Mengunduh kunci publik - AWS Key Management Service
Pertimbangan khusus untuk mengunduh kunci publikMengunduh kunci publik (konsol)Mengunduh kunci publik (API AWS KMS)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengunduh kunci publik

Anda dapat melihat, menyalin, dan mengunduh kunci publik dari key pair KMS asimetris dengan menggunakan AWS Management Console atau API. AWS KMS Anda harus memiliki kms:GetPublicKey izin pada kunci KMS asimetris.

Setiap key pair KMS asimetris terdiri dari kunci pribadi yang tidak pernah meninggalkan AWS KMS unenkripsi dan kunci publik yang dapat Anda unduh dan bagikan.

Anda dapat berbagi kunci publik untuk membiarkan lainnya mengenkripsi data di luar AWS KMS bahwa Anda dapat mendekripsi hanya dengan kunci privat Anda. Atau, untuk mengizinkan orang lain memverifikasi tanda tangan digital di luar AWS KMS yang telah Anda hasilkan dengan kunci privat Anda.

Saat Anda menggunakan kunci publik di kunci KMS asimetris di dalamnyaAWS KMS, Anda mendapat manfaat dari otentikasi, otorisasi, dan pencatatan yang merupakan bagian dari setiap operasi. AWS KMS Anda juga mengurangi risiko mengenkripsi data yang tidak dapat didekripsi. Fitur-fitur ini tidak efektif di luar AWS KMS. Untuk rincian selengkapnya, lihat Pertimbangan khusus untuk mengunduh kunci publik.

Tip

Mencari kunci data atau kunci SSH? Topik ini menjelaskan cara mengelola kunci asimetrisAWS Key Management Service, di mana kunci pribadi tidak dapat diekspor. Untuk pasangan kunci data yang dapat diekspor di mana kunci pribadi dilindungi oleh kunci KMS enkripsi simetris, lihat. GenerateDataKeyPair Untuk bantuan dalam mengunduh kunci publik yang terkait dengan instans Amazon EC2, lihat Mengambil kunci publik di Panduan Pengguna Amazon EC2 untuk Instans Linux dan Panduan Pengguna Amazon EC2 untuk Instans Windows.

Pertimbangan khusus untuk mengunduh kunci publik

Untuk melindungi kunci KMS Anda, AWS KMS berikan kontrol akses, enkripsi yang diautentikasi, dan log terperinci dari setiap operasi. AWS KMSjuga memungkinkan Anda untuk mencegah penggunaan kunci KMS, sementara atau permanen. Akhirnya, operasi AWS KMS dirancang untuk meminimalkan risiko mengenkripsi data yang tidak dapat didekripsi. Fitur ini tidak tersedia bila Anda menggunakan kunci publik yang diunduh di luar AWS KMS.

Otorisasi

Kebijakan utama dan kebijakan IAM yang mengontrol akses ke kunci KMS di dalamnya tidak AWS KMS berpengaruh pada operasi yang dilakukan di luar. AWS Setiap pengguna yang bisa mendapatkan kunci publik dapat menggunakannya di luar AWS KMS meskipun mereka tidak memiliki izin untuk mengenkripsi data atau memverifikasi tanda tangan dengan kunci KMS.

Pembatasan penggunaan kunci

Pembatasan penggunaan kunci tidak efektif di luar AWS KMS. Jika Anda memanggil operasi Enkripsi dengan kunci KMS yang memiliki KeyUsage ofSIGN_VERIFY, AWS KMS operasi gagal. Tetapi jika Anda mengenkripsi data di luar AWS KMS dengan kunci publik dari kunci KMS dengan dariSIGN_VERIFY, data tidak dapat didekripsi. KeyUsage

Pembatasan algoritme

Pembatasan algoritme enkripsi dan penandatanganan yang didukung AWS KMS tidak efektif di luar AWS KMS. Jika Anda mengenkripsi data dengan kunci publik dari kunci KMS di luarAWS KMS, dan menggunakan algoritma enkripsi yang tidak mendukung, data AWS KMS tidak dapat didekripsi.

