Mengelola bahan kunci yang diimpor - AWS Key Management Service
Ikhtisar mengimpor bahan utama Mengimpor ulang bahan utamaMengidentifikasi kunci KMS dengan bahan kunci imporCara membuat alarm kedaluwarsaCara menghapus materi kunci yang diimporMenghapus kunci KMS dengan materi kunci yang diimpor

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola bahan kunci yang diimpor

Topik ini menjelaskan cara mengimpor dan mengimpor kembali materi kunci ke dalam kunci KMS dan cara membuat materi kunci impor yang kedaluwarsa secara otomatis.

Ikhtisar mengimpor bahan utama

Gambaran umum berikut menjelaskan cara mengimpor material kunci Anda ke dalam AWS KMS. Untuk detail selengkapnya tentang setiap langkah dalam proses, lihat topik yang sesuai.

  1. Buat kunci KMS tanpa bahan kunci - Asal harusEXTERNAL. Asal kunci EXTERNAL menunjukkan bahwa kunci dirancang untuk bahan kunci yang diimpor dan AWS KMS mencegah menghasilkan bahan kunci untuk kunci KMS. Pada langkah selanjutnya Anda akan mengimpor materi kunci Anda sendiri ke dalam kunci KMS ini.

    Materi kunci yang Anda impor harus kompatibel dengan spesifikasi kunci dari kunci terkait. AWS KMS Untuk informasi lebih lanjut tentang kompatibilitas, lihat. Persyaratan untuk bahan kunci impor

  2. Unduh kunci publik pembungkus dan token impor — Setelah menyelesaikan langkah 1, unduh kunci publik pembungkus dan token impor. Barang-barang ini melindungi materi utama Anda saat diimpor AWS KMS.

    Pada langkah ini, Anda memilih jenis (“spesifikasi kunci”) dari kunci pembungkus RSA dan algoritma pembungkus yang akan Anda gunakan untuk mengenkripsi data Anda dalam perjalanan. AWS KMS Anda dapat memilih spesifikasi kunci pembungkus dan algoritma kunci pembungkus yang berbeda setiap kali Anda mengimpor atau mengimpor ulang materi kunci yang sama.

  3. Enkripsi materi kunci — Gunakan kunci publik pembungkus yang Anda unduh di langkah 2 untuk mengenkripsi materi kunci yang Anda buat di sistem Anda sendiri.

  4. Mengimpor materi kunci — Unggah material kunci terenkripsi yang Anda buat pada langkah 3 dan token impor yang Anda unduh di langkah 2.

    Pada tahap ini, Anda dapat mengatur waktu kedaluwarsa opsional. Ketika materi kunci yang diimpor kedaluwarsa, AWS KMS menghapusnya, dan kunci KMS menjadi tidak dapat digunakan. Untuk terus menggunakan kunci KMS, Anda harus mengimpor ulang materi kunci yang sama.

    Ketika operasi impor selesai dengan sukses, status kunci kunci KMS berubah dari PendingImport ke. Enabled Anda sekarang dapat menggunakan kunci KMS dalam operasi kriptografi.

AWS KMS merekam entri di AWS CloudTrail log Anda saat Anda membuat kunci KMS, mengunduh kunci publik pembungkus dan token impor, dan mengimpor materi kunci. AWS KMS juga mencatat entri saat Anda menghapus materi kunci yang diimpor atau saat AWS KMS menghapus materi kunci yang kedaluwarsa.

Mengimpor ulang bahan utama

Jika Anda mengelola kunci KMS dengan materi kunci yang diimpor, Anda mungkin perlu mengimpor ulang materi kunci. Anda dapat mengimpor ulang materi kunci untuk menggantikan materi kunci yang kedaluwarsa atau dihapus, atau untuk mengubah model kedaluwarsa atau tanggal kedaluwarsa materi kunci.

Saat Anda mengimpor materi kunci ke kunci KMS, kunci KMS secara permanen dikaitkan dengan materi kunci tersebut. Anda dapat mengimpor ulang materi kunci yang sama, tetapi Anda tidak dapat mengimpor materi kunci yang berbeda ke dalam kunci KMS itu. Anda tidak dapat memutar materi kunci dan AWS KMS tidak dapat membuat materi kunci untuk kunci KMS dengan bahan kunci impor.

