China) |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Asymmetrischer privater RSA-Schlüssel  |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Asymmetrischer privater Schlüssel mit elliptischer Kurve (ECC)  <br />Sie können die RSAES\_OAEP\_SHA\_\*-Verpackungsalgorithmen nicht mit der RSA\_2048-Verpackungsschlüsselspezifikation verwenden, um ECC\_NIST\_P521-Schlüsselmaterial zu verpacken. |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Asymmetrischer SM2 privater Schlüssel (nur Regionen China) |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| HMAC-Schlüssel |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 

**Anmerkung**  
Die Algorithmen `RSA_AES_KEY_WRAP_SHA_256` und `RSA_AES_KEY_WRAP_SHA_1` Wrapping werden in China Regionen nicht unterstützt.
+ `RSA_AES_KEY_WRAP_SHA_256` – Ein zweistufiger Hybrid-Verpackungsalgorithmus, der die Verschlüsselung Ihres Schlüsselmaterials mit einem von Ihnen generierten symmetrischen AES-Schlüssel und die anschließende Verschlüsselung des symmetrischen AES-Schlüssels mit dem heruntergeladenen öffentlichen RSA-Verpackungsschlüssel und dem RSAES\_OAEP\_SHA\_256-Verpackungsalgorithmus kombiniert.

  Für das `RSA_AES_KEY_WRAP_SHA_*` Verpacken von privatem RSA-Schlüsselmaterial ist ein Wrapping-Algorithmus erforderlich, außer in China Regionen, wo Sie den `SM2PKE` Wrapping-Algorithmus verwenden müssen.
+ `RSA_AES_KEY_WRAP_SHA_1` – Ein zweistufiger Hybrid-Verpackungsalgorithmus, der die Verschlüsselung Ihres Schlüsselmaterials mit einem von Ihnen generierten symmetrischen AES-Schlüssel und die anschließende Verschlüsselung des symmetrischen AES-Schlüssels mit dem heruntergeladenen öffentlichen RSA-Verpackungsschlüssel und dem RSAES\_OAEP\_SHA\_1-Verpackungsalgorithmus kombiniert.

  Für das `RSA_AES_KEY_WRAP_SHA_*` Verpacken von privatem RSA-Schlüsselmaterial ist ein Wrapping-Algorithmus erforderlich, außer in China Regionen, wo Sie den `SM2PKE` Wrapping-Algorithmus verwenden müssen.
+ `RSAES_OAEP_SHA_256` – Der RSA-Verschlüsselungsalgorithmus mit Optimal Asymmetric Encryption Padding (OAEP) mit der SHA-256-Hash-Funktion.
+ `RSAES_OAEP_SHA_1` – Der RSA-Verschlüsselungsalgorithmus mit Optimal Asymmetric Encryption Padding (OAEP) mit der SHA-1-Hash-Funktion.
+ `RSAES_PKCS1_V1_5`(Veraltet; unterstützt seit dem 10. Oktober 2023 den Wrapping-Algorithmus RSAES\_ PKCS1 \_V1\_5 AWS KMS nicht) — Der RSA-Verschlüsselungsalgorithmus mit dem in PKCS \#1 Version 1.5 definierten Auffüllformat.
+ `SM2PKE`(Nur Regionen China) — Ein auf elliptischen Kurven basierender Verschlüsselungsalgorithmus, der von OSCCA in GM/T 0003.4-2012 definiert wurde.

**Topics**
+ [Wählen Sie eine Spezifikation für den öffentlichen Verpackungsschlüssel](#select-wrapping-key-spec)
+ [Auswählen des Verpackungsalgorithmus](#select-wrapping-algorithm)
+ [Herunterladen des öffentlichen Verpackungsschlüssels und Import-Tokens (Konsole)](#importing-keys-get-public-key-and-token-console)
+ [Der öffentliche Schlüssel für die Verpackung und das Import-Token (AWS KMS API) werden heruntergeladen](#importing-keys-get-public-key-and-token-api)

## Herunterladen des öffentlichen Verpackungsschlüssels und Import-Tokens (Konsole)
<a name="importing-keys-get-public-key-and-token-console"></a>

Sie können die AWS KMS Konsole verwenden, um den öffentlichen Schlüssel für die Verpackung herunterzuladen und das Token zu importieren.

1. Wenn Sie gerade die Schritte zum [Erstellen eines KMS-Schlüssel ohne Schlüsselmaterial](importing-keys-create-cmk.md#importing-keys-create-cmk-console) abgeschlossen haben und sich auf der Seite **Download wrapping key and import token (Umhüllungsschlüssel und Import-Token herunterladen)** befinden, fahren Sie gleich mit [Step 10](#id-wrap-step) fort.

