Mengimpor materi kunci ke kunci multi-Wilayah - AWS Key Management Service
Mengapa tidak semua kunci KMS dengan bahan kunci impor dapat dioperasikan?Membuat kunci primer dengan materi kunci yang diimporMembuat kunci replika dengan materi kunci yang diimpor

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengimpor materi kunci ke kunci multi-Wilayah

Anda dapat mengimpor materi kunci Anda sendiri ke kunci KMS Multi-wilayah. Kunci multi-Wilayah yang Anda buat dengan materi kunci Anda sendiri dapat dioperasikan. Anda dapat menggunakan kunci multi-Wilayah terkait untuk mengenkripsi data dalam satu Wilayah dan mendekripsi data di Wilayah lain.

Namun, Anda harus mengelola materi kunci.

  • AWS KMS tidak menyalin atau menyinkronkan materi kunci dari kunci primer dengan materi kunci yang diimpor ke kunci replika. Anda harus mengimpor materi kunci yang sama ke kunci primer dan replika terkait.

  • Anda mengatur model kedaluwarsa dan tanggal kedaluwarsa untuk setiap kunci secara independen saat Anda mengimpor materi kunci. Anda dapat mengkonfigurasi model kedaluwarsa dan tanggal kedaluwarsa yang sama maupun berbeda untuk kunci multi-Wilayah terkait. Jika materi kunci mendekati tanggal kedaluwarsa, Anda harus mengimpor ulang materi kunci ke kunci multi-Wilayah yang terpengaruh.

    Status kunci dari kunci multi-Wilayah terkait, terpisah satu sama lain. Misalya, jika materi kunci dalam kunci primer kedaluwarsa, maka kunci replikanya tidak terpengaruh.

Persyaratan Wilayah untuk kunci replika yang sama berlaku untuk kunci multi-Wilayah dengan materi kunci yang diimpor. Jika Anda mengimpor materi kunci yang sama ke kunci wilayah tunggal atau kunci Multi-wilayah yang tidak terkait, kunci KMS ini tidak dapat dioperasikan.

Anda dapat membuat kunci Multi-Region dengan bahan kunci simetris, asimetris, atau HMAC yang diimpor. AWS KMStidak mendukung materi kunci yang diimpor di toko kunci khusus. Selain itu, Anda tidak dapat mengaktifkan rotasi tombol otomatis dari kunci KMS apa pun dengan bahan kunci yang diimpor.

Selain fitur Multi-region mereka, kunci Multi-region dengan material kunci impor sama dengan kunci KMS lainnya dengan bahan kunci impor. Untuk informasi rinci tentang membuat dan mengonfigurasi kunci wilayah tunggal dengan materi kunci yang diimpor, lihat. Tentang material kunci yang diimpor

Mengapa tidak semua kunci KMS dengan bahan kunci impor dapat dioperasikan?

Kunci KMS wilayah tunggal dengan bahan kunci impor tidak dapat dioperasikan, bahkan ketika mereka memiliki bahan kunci yang sama. Ketika AWS KMS menggunakan kunci KMS untuk mengenkripsi data, secara kriptografis mengikat beberapa metadata kunci ke ciphertext. Ini mengamankan ciphertext sehingga hanya kunci KMS yang data terenkripsi dapat mendekripsi data tersebut.

Kunci multi-Wilayah dirancang agar dapat dioperasikan. Selain memiliki materi kunci yang sama, mereka memiliki ID kunci yang sama dan metadata lainnya. Dengan demikian, ciphertext yang mereka hasilkan dapat didekripsi oleh kunci multi-Wilayah terkait. Akibatnya, properti kepercayaan kunci multi-Wilayah berbeda dari kunci wilayah tunggal. Tetapi bagi sebagian pelanggan, manfaat mendekripsi di beberapa Wilayah lebih besar daripada nilai keamanan ciphertext yang bergantung pada satu kunci KMS dalam satu. Wilayah AWS

Membuat kunci primer dengan materi kunci yang diimpor

Untuk membuat kunci utama dengan materi kunci impor, Anda mulai dengan membuat kunci kunci KMS tanpa bahan kunci. Saat Anda membuat kunci utama tanpa materi kunci, Anda harus menentukan spesifikasi kunci yang mencerminkan jenis materi kunci yang akan Anda impor. Kemudian, impor materi kunci Anda ke kunci utama.

Prosedur untuk membuat kunci primer multi-Wilayah tanpa matteri kunci hampir sama dengan prosedur membuat kunci Wilayah tunggal tanpa materi kunci. Satu-satunya perbedaan adalah Anda menentukan bahwa kuncinya adalah kunci Multi-wilayah.

