Dokumentasi ini AWS CLI hanya untuk Versi 1. Untuk dokumentasi yang terkait dengan Versi 2 AWS CLI, lihat Panduan Pengguna Versi 2.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS KMS contoh menggunakan AWS CLI
Contoh kode berikut menunjukkan cara melakukan tindakan dan mengimplementasikan skenario umum dengan menggunakan AWS Command Line Interface with AWS KMS.
Tindakan adalah kutipan kode dari program yang lebih besar dan harus dijalankan dalam konteks. Sementara tindakan menunjukkan cara memanggil fungsi layanan individual, Anda dapat melihat tindakan dalam konteks dalam skenario terkait.
Setiap contoh menyertakan tautan ke kode sumber lengkap, di mana Anda dapat menemukan instruksi tentang cara mengatur dan menjalankan kode dalam konteks.
Topik
Tindakan
Contoh kode berikut menunjukkan cara menggunakancancel-key-deletion
.
- AWS CLI
-
Untuk membatalkan penghapusan terjadwal kunci yang dikelola pelanggan KMS
cancel-key-deletion
Contoh berikut membatalkan penghapusan terjadwal dari kunci yang dikelola pelanggan. KMSaws kms cancel-key-deletion \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
Output:
{ "KeyId": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }
Ketika
cancel-key-deletion
perintah berhasil, penghapusan terjadwal dibatalkan. Namun, status kunci dari KMS kuncinya adalahDisabled
, jadi Anda tidak dapat menggunakan KMS kunci dalam operasi kriptografi. Untuk mengembalikan fungsinya, gunakanenable-key
perintah.Untuk informasi selengkapnya, lihat Penjadwalan dan pembatalan penghapusan kunci di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat CancelKeyDeletion
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanconnect-custom-key-store
.
- AWS CLI
-
Untuk menghubungkan toko kunci kustom
connect-custom-key-store
Contoh berikut menghubungkan kembali toko kunci kustom yang ditentukan. Anda dapat menggunakan perintah seperti ini untuk menghubungkan toko kunci khusus untuk pertama kalinya atau untuk menghubungkan kembali toko kunci yang terputus.Anda dapat menggunakan perintah ini untuk menghubungkan AWS penyimpanan HSM kunci Cloud atau penyimpanan kunci eksternal.
aws kms connect-custom-key-store \ --custom-key-store-id
cks-1234567890abcdef0
Perintah ini tidak memberikan output apa pun. Untuk memverifikasi bahwa perintah itu efektif, gunakan
describe-custom-key-stores
perintah.Untuk informasi tentang menghubungkan AWS penyimpanan HSM kunci Cloud, lihat Menyambungkan dan memutuskan AWS penyimpanan HSM kunci Cloud di Panduan Pengembang Layanan Manajemen AWS Kunci.
Untuk informasi tentang menghubungkan penyimpanan kunci eksternal, lihat Menghubungkan dan memutuskan penyimpanan kunci eksternal di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat ConnectCustomKeyStore
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakancreate-alias
.
- AWS CLI
-
Untuk membuat alias untuk kunci KMS
create-alias
Perintah berikut membuat alias bernamaexample-alias
untuk KMS kunci diidentifikasi oleh ID1234abcd-12ab-34cd-56ef-1234567890ab
kunci.Nama alias harus dimulai dengan
alias/
. Jangan gunakan nama alias yang dimulai denganalias/aws
; ini dicadangkan untuk digunakan oleh AWS.aws kms create-alias \ --alias-name
alias/example-alias
\ --target-key-id1234abcd-12ab-34cd-56ef-1234567890ab
Perintah ini tidak mengembalikan output apa pun. Untuk melihat alias baru, gunakan
list-aliases
perintah.Untuk informasi selengkapnya, lihat Menggunakan alias di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat CreateAlias
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakancreate-custom-key-store
.
