Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membuat tombol KMS asimetris
Anda dapat membuat kunci KMS asimetris di AWS KMS konsol, dengan menggunakan CreateKeyAPI, atau dengan menggunakan template.AWS CloudFormation Kunci KMS asimetris mewakili key pair publik dan pribadi yang dapat digunakan untuk enkripsi, penandatanganan, atau menurunkan rahasia bersama. Kunci privat tetap ada di dalam AWS KMS. Untuk mengunduh kunci publik untuk digunakan di luar AWS KMS, lihatMengunduh kunci publik.
Saat membuat kunci KMS untuk mengenkripsi data yang Anda simpan atau kelola dalam suatu AWS layanan, gunakan kunci KMS enkripsi simetris. AWS layanan yang terintegrasi dengan AWS KMS tidak mendukung kunci KMS asimetris. Untuk bantuan memutuskan apakah akan membuat kunci KMS simetris atau asimetris, lihat. Memilih tipe kunci KMS
Untuk informasi tentang izin yang diperlukan untuk membuat kunci KMS, lihat. Izin untuk membuat kunci KMS
Membuat tombol KMS asimetris (konsol)
Anda dapat menggunakan tombol AWS Management Console untuk membuat asimetris AWS KMS keys (tombol KMS). Setiap kunci KMS asimetris mewakili public dan private key pair.
penting
Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.
-
Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms
. -
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
-
Di panel navigasi, pilih Kunci yang dikelola pelanggan.
-
Pilih Buat kunci.
-
Untuk membuat kunci KMS asimetris, dalam Key type, pilih Asymmetric.
Untuk informasi tentang cara membuat kunci KMS enkripsi simetris di AWS KMS konsol, lihat. Membuat kunci KMS enkripsi simetris (konsol)
-
Untuk membuat kunci KMS asimetris untuk enkripsi kunci publik, dalam penggunaan Kunci, pilih Enkripsi dan dekripsi. Atau, untuk membuat kunci KMS asimetris untuk menandatangani pesan dan memverifikasi tanda tangan, dalam Penggunaan kunci, pilih Tandatangani dan verifikasi. Untuk membuat kunci KMS asimetris untuk mendapatkan rahasia bersama, dalam penggunaan Kunci, pilih Perjanjian kunci.
Untuk bantuan memilih nilai penggunaan kunci, lihat Memilih penggunaan kunci.
-
Pilih spesifikasi (Spesifikasi kunci) untuk kunci KMS asimetris Anda.
Seringkali spesifikasi kunci yang Anda pilih ditentukan oleh persyaratan peraturan, keamanan, atau bisnis. Mungkin juga dipengaruhi oleh ukuran pesan yang harus Anda enkripsi atau tanda tangani. Secara umum, kunci enkripsi yang lebih panjang lebih tahan terhadap serangan brutal.
Untuk bantuan memilih spesifikasi kunci, lihat Memilih spesifikasi kunci.
-
Pilih Selanjutnya.
-
Ketik alias untuk kunci KMS. Nama alias tidak dapat dimulai dengan
aws/.aws/Awalan dicadangkan oleh Amazon Web Services untuk mewakili Kunci yang dikelola AWS di akun Anda.Alias adalah nama ramah yang dapat Anda gunakan untuk mengidentifikasi kunci KMS di konsol dan di beberapa AWS KMS API. Kami menyarankan Anda memilih alias yang menunjukkan jenis data yang Anda rencanakan untuk dilindungi atau aplikasi yang Anda rencanakan untuk digunakan dengan kunci KMS.
Alias diperlukan saat Anda membuat kunci KMS di file. AWS Management Console Anda tidak dapat menentukan alias ketika Anda menggunakan CreateKeyoperasi, tetapi Anda dapat menggunakan konsol atau CreateAliasoperasi untuk membuat alias untuk kunci KMS yang ada. Lihat perinciannya di Menggunakan alias.
-
(Opsional) Ketik deskripsi untuk kunci KMS.
Masukkan deskripsi yang menjelaskan jenis data yang Anda rencanakan untuk dilindungi atau aplikasi yang Anda rencanakan untuk digunakan dengan kunci KMS.
Anda dapat menambahkan deskripsi sekarang atau memperbaruinya kapan saja kecuali status kuncinya adalah
Pending DeletionatauPending Replica Deletion. Untuk menambah, mengubah, atau menghapus deskripsi kunci terkelola pelanggan yang ada, edit deskripsi di AWS Management Console atau gunakan UpdateKeyDescriptionoperasi. -
(Opsional) Ketik kunci tanda dan nilai tanda opsional. Untuk menambahkan lebih dari satu tag ke tombol KMS, pilih Tambah tag.
Saat Anda menambahkan tag ke AWS sumber daya Anda, AWS buat laporan alokasi biaya dengan penggunaan dan biaya yang dikumpulkan berdasarkan tag. Tag juga dapat digunakan untuk mengontrol akses ke kunci KMS. Untuk informasi tentang menandai kunci KMS, lihat Tombol penandaan dan. ABAC untuk AWS KMS
-
Pilih Selanjutnya.
