Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membuat kunci
Anda dapat membuat AWS KMS keys diAWS Management Console, atau dengan menggunakan CreateKeyoperasi atau AWS CloudFormationtemplate. Selama proses ini, Anda memilih jenis kunci KMS, regionalitasnya (Single-region atau Multi-region), dan asal bahan kunci (secara default, AWS KMS menciptakan materi kunci). Anda tidak dapat mengubah properti ini setelah kunci KMS dibuat. Anda juga menetapkan kebijakan kunci untuk kunci KMS, yang dapat Anda ubah kapan saja.
Topik ini menjelaskan cara membuat kunci KMS dasar, kunci KMS enkripsi simetris untuk satu Wilayah dengan materi kunci dari. AWS KMS Anda dapat menggunakan kunci KMS ini untuk melindungi sumber daya Anda di fileAWS service. Untuk informasi rinci tentang kunci KMS enkripsi simetris, lihat. Spesifikasi kunci SYMMETRIC_DEFAULT Untuk bantuan membuat jenis kunci lainnya, lihatKunci tujuan khusus.
Jika Anda membuat kunci KMS untuk mengenkripsi data yang Anda simpan atau kelola dalam suatu AWS layanan, buat kunci KMS enkripsi simetris. AWSlayanan yang terintegrasi dengan
catatan
Kunci KMS simetris sekarang disebut kunci KMS enkripsi simetris. AWS KMSmendukung dua jenis kunci KMS simetris, kunci KMS enkripsi simetris (tipe default) dan kunci HMAC KMS, yang juga merupakan kunci simetris.
Ketika Anda membuat kunci KMS di AWS KMS konsol, Anda diminta untuk memberikan alias (nama ramah). CreateKeyOperasi tidak membuat alias untuk kunci KMS baru. Untuk membuat alias untuk kunci KMS baru atau yang sudah ada, gunakan operasi. CreateAlias Untuk informasi mendetail tentang alias di AWS KMS, lihat Menggunakan alias.
Topik ini menjelaskan cara membuat kunci KMS enkripsi simetris. Gunakan tabel berikut untuk menemukan petunjuk untuk membuat kunci KMS dari berbagai jenis.
Petunjuk untuk membuat kunci KMS | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Jenis kunci KMS | Petunjuk | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Kunci enkripsi simetris (SYMMETRIC_DEFAULT) | Membuat kunci KMS enkripsi simetris | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Kunci asimetris | Membuat tombol KMS asimetris | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Kunci HMAC | Membuat kunci HMAC KMS | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Kunci Multi-Region (dari jenis apa pun) | Membuat kunci primer dengan materi kunci yang diimpor | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Bahan kunci impor (“Bawa kunci Anda sendiri - BYOK”) | Mengimpor bahan kunci langkah 1: Buat materi AWS KMS key tanpa kunci | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS CloudHSMtoko kunci | Membuat kunci KMS di toko AWS CloudHSM kunci | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Toko kunci eksternal (“Tahan kunci Anda sendiri - HYOK”) | Membuat kunci KMS di toko kunci eksternal | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Pelajari lebih lanjut:
-
Untuk membuat kunci data untuk enkripsi sisi klien, gunakan operasi. GenerateDataKey
-
Untuk membuat kunci KMS asimetris untuk enkripsi atau penandatanganan, lihat. Membuat tombol KMS asimetris
-
Untuk membuat kunci HMAC KMS, lihat. Membuat kunci HMAC KMS
-
Untuk membuat kunci KMS dengan materi kunci impor (“bawa kunci Anda sendiri”), lihatMengimpor bahan kunci langkah 1: Buat materi AWS KMS key tanpa kunci.
-
Untuk membuat kunci primer Multi-wilayah atau kunci replika, lihat. Membuat kunci multi-Wilayah
-
Untuk membuat kunci KMS di toko kunci kustom (asal materi utama adalah Custom Key Store (CloudHSM)), lihat. Membuat kunci KMS di toko AWS CloudHSM kunci
-
Untuk menggunakan AWS CloudFormation template untuk membuat kunci KMS, lihat AWS::KMS::Keydi Panduan AWS CloudFormation Pengguna.
-
Untuk menentukan apakah kunci KMS yang ada simetris atau asimetris, lihat. Mengidentifikasi kunci KMS asimetris
-
Untuk menggunakan kunci KMS Anda secara terprogram dan dalam operasi antarmuka baris perintah, Anda memerlukan ID kunci atau kunci ARN. Untuk petunjuk mendetail, lihat Menemukan ID kunci dan kunci ARN.
-
Untuk informasi tentang kuota yang berlaku untuk kunci KMS, lihat. Kuota
Izin untuk membuat kunci KMS
Untuk membuat kunci KMS di konsol atau dengan menggunakan API, Anda harus memiliki izin berikut dalam kebijakan IAM. Sebisa mungkin, gunakan kunci kondisi untuk membatasi izin. Misalnya, Anda dapat menggunakan kunci KeySpec kondisi kms: dalam kebijakan IAM untuk mengizinkan prinsipal membuat hanya kunci enkripsi simetris.
