本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 导入密钥材料
AWS KMS 提供了一种用于导入用于 HBK 的加密材料的机制。如中所述[正在呼叫 CreateKey](create-key.md),如果将 CreateKey命令`Origin`设置为`EXTERNAL`,则会创建一个不包含底层 HBK 的逻辑 KMS 密钥。必须使用 [https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html) API 调用导入加密材料。您可以使用此功能来控制密钥创建和加密材料的持久性。如果您使用此功能,我们建议您在环境中处理这些密钥和持久性时格外小心。有关导入密钥材料的完整详细信息和建议,请参阅 *AWS Key Management Service 开发人员指南*中的[导入密钥材料](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html)。
## 正在呼叫 ImportKeyMaterial
`ImportKeyMaterial` 请求导入 HBK 的必要加密材料。加密材料必须是 256 位对称密钥。它必须使用 `WrappingAlgorithm` 中指定的算法在最近 [https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) 请求返回的公有密钥下进行加密。
[`ImportKeyMaterial` 请求](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html#API_ImportKeyMaterial_RequestSyntax)使用以下参数:
```
{
"EncryptedKeyMaterial": blob,
"ExpirationModel": "string",
"ImportToken": blob,
"KeyId": "string",
"ValidTo": number
}
```
**EncryptedKeyMaterial**
导入的密钥材料使用 `GetParametersForImport` 请求中返回的公有密钥和该请求中指定的包装算法进行加密。
**ExpirationModel**
指定密钥材料是否过期。该值为 `KEY_MATERIAL_EXPIRES` 时,`ValidTo` 参数必须包含到期日期。该值为 `KEY_MATERIAL_DOES_NOT_EXPIRE` 时,不包含 `ValidTo` 参数。有效值为 `"KEY_MATERIAL_EXPIRES"` 和 `"KEY_MATERIAL_DOES_NOT_EXPIRE"`。
**ImportToken**
提供该公有密钥的同一 `GetParametersForImport` 请求返回的导入令牌。
**KeyId**
将与导入的密钥材料关联的 KMS 密钥。KMS 密钥的 `Origin` 必须为 `EXTERNAL`。
您可以删除并将*同一*导入的密钥材料重新导入指定的 KMS 密钥中,但无法导入任何其他密钥材料或将其与 KMS 密钥关联。
**ValidTo**
(可选)导入的密钥材料过期的时间。当密钥材料过期后, AWS KMS 将删除密钥材料,并且 KMS 密钥将变为不可用。在 `ExpirationModel` 的值为 `KEY_MATERIAL_EXPIRES` 时,则必须提供此参数,否则无效。
请求成功后,如果提供了 KMS 密钥,则可在指定的到期日期 AWS KMS 之前使用。导入的密钥材料过期后,EKT 将从 AWS KMS 存储层中删除。