- AWS CLI
-
Contoh 1: Untuk membuat AWS penyimpanan HSM kunci Cloud
create-custom-key-store
Contoh berikut membuat AWS penyimpanan HSM kunci Cloud yang didukung oleh HSM klaster AWS Cloud menggunakan parameter yang diperlukan. Anda juga dapat menambahkancustom-key-store-type``parameter with the default value: ``AWS_CLOUDHSM
.Untuk menentukan input file untuk
trust-anchor-certificate
perintah di AWS CLI,file://
awalan diperlukan.aws kms create-custom-key-store \ --custom-key-store-name
ExampleCloudHSMKeyStore
\ --cloud-hsm-cluster-idcluster-1a23b4cdefg
\ --key-store-passwordkmsPswd
\ --trust-anchor-certificatefile://customerCA.crt
Output:
{ "CustomKeyStoreId": cks-1234567890abcdef0 }
Untuk informasi selengkapnya, lihat Membuat penyimpanan HSM kunci AWS Cloud di Panduan Pengembang Layanan Manajemen AWS Kunci.
Contoh 2: Untuk membuat penyimpanan kunci eksternal dengan konektivitas titik akhir publik
create-custom-key-store
Contoh berikut membuat penyimpanan kunci eksternal (XKS) yang berkomunikasi dengan AWS KMS melalui internet.Dalam contoh ini,
XksProxyUriPath
menggunakan awalan opsional dari.example-prefix
NOTE: Jika Anda menggunakan AWS CLI versi 1.0, jalankan perintah berikut sebelum menentukan parameter dengan HTTPS nilai HTTP atau, seperti XksProxyUriEndpoint parameter.
aws configure set
cli_follow_urlparam
false
Jika tidak, AWS CLI versi 1.0 menggantikan nilai parameter dengan konten yang ditemukan di URI alamat itu.
aws kms create-custom-key-store \ --custom-key-store-name
ExamplePublicEndpointXKS
\ --custom-key-store-typeEXTERNAL_KEY_STORE
\ --xks-proxy-connectivityPUBLIC_ENDPOINT
\ --xks-proxy-uri-endpoint"https://myproxy.xks.example.com"
\ --xks-proxy-uri-path"/example-prefix/kms/xks/v1"
\ --xks-proxy-authentication-credential"AccessKeyId=ABCDE12345670EXAMPLE, RawSecretAccessKey=DXjSUawnel2fr6SKC7G25CNxTyWKE5PF9XX6H/u9pSo="
Output:
{ "CustomKeyStoreId": cks-2234567890abcdef0 }
Untuk informasi selengkapnya, lihat Membuat penyimpanan kunci eksternal di Panduan Pengembang Layanan Manajemen AWS Kunci.
Contoh 3: Untuk membuat penyimpanan kunci eksternal dengan konektivitas layanan VPC endpoint
create-custom-key-store
Contoh berikut membuat penyimpanan kunci eksternal (XKS) yang menggunakan layanan VPC endpoint Amazon untuk berkomunikasi dengannya AWS KMS.NOTE: Jika Anda menggunakan AWS CLI versi 1.0, jalankan perintah berikut sebelum menentukan parameter dengan HTTPS nilai HTTP atau, seperti XksProxyUriEndpoint parameter.
aws configure set
cli_follow_urlparam
false
Jika tidak, AWS CLI versi 1.0 menggantikan nilai parameter dengan konten yang ditemukan di URI alamat itu.
aws kms create-custom-key-store \ --custom-key-store-name
ExampleVPCEndpointXKS
\ --custom-key-store-typeEXTERNAL_KEY_STORE
\ --xks-proxy-connectivityVPC_ENDPOINT_SERVICE
\ --xks-proxy-uri-endpoint"https://myproxy-private.xks.example.com"
\ --xks-proxy-uri-path"/kms/xks/v1"
\ --xks-proxy-vpc-endpoint-service-name"com.amazonaws.vpce.us-east-1.vpce-svc-example1"
\ --xks-proxy-authentication-credential"AccessKeyId=ABCDE12345670EXAMPLE, RawSecretAccessKey=DXjSUawnel2fr6SKC7G25CNxTyWKE5PF9XX6H/u9pSo="
Output:
{ "CustomKeyStoreId": cks-3234567890abcdef0 }
Untuk informasi selengkapnya, lihat Membuat penyimpanan kunci eksternal di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat CreateCustomKeyStore
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakancreate-grant
.