Untuk contoh kebijakan IAM untuk prinsipal yang membuat kunci, lihat Izinkan pengguna untuk membuat kunci KMS.
catatan
Berhati-hatilah saat memberikan izin prinsipal untuk mengelola tanda dan alias. Mengubah tag atau alias dapat mengizinkan atau menolak izin ke kunci yang dikelola pelanggan. Untuk detailnya, lihat ABAC untuk AWS KMS.
-
kms: CreateKey diperlukan.
-
kms: CreateAlias diperlukan untuk membuat kunci KMS di konsol di mana alias diperlukan untuk setiap kunci KMS baru.
-
kms: TagResource diperlukan untuk menambahkan tag saat membuat kunci KMS.
-
iam: CreateServiceLinkedRole diperlukan untuk membuat kunci utama Multi-wilayah. Untuk detailnya, lihat Mengontrol akses ke kunci multi-Wilayah.
PutKeyPolicyIzin kms: tidak diperlukan untuk membuat kunci KMS. Izin kms:CreateKey termasuk izin untuk menetapkan kebijakan kunci awal. Tetapi Anda harus menambahkan izin ini ke kebijakan kunci saat membuat kunci KMS untuk memastikan bahwa Anda dapat mengontrol akses ke kunci KMS. Alternatifnya adalah menggunakan BypassLockoutSafetyCheckparameter, yang tidak disarankan.
Kunci KMS milik AWS akun tempat mereka dibuat. Pengguna IAM yang membuat kunci KMS tidak dianggap sebagai pemilik kunci dan mereka tidak secara otomatis memiliki izin untuk menggunakan atau mengelola kunci KMS yang mereka buat. Seperti prinsipal lainnya, pembuat kunci perlu mendapatkan izin melalui kebijakan kunci, kebijakan IAM, atau hibah. Namun, kepala sekolah yang memiliki kms:CreateKey izin dapat mengatur kebijakan kunci awal dan memberi diri mereka izin untuk menggunakan atau mengelola kunci tersebut.
Membuat kunci KMS enkripsi simetris
Anda dapat membuat kunci KMS di AWS Management Console atau dengan menggunakan AWS KMS API.
Topik ini menjelaskan cara membuat kunci KMS dasar, kunci KMS enkripsi simetris untuk satu Wilayah dengan materi kunci dari. AWS KMS Anda dapat menggunakan kunci KMS ini untuk melindungi sumber daya Anda di fileAWS service. Untuk bantuan membuat jenis kunci lainnya, lihatKunci tujuan khusus.
Membuat kunci KMS enkripsi simetris (konsol)
Anda dapat menggunakan AWS Management Console untuk membuat AWS KMS keys (kunci KMS).
penting
Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.
-
Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms
. -
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
-
Di panel navigasi, pilih Kunci yang dikelola pelanggan.
-
Pilih Buat kunci.
-
Untuk membuat kunci KMS enkripsi simetris, untuk Key type pilih Symmetric.
Untuk informasi tentang cara membuat kunci KMS asimetris di AWS KMS konsol, lihat. Membuat tombol KMS asimetris (konsol)
-
Dalam Penggunaan kunci, opsi Enkripsi dan dekripsi dipilih untuk Anda.
Untuk informasi tentang cara membuat kunci KMS yang menghasilkan dan memverifikasi kode MAC, lihatMembuat kunci HMAC KMS.
-
Pilih Berikutnya.
Untuk informasi tentang opsi lanjutan, lihatKunci tujuan khusus.
-
Ketik alias untuk kunci KMS. Nama alias tidak dapat dimulai dengan
aws/.aws/Awalan dicadangkan oleh Amazon Web Services untuk mewakili Kunci yang dikelola AWS di akun Anda.catatan
Menambahkan, menghapus, atau memperbarui alias dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat ABAC untuk AWS KMS dan Menggunakan alias untuk mengontrol akses ke tombol KMS.
Alias adalah nama tampilan yang dapat Anda gunakan untuk mengidentifikasi kunci KMS. Kami menyarankan Anda memilih alias yang menunjukkan jenis data yang Anda rencanakan untuk dilindungi atau aplikasi yang Anda rencanakan untuk digunakan dengan kunci KMS.
Alias diperlukan saat Anda membuat kunci KMS di file. AWS Management Console Mereka opsional saat Anda menggunakan CreateKeyoperasi.
-
(Opsional) Ketik deskripsi untuk kunci KMS.
Anda dapat menambahkan deskripsi sekarang atau memperbaruinya kapan saja kecuali status kuncinya adalah
Pending DeletionatauPending Replica Deletion. Untuk menambah, mengubah, atau menghapus deskripsi kunci terkelola pelanggan yang ada, edit deskripsi di AWS Management Console atau gunakan UpdateKeyDescriptionoperasi. -
(Opsional) Ketik kunci tanda dan nilai tanda opsional. Untuk menambahkan lebih dari satu tag ke tombol KMS, pilih Tambah tag.
catatan
Menandai atau melepas tag kunci KMS dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat ABAC untuk AWS KMS dan Menggunakan tag untuk mengontrol akses ke tombol KMS.