Anda dapat mengimpor ulang materi kunci kapan saja, pada jadwal apa pun yang memenuhi persyaratan keamanan Anda. Anda tidak perlu menunggu sampai materi kunci berada pada atau mendekati waktu kedaluwarsa.

Untuk mengimpor ulang material kunci, gunakan prosedur yang sama yang digunakan untuk mengimpor material kunci pertama kalinya, dengan pengecualian berikut.

  • Gunakan kunci KMS yang ada, alih-alih membuat kunci KMS baru. Anda dapat melewatkan Langkah 1 dari prosedur impor.

  • Saat Anda mengimpor ulang materi kunci, Anda dapat mengubah model kedaluwarsa dan tanggal kedaluwarsa.

Setiap kali Anda mengimpor materi kunci ke kunci KMS, Anda perlu mengunduh dan menggunakan kunci pembungkus baru dan token impor untuk kunci KMS. Prosedur pembungkus tidak memengaruhi konten materi utama, sehingga Anda dapat menggunakan kunci publik pembungkus yang berbeda dan algoritme pembungkus yang berbeda untuk mengimpor materi kunci yang sama.

Mengidentifikasi kunci KMS dengan bahan kunci impor

Ketika Anda membuat kunci KMS tanpa bahan kunci, nilai Originproperti kunci KMS adalahEXTERNAL, dan itu tidak dapat diubah. Berbeda dengan status kunci, Origin nilainya tidak bergantung pada ada atau tidaknya materi kunci.

Anda dapat menggunakan nilai EXTERNAL asal untuk mengidentifikasi kunci KMS yang dirancang untuk bahan kunci yang diimpor. Anda dapat menemukan asal kunci di AWS KMS konsol atau dengan menggunakan DescribeKeyoperasi. Anda juga dapat melihat properti dari material kunci, seperti apakah dan kapankah ini kedaluwarsa dengan menggunakan konsol atau API.

Untuk mengidentifikasi kunci KMS dengan bahan kunci impor (konsol)

  1. Buka AWS KMS konsol di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Gunakan salah satu teknik berikut untuk melihat Origin properti kunci KMS Anda.

    • Untuk menambahkan kolom Origin ke tabel kunci KMS Anda, di sudut kanan atas, pilih ikon Pengaturan. Pilih Asal dan pilih Konfirmasi. Kolom Origin memudahkan untuk mengidentifikasi kunci KMS dengan nilai properti asal Eksternal (Import Key material).

    • Untuk menemukan nilai Origin properti kunci KMS tertentu, pilih ID kunci atau alias kunci KMS. Kemudian pilih tab Konfigurasi kriptografi. Tab ada di bawah bagian Konfigurasi umum.

  4. Untuk melihat informasi mendetail tentang material kunci, pilih tab Material kunci. Tab ini muncul di halaman detail hanya untuk kunci KMS dengan materi kunci yang diimpor.

Untuk mengidentifikasi kunci KMS dengan material kunci impor (AWS KMS API)

Gunakan DescribeKeyoperasi. Respons mencakup Origin properti kunci KMS, model kedaluwarsa, dan tanggal kedaluwarsa, seperti yang ditunjukkan pada contoh berikut.

$  aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyMetadata": {
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Origin": "EXTERNAL",
        "ExpirationModel": "KEY_MATERIAL_EXPIRES"
        "ValidTo": 2023-06-05T12:00:00+00:00,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "CreationDate": 2018-06-09T00:06:50.831000+00:00,
        "Enabled": false,
        "MultiRegion": false,
        "Description": "",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "PendingImport",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

Membuat CloudWatch alarm untuk kedaluwarsa materi kunci yang diimpor

Anda dapat membuat CloudWatch alarm yang memberi tahu Anda ketika materi kunci yang diimpor dalam kunci KMS mendekati waktu kedaluwarsa. Misalnya, alarm dapat memberi tahu Anda ketika waktu kedaluwarsa kurang dari 30 hari lagi.