1. Melden Sie sich bei der Konsole AWS Key Management Service (AWS KMS) an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**.
**Tipp**  
Sie können Schlüsselmaterial nur in einen KMS-Schlüssel mit dem **Ursprung** **Extern (Schlüsselmaterial importieren)**. Dies bedeutet, dass der KMS-Schlüssel ohne Schlüsselmaterial erstellt wurde. Um die Spalte **Origin (Ursprung)** zu Ihrer Tabelle hinzuzufügen, klicken Sie auf das Symbol „Settings (Einstellungen)“ in der rechten oberen Ecke der Seite (![](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/console-icon-settings-new.png)). Aktivieren Sie **Origin (Ursprung)** und wählen Sie dann **Confirm (Bestätigen)** aus.

1. Wählen Sie den Alias oder die Schlüssel-ID des KMS-Schlüssels aus, dessen Import ausstehend ist.

1. Erweitern Sie den Bereich **Cryptographic configuration (kryptografische Konfiguration)** und zeigen Sie dessen Werte an. Die Registerkarte wird unter dem Abschnitt **General Configuration (allgemeine Konfiguration)** angezeigt.

   Sie können Schlüsselmaterial nur in KMS-Schlüssel mit dem **Ursprung** **Extern (Schlüsselmaterial importieren)**. Weitere Informationen zum Erstellen von KMS-Schlüsseln mit importiertem Schlüsselmaterial finden Sie unter [Schlüsselmaterial für AWS KMS Schlüssel importieren](importing-keys.md).

1. Wählen Sie je nach Schlüsseltyp die entsprechende Registerkarte aus. 
   + Wählen Sie für asymmetrische Schlüssel und HMAC-Schlüssel die Registerkarte **Schlüsselmaterial**.
   + Wählen Sie für symmetrische Verschlüsselungsschlüssel die Registerkarte **Schlüsselmaterial und Rotationen**.

1. Wählen Sie die Importaktion aus.
   + Wählen Sie für asymmetrische Schlüssel und HMAC-Schlüssel die Option **Schlüsselmaterial importieren** aus.
   + Wählen Sie für symmetrische Verschlüsselungsschlüssel eine der folgenden Optionen:
     + **Importieren Sie das ursprüngliche Schlüsselmaterial** (falls noch kein Schlüsselmaterial importiert wurde)
     + **Neues Schlüsselmaterial importieren** (um neues Material für die Rotation hinzuzufügen)
     + **Schlüsselmaterial erneut importieren** (verfügbar im Menü **Aktionen** in der Tabelle Schlüsselmaterialien)
**Anmerkung**  
Bei Schlüsseln mit mehreren Regionen müssen Sie zuerst das neue Schlüsselmaterial in den primären Regionsschlüssel importieren. Importieren Sie dann dasselbe Schlüsselmaterial in jeden Replikat-Regionsschlüssel.  
Für Primärschlüssel mit mehreren Regionen enthält die Tabelle **Schlüsselmaterialien** eine Spalte mit dem Status des **Replikatimports**, in der der Importstatus für alle Replikatregionen angezeigt wird (z. B. „0 von 3 importiert“). Wählen Sie den Wert für den Status des Replikatimports, um ein Modal zu öffnen, das den Importstatus für jede Replikatregion anzeigt. Das Modal bietet Links zum **Importieren wichtiger Materialien** für Replikatbereiche, in denen das neue Schlüsselmaterial nicht importiert wurde.

1. Wählen Sie unter **Verpackungsschlüssel-Spezifikation auswählen** die Konfiguration für Ihren KMS-Schlüssel aus. Nachdem Sie diesen Schlüssel erstellt haben, können Sie die Schlüsselspezifikationen nicht ändern. 

1. <a name="id-wrap-step"></a>Wählen Sie für **Select wrapping algorithm** die Option aus, die Sie zum Verschlüsseln Ihres Schlüsselmaterials verwenden werden. Weitere Informationen zu den Optionen finden Sie unter [Verpackungsalgorithmus auswählen](#select-wrapping-algorithm).

1. Klicken Sie auf **Herunterladen des öffentlichen Verpackungsschlüssels und Import-Tokens** und speichern Sie dann die Datei. 

   Wenn die Option **Next (Weiter)** vorhanden ist, wählen Sie **Next (Weiter)**, um den Vorgang fortzusetzen. Um später fortzufahren, wählen Sie **Cancel (Abbrechen)**. 

1. Dekomprimieren Sie die `.zip`-Datei, die Sie im vorherigen Schritt gespeichert haben (`Import_Parameters_{{<key_id>}}_{{<timestamp>}}`).