-
Pilih pengguna IAM dan peran yang dapat mengelola kunci KMS.
catatan
Kebijakan kunci ini memberikan kontrol Akun AWS penuh atas kunci KMS ini. Ini memungkinkan administrator akun untuk menggunakan kebijakan IAM untuk memberikan izin kepada prinsipal lain untuk mengelola kunci KMS. Lihat perinciannya di Kebijakan kunci default.
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensil jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.
-
(Opsional) Untuk mencegah pengguna dan peran IAM yang dipilih menghapus kunci KMS ini, di bagian Penghapusan kunci di bagian bawah halaman, kosongkan kotak centang Izinkan administrator kunci untuk menghapus kunci ini.
-
Pilih Selanjutnya.
-
Pilih pengguna IAM dan peran yang dapat menggunakan kunci KMS untuk operasi kriptografi.
catatan
Kebijakan kunci ini memberikan kontrol Akun AWS penuh atas kunci KMS ini. Ini memungkinkan administrator akun untuk menggunakan kebijakan IAM untuk memberikan izin kepada prinsipal lain untuk menggunakan kunci KMS dalam operasi kriptografi. Lihat perinciannya di Kebijakan kunci default.
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensil jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.
-
(Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, dalam bagian Lainnya Akun AWS di bawah halaman, pilih Tambahkan Akun AWS lain dan masukkan nomor identifikasi Akun AWS akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.
catatan
Untuk mengizinkan prinsipal di akun eksternal menggunakan kunci KMS, administrator akun eksternal harus membuat kebijakan IAM yang memberikan izin ini. Untuk informasi selengkapnya, lihat Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS.
-
Pilih Selanjutnya.
-
Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.
-
Pilih Selesai untuk membuat kunci KMS.
Membuat kunci KMS asimetris (API)AWS KMS
Anda dapat menggunakan CreateKeyoperasi untuk membuat asimetris AWS KMS key. Contoh-contoh ini menggunakan AWS Command Line Interface (AWS CLI)
Saat Anda membuat kunci KMS asimetris, Anda harus menentukan KeySpec parameter, yang menentukan jenis kunci yang Anda buat. Juga, Anda harus menentukan KeyUsage nilai ENCRYPT_DECRYPT, SIGN_VERIFY, atau KEY_AGREEMENT. Anda tidak dapat mengubah properti ini setelah kunci KMS dibuat.
CreateKeyOperasi tidak memungkinkan Anda menentukan alias, tetapi Anda dapat menggunakan CreateAliasoperasi untuk membuat alias untuk kunci KMS baru Anda.
penting
Jangan sertakan informasi rahasia atau sensitif di Tags bidang Description atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.
Contoh berikut menggunakan CreateKey operasi untuk membuat kunci KMS asimetris dari kunci RSA 4096-bit yang dirancang untuk enkripsi kunci publik.
$aws kms create-key --key-spec RSA_4096 --key-usage ENCRYPT_DECRYPT{ "KeyMetadata": { "KeyState": "Enabled", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "Description": "", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1569973196.214, "MultiRegion": false, "KeySpec": "RSA_4096", "CustomerMasterKeySpec": "RSA_4096", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "RSAES_OAEP_SHA_1", "RSAES_OAEP_SHA_256" ], "AWSAccountId": "111122223333", "Origin": "AWS_KMS", "Enabled": true } }
Contoh perintah berikut membuat kunci KMS asimetris yang mewakili sepasang kunci ECDSA yang digunakan untuk penandatanganan dan verifikasi. Anda tidak dapat membuat pasangan kunci kurva elips untuk enkripsi dan dekripsi.
$aws kms create-key --key-spec ECC_NIST_P521 --key-usage SIGN_VERIFY{ "KeyMetadata": { "KeyState": "Enabled", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1570824817.837, "Origin": "AWS_KMS", "SigningAlgorithms": [ "ECDSA_SHA_512" ], "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "AWSAccountId": "111122223333", "KeySpec": "ECC_NIST_P521", "CustomerMasterKeySpec": "ECC_NIST_P521", "KeyManager": "CUSTOMER", "Description": "", "Enabled": true, "MultiRegion": false, "KeyUsage": "SIGN_VERIFY" } }
Contoh perintah berikut membuat kunci KMS asimetris yang mewakili sepasang kunci ECDH yang digunakan untuk menurunkan rahasia bersama. Anda tidak dapat membuat pasangan kunci kurva elips untuk enkripsi dan dekripsi.
$aws kms create-key --key-spec ECC_NIST_P256 --key-usage KEY_AGREEMENT{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": "2023-12-27T19:10:15.063000+00:00", "Enabled": true, "Description": "", "KeyUsage": "KEY_AGREEMENT", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "ECC_NIST_P256", "KeySpec": "ECC_NIST_P256", "KeyAgreementAlgorithms": [ "ECDH" ], "MultiRegion": false } }