Saat Anda mengimpor materi kunci ke kunci KMS, Anda dapat secara opsional menentukan tanggal dan waktu saat materi kunci kedaluwarsa. Ketika materi kunci kedaluwarsa, AWS KMS menghapus materi kunci dan kunci KMS menjadi tidak dapat digunakan. Untuk menggunakan kunci KMS lagi, Anda harus mengimpor ulang materi kunci. Namun, jika Anda mengimpor ulang materi kunci sebelum kedaluwarsa, Anda dapat menghindari gangguan proses yang menggunakan kunci KMS tersebut.

Alarm ini menggunakan SecondsUntilKeyMaterialExpiresmetrik yang AWS KMS diterbitkan CloudWatch untuk kunci KMS dengan materi kunci impor yang kedaluwarsa. Setiap alarm menggunakan metrik ini untuk memantau bahan kunci yang diimpor untuk kunci KMS tertentu. Anda tidak dapat membuat alarm tunggal untuk semua kunci KMS dengan materi kunci kedaluwarsa atau alarm untuk kunci KMS yang mungkin Anda buat di masa depan.

Persyaratan

Sumber daya berikut diperlukan untuk CloudWatch alarm yang memantau berakhirnya bahan kunci yang diimpor.

Buat alarm

Ikuti petunjuk di Buat CloudWatch alarm berdasarkan ambang statis menggunakan nilai yang diperlukan berikut. Untuk bidang lain, terima nilai default dan berikan nama seperti yang diminta.

Bidang Nilai
Pilih metrik

Pilih KMS, lalu pilih Metrik Per-Key.

Pilih baris dengan tombol KMS dan SecondsUntilKeyMaterialExpires metrik. Kemudian pilih Pilih metrik.

Daftar Metrik menampilkan SecondsUntilKeyMaterialExpires metrik hanya untuk kunci KMS dengan materi kunci impor yang kedaluwarsa. Jika Anda tidak memiliki kunci KMS dengan properti ini di akun dan Wilayah, daftar ini kosong.
Statistik Minimum
Periode 1 menit
Jenis ambang Statis
Kapanpun... Setiap kali nama metrik lebih besar dari 1

Menghapus material kunci yang diimpor

Anda dapat menghapus materi kunci yang diimpor dari kunci KMS kapan saja. Juga, ketika materi kunci yang diimpor dengan tanggal kedaluwarsa kedaluwarsa, AWS KMS menghapus materi kunci. Dalam kedua kasus, ketika materi kunci dihapus, status kunci dari kunci KMS berubah menjadi impor tertunda, dan kunci KMS tidak dapat digunakan dalam operasi kriptografi apa pun sampai Anda mengimpor ulang materi kunci yang sama. (Anda tidak dapat mengimpor materi kunci lainnya ke dalam kunci KMS.)

Seiring dengan menonaktifkan kunci KMS dan menarik izin, menghapus materi kunci dapat digunakan sebagai strategi untuk dengan cepat, tetapi untuk sementara, menghentikan penggunaan kunci KMS. Sebaliknya, penjadwalan penghapusan kunci KMS dengan bahan kunci yang diimpor juga dengan cepat menghentikan penggunaan kunci KMS. Namun, jika penghapusan tidak dibatalkan selama masa tunggu, kunci KMS, materi kunci, dan semua metadata kunci akan dihapus secara permanen. Lihat perinciannya di Menghapus kunci KMS dengan materi kunci yang diimpor.

Untuk menghapus materi kunci, Anda dapat menggunakan AWS KMS konsol atau operasi DeleteImportedKeyMaterialAPI. AWS KMS mencatat entri di AWS CloudTrail log Anda saat Anda menghapus materi kunci yang diimpor dan saat AWS KMS menghapus materi kunci yang kedaluwarsa.

Bagaimana menghapus materi kunci memengaruhi layanan AWS

Saat Anda menghapus materi kunci, kunci KMS tanpa materi kunci menjadi tidak dapat digunakan segera (tergantung pada konsistensi akhirnya). Namun, sumber daya yang dienkripsi dengan kunci data yang dilindungi oleh kunci KMS tidak terpengaruh sampai kunci KMS digunakan lagi, seperti untuk mendekripsi kunci data. Masalah ini memengaruhi AWS layanan, banyak di antaranya menggunakan kunci data untuk melindungi sumber daya Anda. Lihat perinciannya di Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data.

Hapus material kunci (konsol)

Anda dapat menggunakan AWS Management Console untuk menghapus materi kunci.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Kunci yang dikelola pelanggan.

  4. Lakukan salah satu hal berikut ini:

    • Pilih kotak centang untuk kunci KMS dengan bahan kunci impor. Pilih Tindakan kunci, Hapus material kunci.

    • Pilih alias atau ID kunci kunci KMS dengan materi kunci yang diimpor. Pilih tab Material kunci kemudian pilih Hapus material kunci.

  5. Konfirmasi bahwa Anda ingin menghapus material kunci, lalu pilih Hapus material kunci. Status kunci KMS, yang sesuai dengan status kuncinya, berubah menjadi Impor tertunda.

Hapus materi kunci (AWS KMS API)

Untuk menggunakan AWS KMS API untuk menghapus materi kunci, kirim DeleteImportedKeyMaterialpermintaan. Contoh berikut ini menunjukkan cara melakukan ini dengan AWS CLI.

Ganti 1234abcd-12ab-34cd-56ef-1234567890ab dengan ID kunci kunci KMS yang materi utamanya ingin Anda hapus. Anda dapat menggunakan ID kunci KMS atau ARN tetapi Anda tidak dapat menggunakan alias untuk operasi ini.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

Menghapus kunci KMS dengan materi kunci yang diimpor

Menghapus bahan kunci kunci KMS dengan bahan kunci impor bersifat sementara dan dapat dibalik. Untuk mengembalikan kunci, impor kembali materi utamanya.

Sebaliknya, menghapus kunci KMS tidak dapat diubah. Jika Anda menjadwalkan penghapusan kunci dan masa tunggu yang diperlukan berakhir, AWS KMS secara permanen dan permanen menghapus kunci KMS, materi utamanya, dan semua metadata yang terkait dengan kunci KMS.

Namun, risiko dan konsekuensi dari menghapus kunci KMS dengan bahan kunci yang diimpor tergantung pada jenis (“spesifikasi kunci”) dari kunci KMS.

  • Kunci enkripsi simetris — Jika Anda menghapus kunci KMS enkripsi simetris, semua ciphertext yang tersisa yang dienkripsi oleh kunci tersebut tidak dapat dipulihkan. Anda tidak dapat membuat kunci KMS enkripsi simetris baru yang dapat mendekripsi ciphertext dari kunci KMS enkripsi simetris yang dihapus, bahkan jika Anda memiliki materi kunci yang sama. Metadata unik untuk setiap kunci KMS terikat secara kriptografis ke setiap ciphertext simetris. Fitur keamanan ini menjamin bahwa hanya kunci KMS yang mengenkripsi ciphertext simetris yang dapat mendekripsi, tetapi mencegah Anda membuat ulang kunci KMS yang setara.

  • Kunci asimetris dan HMAC — Jika Anda memiliki materi kunci asli, Anda dapat membuat kunci KMS baru dengan properti kriptografi yang sama dengan kunci KMS asimetris atau HMAC yang telah dihapus. AWS KMS menghasilkan ciphertext dan tanda tangan RSA standar, tanda tangan ECC, dan tag HMAC, yang tidak menyertakan fitur keamanan unik apa pun. Selain itu, Anda dapat menggunakan kunci HMAC atau kunci pribadi dari asymmetric key pair di luar. AWS

    Kunci KMS baru yang Anda buat dengan bahan kunci asimetris atau HMAC yang sama akan memiliki pengenal kunci yang berbeda. Anda harus membuat kebijakan kunci baru, membuat ulang alias apa pun, dan memperbarui kebijakan dan hibah IAM yang ada untuk merujuk ke kunci baru.