本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 匯入金鑰材料
AWS KMS 提供一種機制,用於匯入用於 HBK 的密碼編譯資料。如 [呼叫 CreateKey](create-key.md) 中所述,當 CreateKey 命令與設定為 `EXTERNAL` 的 `Origin` 搭配使用時,會建立不包含基礎 HBK 的邏輯 KMS 金鑰。必須使用 [https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)API 呼叫匯入密碼編譯材料。您可以使用此功能來控制密碼編譯材料的金鑰建立和耐久性。如果您使用此功能,建議您在環境中對這些金鑰的處理和耐久性持謹慎態度。如需匯入金鑰材料的完整詳細資訊和建議,請參閱《AWS Key Management Service 開發人員指南》**中的[匯入金鑰材料](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html)。
## 呼叫 ImportKeyMaterial
`ImportKeyMaterial` 請求會匯入必要的 HBK 密碼編譯材料。密碼編譯材料必須是 256 位元對稱金鑰。它必須使用最近 [https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) 請求的傳回公有金鑰下 `WrappingAlgorithm` 中指定的演算法進行加密。
[`ImportKeyMaterial` 請求](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html#API_ImportKeyMaterial_RequestSyntax)會使用以下引數。
```
{
"EncryptedKeyMaterial": blob,
"ExpirationModel": "string",
"ImportToken": blob,
"KeyId": "string",
"ValidTo": number
}
```
**EncryptedKeyMaterial**
使用公有金鑰加密的匯入金鑰材料會以使用該請求中指定包裝演算法的 `GetParametersForImport` 請求傳回。
**ExpirationModel**
指定金鑰材料是否過期。當此值為 `KEY_MATERIAL_EXPIRES` 時,`ValidTo` 參數必須包含過期日期。當此值為 `KEY_MATERIAL_DOES_NOT_EXPIRE` 時,請勿包含 `ValidTo` 參數。有效值為 `"KEY_MATERIAL_EXPIRES"` 和 `"KEY_MATERIAL_DOES_NOT_EXPIRE"`。
**ImportToken**
匯入字符會由提供公有金鑰的相同 `GetParametersForImport` 請求傳回。
**KeyId**
將與匯入金鑰材料相關聯的 KMS 金鑰。KMS 金鑰的 `Origin` 必須是 `EXTERNAL`。
您可以刪除和重新匯入*相同*的匯入金鑰素材至指定的 KMS 金鑰,但您無法匯入或關聯 KMS 金鑰任何其他金鑰素材。
**ValidTo**
(選用) 匯入的金鑰材料過期的時間。當金鑰材料過期時, AWS KMS 會刪除金鑰材料,讓 KMS 金鑰變成不可用。當 `ExpirationModel` 的值為 `KEY_MATERIAL_EXPIRES` 時,此參數為必要。否則為無效。
當請求成功時,如果提供 KMS 金鑰,則可以在指定的過期日期 AWS KMS 之前使用 KMS 金鑰。匯入的金鑰材料過期後,EKT 會從 AWS KMS 儲存層中刪除。