Izin untuk membuat kunci primer Multi-wilayah dengan materi kunci impor sama dengan yang diperlukan untuk membuat kunci primer Multi-wilayah dengan materi AWS KMS kunci, termasuk CreateServiceLinkedRole izin kms: CreateKey dan iam: dalam kebijakan IAM. Anda dapat menggunakan kunci KeyOrigin kondisi kms: MultiRegionKeyType dan kms: untuk mengizinkan atau menolak izin untuk membuat kunci utama Multi-wilayah dengan materi kunci yang diimpor.

Saat membuat kunci utama dengan materi kunci yang diimpor di AWS KMS konsol, gunakan pengaturan di bagian Opsi lanjutan. Anda tidak dapat mengubah properti ini setelah kunci KMS dibuat.

  • Atur asal bahan utama ke Eksternal (Impor bahan kunci).

  • Atur Replikasi multi-Wilayah, pilih Izinkan kunci ini untuk direplikasi ke Wilayah lain.

Saat menggunakan CreateKeyoperasi untuk membuat kunci utama dengan bahan kunci yang diimpor, gunakan Origin dan MultiRegion parameter dan tentukan KeySpec danKeyUsage. Contoh berikut membuat kunci EXTERNAL KMS yang dapat mengimpor materi ECC_NIST_P384 kunci.

$ aws kms create-key --origin EXTERNAL --key-spec ECC_NIST_P384 --key-usage SIGN_VERIFY --multi-region

Hasilnya adalah kunci primer multi-Wilayah tanpa materi kunci dan status kunci dari PendingImport.

Untuk mengaktifkan kunci KMS ini, Anda harus mengunduh kunci publik dan token impor, menggunakan kunci publik untuk mengenkripsi materi kunci Anda, dan kemudian mengimpor materi kunci Anda. Untuk mengetahui petunjuknya, lihat Mengimpor bahan kunci untuk AWS KMS kunci.

Membuat kunci replika dengan materi kunci yang diimpor

Anda dapat membuat kunci replika multi-Wilayah di konsol AWS KMS tersebut atau menggunakan operasi API AWS KMS. Untuk mereplikasi kunci primer multi-wilayah dengan materi kunci yang diimpor, Anda menggunakan prosedur yang sama yang Anda gunakan untuk membuat kunci replika dengan materi kunci AWS KMS. Namun, hasilnya berbeda. Proses replikasi tidak mengembalikan kunci replika dengan materi kunci yang sama dengan kunci primer melainkan mengembalikan kunci replika tanpa materi kunci dan status kunci dari PendingImport. Untuk mengaktifkan kunci replika, Anda harus mengimpor bahan kunci yang sama ke kunci replika yang Anda impor ke kunci utamanya.

Meskipun tidak mereplikasi materi kunci, AWS KMS membuat kunci replika dengan ID kunci, spesifikasi kunci, penggunaan kunci, dan asal materi kunci yang sama dengan kunci primer. Hal ini juga memastikan bahwa materi kunci yang Anda impor ke kunci replika identik dengan materi kunci yang Anda impor ke kunci primer.

Untuk membuat kunci replika dengan materi kunci yang diimpor:

  1. Buat kunci primer multi-Wilayah dengan materi kunci yang diimpor.

  2. Lakukan salah satu dari berikut ini.

    Pada konsol AWS KMS tersebut, pilih kunci primer multi-Wilayah dengan materi kunci yang diimpor. Kemudian, pada tab Regionalitas-nya, pilih Buat kunci replika baru. Untuk mengetahui petunjuknya, lihat Membuat kunci replika (konsol).

    Atau gunakan ReplicateKeyoperasi. Untuk parameter KeyId, masukkan ID kunci atau ARN kunci dari kunci primer multi-Wilayah dengan materi kunci yang diimpor. Untuk mengetahui petunjuknya, lihat Membuat kunci replika (API AWS KMS).

  3. Untuk setiap kunci replika baru, ikuti langkah-langkah untuk mengunduh kunci publik dan token impor. Gunakan kunci publik untuk mengenkripsi materi kunci primer, dan kemudian impor materi kunci primer di kunci replika. Anda memerlukan kunci publik dan token impor yang berbeda untuk setiap kunci replika.

    Jika materi kunci yang Anda coba untuk impor ke kunci replika bukan materi kunci yang sama dengan kunci primer, operasi akan gagal. AWS KMS tidak mengharuskan model kedaluwarsa dan tanggal kedaluwarsa dikoordinasikan, tetapi Anda mungkin menetapkan aturan bisnis untuk kunci multi-Wilayah Anda. Untuk mengetahui petunjuknya, lihat Mengimpor bahan kunci untuk AWS KMS kunci.

Izin untuk mereplikasi kunci dengan materi kunci yang diimpor

Untuk membuat kunci replika dengan materi kunci yang diimpor, Anda harus memiliki izin berikut.

Pada Wilayah kunci primer:

  • kms: ReplicateKey pada kunci utama (di Region kunci utama). Sertakan izin ini dalam kebijakan kunci utama atau dalam kebijakan IAM.

Pada Wilayah kunci replika: