Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Langkah 1: Buat materi AWS KMS key tanpa kunci

PDF
RSS
Mode fokus
Langkah 1: Buat materi AWS KMS key tanpa kunci - AWS Key Management Service
Membuat kunci KMS tanpa bahan kunci (konsol)Membuat kunci KMS tanpa materi kunci (AWS KMS API)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Secara default, AWS KMS buat materi kunci untuk Anda saat Anda membuat kunci KMS. Untuk mengimpor materi kunci Anda sendiri, mulailah dengan membuat kunci KMS tanpa materi kunci. Kemudian impor bahan kunci. Untuk membuat kunci KMS tanpa bahan kunci, gunakan AWS KMS konsol atau CreateKeyoperasi.

Untuk membuat kunci tanpa bahan kunci, tentukan asalEXTERNAL. Properti asal kunci KMS tidak dapat diubah. Setelah Anda membuatnya, Anda tidak dapat mengonversi kunci KMS yang dirancang untuk materi kunci yang diimpor menjadi kunci KMS dengan bahan kunci dari AWS KMS atau sumber lainnya.

Status kunci dari kunci KMS dengan EXTERNAL asal dan tidak ada bahan kunci adalahPendingImport. Kunci KMS dapat tetap dalam PendingImport keadaan tanpa batas waktu. Namun, Anda tidak dapat menggunakan kunci KMS dalam PendingImport keadaan dalam operasi kriptografi. Saat Anda mengimpor materi kunci, status kunci kunci KMS berubah menjadiEnabled, dan Anda dapat menggunakannya dalam operasi kriptografi.

AWS KMS merekam peristiwa di AWS CloudTrail log Anda saat Anda membuat kunci KMS, mengunduh kunci publik dan token impor, dan mengimpor materi kunci. AWS KMS juga mencatat CloudTrail peristiwa saat Anda menghapus materi kunci yang diimpor atau saat AWS KMS menghapus materi kunci yang kedaluwarsa.

Membuat kunci KMS tanpa bahan kunci (konsol)

Anda hanya perlu membuat kunci KMS untuk materi kunci yang diimpor sekali. Anda dapat mengimpor dan mengimpor kembali materi kunci yang sama ke kunci KMS yang ada sesering yang Anda butuhkan, tetapi Anda tidak dapat mengimpor materi kunci yang berbeda ke dalam kunci KMS. Untuk detailnya, lihat Langkah 2: Unduh kunci publik pembungkus dan token impor.

Untuk menemukan kunci KMS yang ada dengan materi kunci yang diimpor di tabel kunci yang dikelola Pelanggan Anda, gunakan ikon roda gigi di sudut kanan atas untuk menampilkan kolom Asal dalam daftar kunci KMS. Kunci yang diimpor memiliki nilai Asal Eksternal (Bahan Kunci Impor).

Untuk membuat kunci KMS dengan materi kunci impor, mulailah dengan mengikuti petunjuk untuk membuat kunci KMS dari jenis kunci pilihan Anda, dengan pengecualian berikut.

Setelah memilih penggunaan kunci, lakukan hal berikut:

  1. Perluas Opsi lanjutan.

  2. Untuk asal bahan utama, pilih Eksternal (Impor bahan kunci).

  3. Pilih kotak centang di sebelah Saya memahami implikasi keamanan dan daya tahan menggunakan kunci impor untuk menunjukkan bahwa Anda memahami implikasi penggunaan bahan kunci impor. Untuk membaca tentang implikasi ini, lihat Melindungi material kunci yang diimpor.

  4. Opsional: Untuk membuat kunci KMS Multi-wilayah dengan bahan kunci yang diimpor, di bawah Regionalitas pilih Multi-Region key.

  5. Kembali ke instruksi dasar. Langkah-langkah yang tersisa dari prosedur dasar adalah sama untuk semua kunci KMS dari jenis itu.

Ketika Anda memilih Selesai, Anda telah membuat kunci KMS tanpa materi kunci dan status (status kunci) dari impor Tertunda.

Namun, alih-alih kembali ke tabel kunci terkelola Pelanggan, konsol menampilkan halaman tempat Anda dapat mengunduh kunci publik dan mengimpor token yang Anda perlukan untuk mengimpor materi kunci Anda. Anda dapat melanjutkan dengan langkah download sekarang, atau pilih Cancel untuk berhenti pada titik ini. Anda dapat kembali ke langkah pengunduhan ini kapan saja.

Selanjutnya: Langkah 2: Unduh kunci publik pembungkus dan token impor.

Membuat kunci KMS tanpa materi kunci (AWS KMS API)

Untuk menggunakan AWS KMS API untuk membuat kunci KMS enkripsi simetris tanpa bahan kunci, kirim CreateKeypermintaan dengan Origin parameter yang disetel ke. EXTERNAL Contoh berikut ini menunjukkan cara melakukan dengan AWS Command Line Interface (AWS CLI).

$ aws kms create-key --origin EXTERNAL

Ketika perintah berhasil, Anda melihat output yang serupa dengan berikut ini. AWS KMS Kuncinya Origin adalah EXTERNAL dan KeyState itu adalahPendingImport.

Tip

Jika perintah tidak berhasil, Anda mungkin melihat a KMSInvalidStateException atau aNotFoundException. Anda dapat mencoba kembali permintaan tersebut.

{
    "KeyMetadata": {
        "Origin": "EXTERNAL",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "Enabled": false,
        "MultiRegion": false,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "PendingImport",
        "CreationDate": 1568289600.0,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

Salin KeyId nilai dari output perintah Anda untuk digunakan di langkah selanjutnya, dan kemudian lanjutkan keLangkah 2: Unduh kunci publik pembungkus dan token impor.

catatan

Perintah ini menciptakan kunci KMS enkripsi simetris dengan KeySpec dari SYMMETRIC_DEFAULT dan KeyUsage dari. ENCRYPT_DECRYPT Anda dapat menggunakan parameter opsional --key-spec dan --key-usage untuk membuat kunci KMS asimetris atau HMAC. Untuk informasi lebih lanjut, lihat CreateKeyoperasi.

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.