   Der Ordner enthält die folgenden Dateien:
   + Ein umschließender öffentlicher Schlüssel in eine Datei mit dem Namen`WrappingPublicKey.bin`.
   + Ein Import-Token in einer Datei mit dem Namen `ImportToken.bin`.
   + Eine Textdatei mit dem Namen README.txt. Diese Datei enthält Informationen über den öffentlichen Verpackungsschlüssel, den zu verwendenden Verpackungsschlüssel zum Verschlüsseln Ihres Schlüsselmaterials und das Datum und die Uhrzeit des Ablaufens des öffentlichen Verpackungsschlüssels und des Import-Tokens.

1. Um mit dem Vorgang fortzufahren, nehmen Sie ihn mit dem Schritt [Verschlüsseln Ihres Schlüsselmaterials](importing-keys-encrypt-key-material.md) wieder auf. 

## Der öffentliche Schlüssel für die Verpackung und das Import-Token (AWS KMS API) werden heruntergeladen
<a name="importing-keys-get-public-key-and-token-api"></a>

Verwenden Sie die [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)API, um den öffentlichen Schlüssel herunterzuladen und das Token zu importieren. Geben Sie den KMS-Schlüssel an, der mit dem importierten Schlüsselmaterial verknüpft werden soll. Dieser KMS-Schlüssel muss einen [Urspungs](create-keys.md#key-origin)-Wert von`EXTERNAL` haben.

**Anmerkung**  
Sie können kein Schlüsselmaterial für ML-DSA-KMS-Schlüssel importieren.

In diesem Beispiel werden der `RSA_AES_KEY_WRAP_SHA_256`-Verpackungsalgorithmus, die RSA\_3072-Spezifikation zum Verpacken öffentlicher Schlüssel und ein Beispiel für eine Schlüssel-ID angegeben. Ersetzen Sie diese Beispielwerte durch gültige Werte für Ihren Download. Für die Schlüssel-ID können Sie eine [Schlüssel-ID](concepts.md#key-id-key-id) oder eine [ARN des Schlüssels](concepts.md#key-id-key-ARN) verwenden, aber keinen [Aliasnamen](concepts.md#key-id-alias-name) oder [Alias-ARN](concepts.md#key-id-alias-ARN).

```
$ aws kms get-parameters-for-import \
    --key-id {{1234abcd-12ab-34cd-56ef-1234567890ab}} \
    --wrapping-algorithm {{RSA_AES_KEY_WRAP_SHA_256}} \
    --wrapping-key-spec {{RSA_3072}}
```

Wenn der Befehl erfolgreich ausgeführt wurde, wird eine Ausgabe ähnlich der Folgenden angezeigt:

```
{
    "ParametersValidTo": 1568290320.0,
    "PublicKey": "{{public key (base64 encoded)}}",
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "ImportToken": "{{import token (base64 encoded)}}"
}
```

Um die Daten für den nächsten Schritt vorzubereiten, dekodiert base64 den öffentlichen Schlüssel und das Import-Token und speichert die dekodierten Werte in Dateien.

So dekodieren Sie den öffentlichen Schlüssel und das Import-Token von base64:

1. Kopieren Sie den base64-codierten öffentlichen Schlüssel ({{public key (base64 encoded)}}in der Beispielausgabe durch), fügen Sie ihn in eine neue Datei ein, und speichern Sie die Datei dann. Geben Sie der Datei einen aussagekräftigen Namen wie `PublicKey.b64`.

1. Verwenden Sie [OpenSSL](https://openssl.org/) für die base64-Entschlüsselung der Inhalte der Datei und speichern Sie die entschlüsselten Daten in einer neuen Datei. Das folgende Beispiel decodiert die Daten in die Datei, die Sie im vorherigen Schritt gespeichert haben (`PublicKey.b64`), und speichert die Ausgabe in einer neuen Datei mit dem Namen `WrappingPublicKey.bin`.

   ```
   $ openssl enc -d -base64 -A -in PublicKey.b64 -out WrappingPublicKey.bin
   ```

1. Kopieren Sie das Base64-kodierte Import-Token ({{import token (base64 encoded)}}in der Beispielausgabe durch), fügen Sie es in eine neue Datei ein, und speichern Sie dann die Datei. Geben Sie der Datei einen aussagekräftigen Namen, wie z. B. `importtoken.b64`.

1. Verwenden Sie [OpenSSL](https://openssl.org/) für die base64-Entschlüsselung der Inhalte der Datei und speichern Sie die entschlüsselten Daten in einer neuen Datei. Das folgende Beispiel decodiert die Daten in die Datei, die Sie im vorherigen Schritt gespeichert haben (`ImportToken.b64`), und speichert die Ausgabe in einer neuen Datei mit dem Namen `ImportToken.bin`.

   ```
   $ openssl enc -d -base64 -A -in importtoken.b64 -out ImportToken.bin
   ```

Fahren Sie mit [Schritt 3: Verschlüsselung des Schlüsselmaterials](importing-keys-encrypt-key-material.md) fort.