- AWS CLI
-
Untuk membuat hibah
create-grant
Contoh berikut membuat hibah yang memungkinkanexampleUser
pengguna untuk menggunakandecrypt
perintah pada KMS kunci1234abcd-12ab-34cd-56ef-1234567890ab
contoh. Kepala sekolah yang pensiun adalahadminRole
perannya. Hibah menggunakan batasanEncryptionContextSubset
hibah untuk mengizinkan izin ini hanya jika konteks enkripsi dalamdecrypt
permintaan menyertakan pasangan nilai"Department": "IT"
kunci.aws kms create-grant \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
\ --grantee-principalarn:aws:iam::123456789012:user/exampleUser
\ --operationsDecrypt
\ --constraintsEncryptionContextSubset={Department=IT}
\ --retiring-principalarn:aws:iam::123456789012:role/adminRole
Output:
{ "GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2", "GrantToken": "<grant token here>" }
Untuk melihat informasi terperinci tentang hibah, gunakan
list-grants
perintah.Untuk informasi selengkapnya, lihat Hibah AWS KMS di Panduan Pengembang Layanan Manajemen AWS Utama.
-
Untuk API detailnya, lihat CreateGrant
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakancreate-key
.
- AWS CLI
-
Contoh 1: Untuk membuat KMS kunci terkelola pelanggan AWS KMS
create-key
Contoh berikut membuat KMS kunci enkripsi simetris.Untuk membuat KMS kunci dasar, kunci enkripsi simetris, Anda tidak perlu menentukan parameter apa pun. Nilai default untuk parameter tersebut membuat kunci enkripsi simetris.
Karena perintah ini tidak menentukan kebijakan kunci, kunci mendapatkan kebijakan KMS kunci default untuk kunci yang dibuat KMS secara terprogram. Untuk melihat kebijakan kunci, gunakan
get-key-policy
perintah. Untuk mengubah kebijakan kunci, gunakanput-key-policy
perintah.aws kms create-key
create-key
Perintah mengembalikan metadata kunci, termasuk ID kunci dan ARN kunci baruKMS. Anda dapat menggunakan nilai-nilai ini untuk mengidentifikasi KMS kunci dalam AWS KMS operasi lain. Outputnya tidak termasuk tag. Untuk melihat tag untuk KMS kunci, gunakan tombollist-resource-tags command
.Output:
{ "KeyMetadata": { "AWSAccountId": "111122223333", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": "2017-07-05T14:04:55-07:00", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "Description": "", "Enabled": true, "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "MultiRegion": false, "Origin": "AWS_KMS" "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }
Catatan:
create-key
Perintah tidak memungkinkan Anda menentukan alias, Untuk membuat alias untuk KMS kunci baru, gunakan perintah.create-alias
Untuk informasi selengkapnya, lihat Membuat AWS kunci di Panduan Pengembang Layanan Manajemen Kunci.
Contoh 2: Untuk membuat RSA KMS kunci asimetris untuk enkripsi dan dekripsi
create-key
Contoh berikut membuat KMS kunci yang berisi asymmetric RSA key pair untuk enkripsi dan dekripsi.aws kms create-key \ --key-spec
RSA_4096
\ --key-usageENCRYPT_DECRYPT
Output:
{ "KeyMetadata": { "Arn": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "CreationDate": "2021-04-05T14:04:55-07:00", "CustomerMasterKeySpec": "RSA_4096", "Description": "", "Enabled": true, "EncryptionAlgorithms": [ "RSAES_OAEP_SHA_1", "RSAES_OAEP_SHA_256" ], "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "KeySpec": "RSA_4096", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "MultiRegion": false, "Origin": "AWS_KMS" } }
Untuk informasi selengkapnya, lihat Kunci asimetris AWS KMS di Panduan Pengembang Layanan Manajemen AWS Kunci.
Contoh 3: Untuk membuat KMS kunci kurva elips asimetris untuk penandatanganan dan verifikasi
Untuk membuat KMS kunci asimetris yang berisi asymmetric elliptic curve () key ECC pair untuk penandatanganan dan verifikasi.
--key-usage
Parameter diperlukan meskipunSIGN_VERIFY
merupakan satu-satunya nilai yang valid untuk ECC KMS kunci.aws kms create-key \ --key-spec
ECC_NIST_P521
\ --key-usageSIGN_VERIFY
Output:
{ "KeyMetadata": { "Arn": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "CreationDate": "2019-12-02T07:48:55-07:00", "CustomerMasterKeySpec": "ECC_NIST_P521", "Description": "", "Enabled": true, "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "KeySpec": "ECC_NIST_P521", "KeyState": "Enabled", "KeyUsage": "SIGN_VERIFY", "MultiRegion": false, "Origin": "AWS_KMS", "SigningAlgorithms": [ "ECDSA_SHA_512" ] } }
Untuk informasi selengkapnya, lihat Kunci asimetris AWS KMS di Panduan Pengembang Layanan Manajemen AWS Kunci.
