Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kunci HMAC di AWS KMS
Kunci KMS Kode Otentikasi Pesan Berbasis Hash (HMAC) adalah kunci simetris yang Anda gunakan untuk membuat dan memverifikasi HMAC di dalamnya. AWS KMS Materi kunci unik yang terkait dengan setiap kunci HMAC KMS menyediakan kunci rahasia yang dibutuhkan algoritma HMAC. Anda dapat menggunakan kunci HMAC KMS dengan GenerateMac
dan VerifyMac
operasi untuk memverifikasi integritas dan keaslian data di dalamnya. AWS KMS
Algoritma HMAC menggabungkan fungsi hash kriptografi dan kunci rahasia bersama. Mereka mengambil pesan dan kunci rahasia, seperti materi kunci dalam kunci HMAC KMS, dan mengembalikan kode atau tag ukuran tetap yang unik. Jika bahkan satu karakter pesan berubah, atau jika kunci rahasia tidak identik, tag yang dihasilkan sama sekali berbeda. Dengan membutuhkan kunci rahasia, HMAC juga memberikan keaslian; tidak mungkin untuk menghasilkan tag HMAC identik tanpa kunci rahasia. HMAC kadang-kadang disebut tanda tangan simetris, karena mereka bekerja seperti tanda tangan digital, tetapi menggunakan satu kunci untuk penandatanganan dan verifikasi.
Kunci HMAC KMS dan algoritma HMAC yang AWS KMS menggunakan sesuai dengan standar industri yang didefinisikan dalam RFC 2104.
Anda dapat menggunakan kunci HMAC KMS untuk menentukan keaslian pesan, seperti JSON Web Token (JWT), informasi kartu kredit token, atau kata sandi yang dikirimkan. Mereka juga dapat digunakan sebagai Secure Key Derivation Functions (KDFs), terutama dalam aplikasi yang membutuhkan kunci deterministik.
Kunci HMAC KMS memberikan keuntungan dibandingkan HMAC dari perangkat lunak aplikasi karena materi utama dihasilkan dan digunakan sepenuhnya di dalamAWS KMS, tunduk pada kontrol akses yang Anda tetapkan pada kunci.
Tip
Praktik terbaik merekomendasikan agar Anda membatasi waktu selama mekanisme penandatanganan apa pun, termasuk HMAC, efektif. Ini mencegah serangan di mana aktor menggunakan pesan yang ditandatangani untuk menetapkan validitas berulang kali atau lama setelah pesan digantikan. Tag HMAC tidak menyertakan stempel waktu, tetapi Anda dapat menyertakan stempel waktu dalam token atau pesan untuk membantu Anda mendeteksi kapan waktunya untuk menyegarkan HMAC.
Pengguna yang berwenang dapat membuat, mengelola, dan menggunakan kunci HMAC KMS di akun AndaAWS. Ini termasuk mengaktifkan dan menonaktifkan kunci, mengatur dan mengubah alias dan tag, dan menjadwalkan penghapusan kunci HMAC KMS. Anda juga dapat mengontrol akses ke kunci HMAC KMS menggunakan kebijakan utama, kebijakanIAM, dan hibah. Anda dapat mengaudit semua operasi yang menggunakan atau mengelola kunci KMS HMAC Anda AWS di AWS CloudTrail dalam log. Anda dapat membuat kunci HMAC KMS dengan bahan kunci yang diimpor. Anda juga dapat membuat kunci KMS Multi-wilayah HMAC yang berperilaku seperti salinan kunci KMS HMAC yang sama dalam beberapa. Wilayah AWS
Kunci HMAC KMS hanya mendukung operasi GenerateMac
dan VerifyMac
kriptografi. Anda tidak dapat menggunakan kunci HMAC KMS untuk mengenkripsi data atau menandatangani pesan, atau menggunakan jenis kunci KMS lainnya dalam operasi HMAC. Saat Anda menggunakan GenerateMac
operasi, Anda menyediakan pesan hingga 4.096 byte, kunci HMAC KMS, dan algoritma MAC yang kompatibel dengan spesifikasi kunci HMAC, dan menghitung tag HMAC. GenerateMac
Untuk memverifikasi tag HMAC, Anda harus menyediakan tag HMAC, dan pesan yang sama, kunci HMAC KMS, dan algoritma MAC yang GenerateMac
digunakan untuk menghitung tag HMAC asli. VerifyMac
Operasi menghitung tag HMAC dan memverifikasi bahwa itu identik dengan tag HMAC yang disediakan. Jika input dan tag HMAC yang dihitung tidak identik, verifikasi gagal.
Jika Anda membuat kunci KMS untuk mengenkripsi data dalam suatu AWS layanan, gunakan kunci enkripsi simetris. Anda tidak dapat menggunakan kunci HMAC KMS.
Daerah
Kunci HMAC KMS didukung di semua Wilayah AWS yang AWS KMS mendukung.
Pelajari selengkapnya
-
Untuk bantuan dalam memilih jenis kunci KMS, lihatMemilih tipe kunci KMS.
-
Untuk tabel yang membandingkan operasi AWS KMS API yang didukung oleh setiap jenis kunci KMS, lihat. Referensi tipe kunci
-
Untuk informasi tentang membuat kunci KMS HMAC Multi-wilayah, lihat. Kunci Multi-Region di AWS KMS
-
Untuk memeriksa perbedaan dalam kebijakan kunci default yang ditetapkan AWS KMS konsol untuk kunci HMAC KMS, lihat. Memungkinkan pengguna kunci untuk menggunakan kunci KMS dengan layanan AWS
-
Untuk informasi tentang harga kunci HMAC KMS, lihat AWS Key Management Service harga.
-
Untuk informasi tentang kuota yang berlaku untuk kunci HMAC KMS, lihat dan. Kuota sumber daya Kuota permintaan
-
Untuk informasi tentang menghapus kunci HMAC KMS, lihat. Menghapus AWS KMS keys
-
Untuk mempelajari cara menggunakan HMAC untuk membuat token web JSON, lihat Cara melindungi HMAC di dalam AWS KMS
Blog Keamanan. AWS -
Dengarkan podcast: Memperkenalkan HMAC untuk
Podcast AWS Key Management Service Resmi. AWS
Topik
Spesifikasi utama untuk kunci HMAC KMS
AWS KMSmendukung kunci HMAC simetris dalam berbagai panjang. Spesifikasi kunci yang Anda pilih dapat bergantung pada persyaratan keamanan, peraturan, atau bisnis Anda. Panjang kunci menentukan algoritma MAC yang digunakan dalam GenerateMacdan VerifyMacoperasi. Secara umum, kunci yang lebih panjang lebih aman. Gunakan kunci terpanjang yang praktis untuk kasus penggunaan Anda.
Spesifikasi kunci HMAC | Algoritma MAC |
---|---|
HMAC_224 | HMAC_SHA_224 |
HMAC_256 | HMAC_SHA_256 |
HMAC_384 | HMAC_SHA_384 |
HMAC_512 | HMAC_SHA_512 |