Saat Anda menambahkan tanda ke sumber daya AWS Anda, AWS membuat laporan alokasi biaya dengan penggunaan dan biaya yang dikumpulkan oleh tanda Anda. Tag juga dapat digunakan untuk mengontrol akses ke kunci KMS. Untuk informasi tentang menandai kunci KMS, lihat Tombol penandaan dan. ABAC untuk AWS KMS
-
Pilih Berikutnya.
-
Pilih pengguna IAM dan peran yang dapat mengelola kunci KMS.
catatan
Kebijakan kunci ini memberikan kontrol Akun AWS penuh atas kunci KMS ini. Ini memungkinkan administrator akun untuk menggunakan kebijakan IAM untuk memberikan izin kepada prinsipal lain untuk mengelola kunci KMS. Untuk detailnya, lihat Kebijakan kunci default.
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.
-
(Opsional) Untuk mencegah pengguna dan peran IAM yang dipilih menghapus kunci KMS ini, di bagian Penghapusan kunci di bagian bawah halaman, kosongkan kotak centang Izinkan administrator kunci untuk menghapus kunci ini.
-
Pilih Berikutnya.
-
Pilih pengguna IAM dan peran yang dapat menggunakan kunci dalam operasi kriptografi
catatan
Kebijakan kunci ini memberikan kontrol Akun AWS penuh atas kunci KMS ini. Ini memungkinkan administrator akun untuk menggunakan kebijakan IAM untuk memberikan izin kepada prinsipal lain untuk menggunakan kunci KMS dalam operasi kriptografi. Untuk detailnya, lihat Kebijakan kunci default.
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.
-
(Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, dalam bagian Lainnya Akun AWS di bawah halaman, pilih Tambahkan Akun AWS lain dan masukkan nomor identifikasi Akun AWS akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.
catatan
Untuk mengizinkan prinsipal di akun eksternal menggunakan kunci KMS, Administrator akun eksternal harus membuat kebijakan IAM yang memberikan izin ini. Untuk informasi selengkapnya, lihat Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS.
-
Pilih Selanjutnya.
-
Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.
-
Pilih Selesai untuk membuat kunci KMS.
Membuat kunci KMS enkripsi simetris (API) AWS KMS
Anda dapat menggunakan CreateKeyoperasi untuk membuat semua AWS KMS keys jenis. Contoh-contoh ini menggunakan AWS Command Line Interface (AWS CLI)
penting
Jangan sertakan informasi rahasia atau sensitif di Tags bidang Description atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.
Operasi berikut menciptakan kunci KMS yang paling umum digunakan, kunci enkripsi simetris dalam satu Wilayah yang didukung oleh materi kunci yang dihasilkan oleh. AWS KMS Operasi ini tidak memiliki parameter yang diperlukan. Namun, Anda mungkin juga ingin menggunakan parameter Policy untuk menentukan kebijakan kunci. Anda dapat mengubah kebijakan kunci (PutKeyPolicy) dan menambahkan elemen opsional, seperti deskripsi dan tag kapan saja. Anda juga dapat membuat kunci asimetris, kunci multi-wilayah, kunci dengan bahan kunci yang diimpor, dan kunci di toko kunci khusus.
CreateKeyOperasi tidak memungkinkan Anda menentukan alias, tetapi Anda dapat menggunakan CreateAliasoperasi untuk membuat alias untuk kunci KMS baru Anda.
Berikut ini adalah contoh panggilan ke operasi CreateKey tanpa parameter. Perintah ini menggunakan semua nilai default. Ini menciptakan kunci KMS enkripsi simetris dengan bahan kunci yang dihasilkan oleh. AWS KMS
$aws kms create-key{ "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1502910355.475, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "MultiRegion": false "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], } }
Jika Anda tidak menentukan kebijakan kunci untuk kunci KMS baru, kebijakan kunci default yang CreateKey berlaku berbeda dari kebijakan kunci default yang diterapkan konsol saat Anda menggunakannya untuk membuat kunci KMS baru.
Misalnya, panggilan ke GetKeyPolicyoperasi ini mengembalikan kebijakan kunci yang CreateKey berlaku. Ini memberikan Akun AWS akses ke kunci KMS dan memungkinkannya untuk membuat kebijakan AWS Identity and Access Management (IAM) untuk kunci KMS. Untuk informasi rinci tentang kebijakan IAM dan kebijakan utama untuk kunci KMS, lihat Otentikasi dan kontrol akses untuk AWS KMS
$aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text{ "Version" : "2012-10-17", "Id" : "key-default-1", "Statement" : [ { "Sid" : "Enable IAM User Permissions", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : "kms:*", "Resource" : "*" } ] }