Contoh 4: Untuk membuat HMAC KMS kunci
create-key
Contoh berikut menciptakan kunci 384-bit HMACKMS.GENERATE_VERIFY_MAC
Nilai untuk--key-usage
parameter diperlukan meskipun itu satu-satunya nilai yang valid untuk HMAC KMS kunci.aws kms create-key \ --key-spec
HMAC_384
\ --key-usageGENERATE_VERIFY_MAC
Output:
{ "KeyMetadata": { "Arn": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "CreationDate": "2022-04-05T14:04:55-07:00", "CustomerMasterKeySpec": "HMAC_384", "Description": "", "Enabled": true, "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "KeySpec": "HMAC_384", "KeyState": "Enabled", "KeyUsage": "GENERATE_VERIFY_MAC", "MacAlgorithms": [ "HMAC_SHA_384" ], "MultiRegion": false, "Origin": "AWS_KMS" } }
Untuk informasi selengkapnya, lihat HMAC AWS kunci AWS KMS di Panduan Pengembang Layanan Manajemen Kunci.
Contoh 4: Untuk membuat kunci utama KMS Multi-region
create-key
Contoh berikut membuat kunci enkripsi simetris primer Multi-region. Karena nilai default untuk semua parameter membuat kunci enkripsi simetris, hanya--multi-region
parameter yang diperlukan untuk KMS kunci ini. Dalam AWS CLI, untuk menunjukkan bahwa parameter Boolean benar, cukup tentukan nama parameter.aws kms create-key \ --multi-region
Output:
{ "KeyMetadata": { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab", "AWSAccountId": "111122223333", "CreationDate": "2021-09-02T016:15:21-09:00", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "Description": "", "Enabled": true, "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "KeyId": "mrk-1234abcd12ab34cd56ef12345678990ab", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab", "Region": "us-west-2" }, "ReplicaKeys": [] }, "Origin": "AWS_KMS" } }
Untuk informasi selengkapnya, lihat Kunci asimetris AWS KMS di Panduan Pengembang Layanan Manajemen AWS Kunci.
Contoh 5: Untuk membuat KMS kunci untuk bahan kunci impor
create-key
Contoh berikut membuat membuat KMS kunci tanpa bahan kunci. Ketika operasi selesai, Anda dapat mengimpor materi kunci Anda sendiri ke dalam KMS kunci. Untuk membuat KMS kunci ini, atur--origin
parameter keEXTERNAL
.aws kms create-key \ --origin
EXTERNAL
Output:
{ "KeyMetadata": { "Arn": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "CreationDate": "2019-12-02T07:48:55-07:00", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "Description": "", "Enabled": false, "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "PendingImport", "KeyUsage": "ENCRYPT_DECRYPT", "MultiRegion": false, "Origin": "EXTERNAL" } }
Untuk informasi selengkapnya, lihat Mengimpor materi kunci dalam AWS KMS kunci di Panduan Pengembang Layanan Manajemen AWS Kunci.
Contoh 6: Untuk membuat KMS kunci di toko HSM kunci AWS Cloud
create-key
Contoh berikut membuat membuat KMS kunci di penyimpanan HSM kunci AWS Cloud yang ditentukan. Operasi membuat KMS kunci dan metadatanya masuk AWS KMS dan membuat materi kunci di HSM klaster AWS Cloud yang terkait dengan penyimpanan kunci khusus. Parameter--custom-key-store-id
dan--origin
diperlukan.aws kms create-key \ --origin
AWS_CLOUDHSM
\ --custom-key-store-idcks-1234567890abcdef0
Output:
{ "KeyMetadata": { "Arn": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "CloudHsmClusterId": "cluster-1a23b4cdefg", "CreationDate": "2019-12-02T07:48:55-07:00", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "CustomKeyStoreId": "cks-1234567890abcdef0", "Description": "", "Enabled": true, "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "MultiRegion": false, "Origin": "AWS_CLOUDHSM" } }
Untuk informasi selengkapnya, lihat HSMPenyimpanan kunci AWS Cloud di Panduan Pengembang Layanan Manajemen AWS Kunci.