Menonaktifkan dan menghapus kunci KMS

Tindakan yang dapat Anda ambil untuk mencegah penggunaan kunci KMS dalam operasi kriptografi di dalam AWS KMS tidak mencegah siapa pun menggunakan kunci publik di luar. AWS KMS Misalnya, menonaktifkan kunci KMS, menjadwalkan penghapusan kunci KMS, menghapus kunci KMS, atau menghapus materi kunci dari kunci KMS tidak berpengaruh pada kunci publik di luar. AWS KMS Jika Anda menghapus kunci KMS asimetris atau menghapus atau kehilangan materi kuncinya, data yang Anda enkripsi dengan kunci publik di luar tidak dapat dipulihkan. AWS KMS

Pencatatan log

Log AWS CloudTrail yang merekam setiap operasi AWS KMS, termasuk permintaan, respons, tanggal, waktu, dan pengguna terotorisasi, tidak mencatat penggunaan kunci publik di luar AWS KMS.

Verifikasi offline dengan pasangan kunci SM2 (hanya Wilayah China)

Untuk memverifikasi tanda tangan di luar AWS KMS dengan kunci publik SM2, Anda harus menentukan ID pembeda. Secara default, AWS KMS digunakan 1234567812345678 sebagai ID pembeda. Untuk informasi selengkapnya, lihat Verifikasi offline dengan pasangan kunci SM2 (khusus Wilayah China).

Mengunduh kunci publik (konsol)

Anda dapat menggunakan AWS Management Console untuk melihat, menyalin, dan mengunduh kunci publik dari kunci KMS asimetris di kunci Anda. Akun AWS Untuk mengunduh kunci publik dari kunci KMS asimetris secara berbedaAkun AWS, gunakan API. AWS KMS

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Kunci yang dikelola pelanggan.

  4. Pilih alias atau ID kunci dari kunci KMS asimetris.

  5. Pilih tab Konfigurasi kriptografi. Catat nilai-nilai dari bidang Spesifikasi kunci, Penggunaan kunci, dan Algoritme enkripsi atau Penandatanganan Algoritme. Anda harus menggunakan nilai-nilai ini untuk menggunakan kunci publik di luar dari AWS KMS. Pastikan untuk membagikan informasi ini ketika Anda membagikan kunci publik.

  6. Pilih tab Kunci publik.

  7. Untuk menyalin kunci publik ke clipboard Anda, pilih Salin. Untuk mengunduh kunci publik ke file, pilih Unduh.

Mengunduh kunci publik (API AWS KMS)

GetPublicKeyOperasi mengembalikan kunci publik dalam kunci KMS asimetris. Ini juga mengembalikan informasi penting yang Anda butuhkan untuk menggunakan kunci publik dengan benar di luar AWS KMS, termasuk penggunaan kunci dan algoritme enkripsi. Pastikan untuk menyimpan nilai-nilai ini dan membagikannya setiap kali Anda berbagi kunci publik.

Contoh-contoh dalam bagian ini menggunakan AWS Command Line Interface (AWS CLI), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

Untuk menentukan kunci KMS, gunakan ID kunci, kunciARN, nama alias, atau alias ARN. Bila menggunakan nama alias, beri prefiks dengan alias/. Untuk menentukan kunci KMS yang berbedaAkun AWS, Anda harus menggunakan kunci ARN atau alias ARN.

Sebelum menjalankan perintah ini, ganti contoh nama alias dengan identifier yang valid untuk kunci KMS. Untuk menjalankan perintah ini, Anda harus memiliki kms:GetPublicKey izin pada kunci KMS.

$ aws kms get-public-key --key-id alias/example_RSA_3072

{
    "KeySpec": "RSA_3072",
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "EncryptionAlgorithms": [
        "RSAES_OAEP_SHA_1",
        "RSAES_OAEP_SHA_256"
    ],
    "PublicKey": "MIIBojANBgkqhkiG..."
}