Membuat kunci primer multi-Wilayah - AWS Key Management Service
Membuat kunci primer multi-Wilayah (konsol)Membuat kunci primer multi-Wilayah (API AWS KMS)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat kunci primer multi-Wilayah

Anda dapat membuat kunci primer multi-Wilayah di konsol AWS KMS tersebut atau menggunakan API AWS KMS. Anda dapat membuat kunci primer dalam Wilayah AWS apa pun di mana AWS KMS mendukung kunci multi-Wilayah.

Untuk membuat kunci primer Multi-wilayah, prinsipal memerlukan izin yang sama dengan yang mereka perlukan untuk membuat kunci KMS apa pun, termasuk CreateKey izin kms: dalam kebijakan IAM. Kepala sekolah juga membutuhkan iam: CreateServiceLinkedRole izin. Anda dapat menggunakan kms: MultiRegionKeyType condition key untuk mengizinkan atau menolak izin untuk membuat kunci utama Multi-region.

Instruksi ini membuat kunci primer multi-Wilayah dengan materi kunci yang dihasilkan oleh AWS KMS. Untuk membuat kunci primer multi-Wilayah dengan materi kunci yang diimpor, lihat Membuat kunci primer dengan materi kunci yang diimpor.

Membuat kunci primer multi-Wilayah (konsol)

Untuk membuat kunci utama Multi-region di AWS KMS konsol, gunakan proses yang sama yang akan Anda gunakan untuk membuat kunci KMS apa pun.. Anda memilih kunci multi-Wilayah di Opsi lanjutan. Untuk instruksi selengkapnya, lihat Membuat kunci.

penting

Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Kunci yang dikelola pelanggan.

  4. Pilih Buat kunci.

  5. Pilih jenis kunci simetris atau asimetris. Tombol simetris adalah default.

    Anda dapat membuat kunci simetris dan asimetris multi-wilayah, termasuk kunci KMS HMAC Multi-wilayah, yang simetris.

  6. Pilih penggunaan kunci Anda. Enkripsi dan dekripsi adalah default.

    Untuk bantuan, lihatMembuat kunci,Membuat tombol KMS asimetris, atauMembuat kunci HMAC KMS.

  7. Memperluas Opsi lanjutan.

  8. Di bawah Asal materi kunci, agar AWS KMS menghasilkan materi kunci yang akan dibagikan kunci utama dan replika Anda, pilih KMS. Jika Anda mengimpor materi kunci ke kunci primer dan replika, pilih Eksternal (Impor bahan kunci).

  9. Di bawah Replikasi multi-Wilayah, pilih Mengizinkan kunci ini untuk direplikasi ke Wilayah lain.

    Anda tidak dapat mengubah pengaturan ini setelah Anda membuat kunci KMS.

  10. Ketik alias untuk kunci utama.

    Alias bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika alias yang sama atau alias yang berbeda. AWS KMStidak menyinkronkan alias kunci Multi-wilayah.

    catatan

    Menambahkan, menghapus, atau memperbarui alias dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat ABAC untuk AWS KMS dan Menggunakan alias untuk mengontrol akses ke tombol KMS.

  11. (Opsional) Ketik deskripsi kunci utama.

    Deskripsi bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika deskripsi yang sama atau deskripsi yang berbeda. AWS KMStidak menyinkronkan deskripsi kunci kunci Multi-region.

  12. (Opsional) Ketik kunci tanda dan nilai tanda opsional. Untuk menetapkan lebih dari satu tag ke kunci utama, pilih Tambah tag.

    Tag bukanlah properti bersama dari kunci multi-Wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika tag yang sama atau tag yang berbeda. AWS KMStidak menyinkronkan tag kunci Multi-wilayah. Anda dapat mengubah tag pada tombol KMS kapan saja.

    catatan

    Menandai atau melepas tag kunci KMS dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat ABAC untuk AWS KMS dan Menggunakan tag untuk mengontrol akses ke tombol KMS.

  13. Pilih pengguna IAM dan peran yang dapat mengelola kunci utama.

    catatan

    Kebijakan IAM dapat memberikan izin kepada pengguna dan peran IAM lainnya untuk mengelola kunci KMS.

    Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.

    Langkah ini memulai proses pembuatan kebijakan kunci untuk kunci utama. Kebijakan utama bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika kebijakan kunci yang sama atau kebijakan kunci yang berbeda. AWS KMStidak menyinkronkan kebijakan kunci kunci Multi-region. Anda dapat mengubah kebijakan kunci kunci KMS kapan saja.

  14. Selesaikan langkah-langkah untuk membuat kebijakan utama, termasuk memilih pengguna utama. Setelah Anda meninjau kebijakan kunci, pilih Selesai untuk membuat kunci KMS.

Tampilkan lebih banyakTampilkan lebih sedikit

Membuat kunci primer multi-Wilayah (API AWS KMS)

Untuk membuat kunci primer Multi-wilayah, gunakan CreateKeyoperasi. Gunakan parameter MultiRegion dengan nilai True.

Misalnya, perintah berikut membuat kunci primer multi-Wegion di pemanggilWilayah AWS (us-east-1). Ia menerima nilai default untuk semua properti lainnya, termasuk kebijakan kunci. Nilai default untuk kunci primer Multi-region sama dengan nilai default untuk semua kunci KMS lainnya, termasuk kebijakan kunci default. Prosedur ini menciptakan kunci enkripsi simetris, kunci KMS default.

Tanggapan meliputi elemen MultiRegion dan elemen MultiRegionConfiguration dengan sub-elemen khas dan nilai untuk kunci primer multi-Wilayah tanpa kunci replika. ID kunci dari kunci multi-wilayah selalu dimulai dengan mrk-.

penting

Jangan sertakan informasi rahasia atau sensitif di Tags bidang Description atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

$ aws kms create-key --multi-region
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1606329032.475,
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": { 
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [ ]
      }
    }
}
Tampilkan lebih banyakTampilkan lebih sedikit