Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS KMS key manajemen
Amazon RDS Aurora secara otomatis terintegrasi [AWS Key Management Service dengan AWS KMS(](https://docs.aws.amazon.com/kms/latest/developerguide/)) untuk manajemen kunci. Amazon RDS Aurora menggunakan enkripsi amplop. Untuk informasi selengkapnya tentang enkripsi amplop, lihat [ Enkripsi amplop](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) di *Panduan Developer AWS Key Management Service *.
+ Jika Anda menginginkan kontrol penuh atas kunci KMS, Anda harus membuat *kunci yang dikelola pelanggan*. Untuk informasi selengkapnya tentang kunci yang dikelola pelanggan, lihat [Kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan Developer AWS Key Management Service *.
+ *Kunci yang dikelola AWS*adalah kunci KMS di akun Anda yang dibuat, dikelola, dan digunakan atas nama Anda oleh AWS layanan yang terintegrasi dengannya AWS KMS. Secara default, RDS Kunci yang dikelola AWS (`aws/rds`) digunakan untuk enkripsi. Anda tidak dapat mengelola, memutar, atau menghapus RDS. Kunci yang dikelola AWS Untuk informasi selengkapnya Kunci yang dikelola AWS, lihat [Kunci yang dikelola AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)di *Panduan AWS Key Management Service Pengembang*.
[Untuk mengelola kunci KMS yang digunakan untuk cluster DB terenkripsi Amazon RDS Aurora, gunakan [AWS KMS() di AWS Key Management ServiceAWS KMS konsol](https://docs.aws.amazon.com/kms/latest/developerguide/), atau API.](https://console.aws.amazon.com/kms) AWS CLI AWS KMS Untuk melihat log Audit setiap tindakan yang diambil dengan kunci yang dikelola pelanggan atau AWS , gunakan [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/). Untuk informasi selengkapnya tentang rotasi kunci, lihat [Merotasi kunci AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html).
## Mengizinkan penggunaan kunci yang dikelola pelanggan
Untuk membuat sumber daya RDS menggunakan kunci yang dikelola pelanggan, pengguna harus memiliki izin untuk memanggil operasi berikut pada kunci yang dikelola pelanggan:
+ `kms:CreateGrant`
+ `kms:DescribeKey`
Anda dapat menentukan izin yang diperlukan ini dalam kebijakan kunci, atau dalam kebijakan IAM jika kebijakan kunci memungkinkan hal tersebut.
**penting**
Bila Anda menggunakan pernyataan penolakan eksplisit untuk semua sumber daya (\$1) dalam kebijakan AWS KMS utama dengan layanan terkelola seperti Amazon RDS, Anda harus menentukan kondisi untuk mengizinkan akun pemilik sumber daya. Operasi mungkin gagal tanpa kondisi ini, bahkan jika aturan penolakan menyertakan pengecualian untuk pengguna IAM Anda.
**Tip**
Untuk mengikuti prinsip hak akses paling rendah, jangan biarkan akses penuh ke `kms:CreateGrant`. Sebagai gantinya, gunakan [kunci ViaService kondisi kms:](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service) untuk memungkinkan pengguna membuat hibah pada kunci KMS hanya ketika hibah dibuat atas nama pengguna oleh layanan. AWS
Anda dapat membuat kebijakan IAM lebih ketat dalam berbagai cara. Misalnya, jika Anda ingin mengizinkan kunci yang dikelola pelanggan hanya digunakan untuk permintaan yang berasal dari RDS , gunakan [kunci kms: ViaService kondisi dengan nilainya](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service). `rds..amazonaws.com` Selain itu, Anda dapat menggunakan kunci atau nilai dalam [Konteks enkripsi Amazon RDS](#Overview.Encryption.Keys.encryptioncontext) sebagai syarat untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi.
Untuk informasi selengkapnya, lihat [Mengizinkan pengguna di akun lain untuk menggunakan kunci KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html) di *Panduan Developer AWS Key Management Service * dan [Kebijakan kunci di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies).
## Konteks enkripsi Amazon RDS
[Ketika RDS menggunakan kunci KMS Anda, atau ketika Amazon EBS menggunakan kunci KMS atas nama RDS, layanan menentukan konteks enkripsi.](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) Konteks enkripsi adalah [data otentikasi tambahan](https://docs.aws.amazon.com/crypto/latest/userguide/cryptography-concepts.html#term-aad) (AAD) yang AWS KMS digunakan untuk memastikan integritas data. Ketika konteks enkripsi ditentukan untuk operasi enkripsi, layanan harus menentukan konteks enkripsi yang sama untuk operasi dekripsi. Jika tidak, dekripsi akan gagal. Konteks enkripsi juga ditulis ke log [AWS CloudTrail](https://aws.amazon.com/cloudtrail/) untuk membantu Anda memahami mengapa kunci KMS tertentu digunakan. CloudTrail Log Anda mungkin berisi banyak entri yang menjelaskan penggunaan kunci KMS, tetapi konteks enkripsi di setiap entri log dapat membantu Anda menentukan alasan penggunaan tertentu.
Minimal, Amazon RDS selalu menggunakan ID cluster DB untuk konteks enkripsi, seperti pada contoh berformat JSON berikut:
```
{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }
```
Konteks enkripsi ini dapat membantu Anda mengidentifikasi instans DB tempat kunci KMS Anda digunakan.
Bila kunci KMS Anda digunakan untuk instans DB tertentu dan volume Amazon EBS tertentu, ID instans DB dan ID volume Amazon EBS digunakan untuk konteks enkripsi, seperti pada contoh berformat JSON berikut:
```
{
"aws:rds:db-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ",
"aws:ebs:id": "vol-ad8c6542"
}
```