Mengelola kunci KMS di toko kunci eksternal

Untuk membuat, melihat, mengelola, menggunakan, dan menjadwalkan penghapusan kunci KMS di toko kunci eksternal, Anda menggunakan prosedur yang sangat mirip dengan yang Anda gunakan untuk kunci KMS lainnya. Namun, ketika Anda membuat kunci KMS di penyimpanan kunci eksternal, Anda menentukan penyimpanan kunci eksternal dan kunci eksternal. Saat Anda menggunakan kunci KMS di penyimpanan kunci eksternal, operasi enkripsi dan dekripsi dilakukan oleh manajer kunci eksternal Anda menggunakan kunci eksternal yang ditentukan.

AWS KMStidak dapat membuat, melihat, memperbarui, atau menghapus kunci kriptografi apa pun di pengelola kunci eksternal Anda. AWS KMStidak pernah langsung mengakses manajer kunci eksternal Anda atau kunci eksternal apa pun. Semua permintaan untuk operasi kriptografi dimediasi oleh proxy penyimpanan kunci eksternal Anda. Untuk menggunakan kunci KMS di penyimpanan kunci eksternal, penyimpanan kunci eksternal yang meng-host kunci KMS harus terhubung ke proxy penyimpanan kunci eksternal.

Fitur yang didukung

Selain prosedur yang dibahas di bagian ini, Anda dapat melakukan hal berikut dengan kunci KMS di toko kunci eksternal:

• Gunakan kebijakan utama, kebijakan IAM, dan hibah untuk mengontrol akses ke kunci KMS.

• Aktifkan dan nonaktifkan tombol KMS. Tindakan ini tidak memengaruhi kunci eksternal di manajer kunci eksternal Anda.

• Tetapkan tag dan buat alias, dan gunakan kontrol akses berbasis atribut (ABAC) untuk mengotorisasi akses ke kunci KMS.

• Gunakan kunci KMS Layanan AWSyang terintegrasi dengan AWS KMS dan dukung kunci yang dikelola pelanggan.

Fitur yang tidak didukung

• Toko kunci eksternal hanya mendukung kunci KMS enkripsi simetris. Anda tidak dapat membuat kunci KMS HMAC atau kunci KMS asimetris di penyimpanan kunci eksternal.

• GenerateDataKeyPairdan tidak GenerateDataKeyPairWithoutPlaintextdidukung pada kunci KMS di toko kunci eksternal.

• Anda tidak dapat menggunakan AWS CloudFormationtemplate untuk membuat penyimpanan kunci eksternal atau kunci KMS di penyimpanan kunci eksternal.

• Tombol Multi-Region tidak didukung di penyimpanan kunci eksternal.

• Kunci KMS dengan bahan kunci impor tidak didukung di toko kunci eksternal.

• Rotasi tombol otomatis tidak didukung untuk kunci KMS di penyimpanan kunci eksternal.

Topik

• Membuat kunci KMS di toko kunci eksternal
• Melihat tombol KMS di toko kunci eksternal
• Menggunakan kunci KMS di toko kunci eksternal
• Penjadwalan penghapusan kunci KMS dari toko kunci eksternal