Contoh 7: Untuk membuat KMS kunci di toko kunci eksternal
create-key
Contoh berikut membuat membuat KMS kunci di toko kunci eksternal yang ditentukan.--xks-key-id
Parameter--custom-key-store-id
--origin
,, dan diperlukan dalam perintah ini.--xks-key-id
Parameter menentukan ID kunci enkripsi simetris yang ada di pengelola kunci eksternal Anda. Kunci ini berfungsi sebagai bahan kunci eksternal untuk KMS kunci.Nilai--origin
parameterEXTERNAL_KEY_STORE
custom-key-store-id
harus.Parameter harus mengidentifikasi penyimpanan kunci eksternal yang terhubung ke proxy penyimpanan kunci eksternal.aws kms create-key \ --origin EXTERNAL_KEY_STORE \ --custom-key-store-id cks-9876543210fedcba9 \ --xks-key-id bb8562717f809024
Output:
{ "KeyMetadata": { "Arn": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "CreationDate": "2022-12-02T07:48:55-07:00", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "CustomKeyStoreId": "cks-9876543210fedcba9", "Description": "", "Enabled": true, "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "MultiRegion": false, "Origin": "EXTERNAL_KEY_STORE", "XksKeyConfiguration": { "Id": "bb8562717f809024" } } }
Untuk informasi selengkapnya, lihat Penyimpanan kunci eksternal di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat CreateKey
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandecrypt
.
- AWS CLI
-
Contoh 1: Untuk mendekripsi pesan terenkripsi dengan kunci simetris KMS (Linux dan macOS)
Contoh
decrypt
perintah berikut menunjukkan cara yang disarankan untuk mendekripsi data dengan. AWS CLI Versi ini menunjukkan cara mendekripsi data di bawah kunci simetrisKMS.Berikan ciphertext dalam file.Dalam nilai
--ciphertext-blob
parameter, gunakanfileb://
awalan, yang memberitahu CLI untuk membaca data dari file biner. Jika file tidak ada di direktori saat ini, ketik path lengkap ke file. Untuk informasi selengkapnya tentang membaca nilai AWS CLI parameter dari file, lihat Memuat AWS CLI parameter dari file < https://docs.aws.amazon.com/cli/ latest/userguide/cli - usage-parameters-file .html> di Panduan Pengguna Antarmuka Baris AWS Perintah dan Praktik Terbaik untuk Parameter File Lokal< https://aws.amazon.com/blogs/ pengembang/ best-practices-for-local -file-parameters/> di Blog Alat Baris AWS Perintah. Tentukan kunci untuk mendekripsi cipherText. Parameter tidak diperlukan saat mendekripsi dengan KMS kunci simetris.--key-id
KMS AWS KMSbisa mendapatkan ID kunci dari KMS kunci yang digunakan untuk mengenkripsi data dari metadata dalam ciphertext. Tapi itu selalu merupakan praktik terbaik untuk menentukan KMS kunci yang Anda gunakan. Praktek ini memastikan bahwa Anda menggunakan KMS kunci yang Anda inginkan, dan mencegah Anda dari secara tidak sengaja mendekripsi ciphertext menggunakan KMS kunci yang tidak Anda percayai. Minta output plaintext sebagai nilai--query
teks.Parameter memberitahu untuk mendapatkan hanya nilai bidang dari output. CLIPlaintext
--output
Parameter mengembalikan output sebagai text.base64-decode plaintext dan menyimpannya dalam file.Contoh berikut pipa (|) nilaiPlaintext
parameter ke utilitas Base64, yang menerjemahkan itu. Kemudian, itu mengalihkan (>) output yang diterjemahkan ke file.ExamplePlaintext
Sebelum menjalankan perintah ini, ganti ID kunci contoh dengan ID kunci yang valid dari AWS akun Anda.
aws kms decrypt \ --ciphertext-blob
fileb://ExampleEncryptedFile
\ --key-id1234abcd-12ab-34cd-56ef-1234567890ab
\ --outputtext
\ --queryPlaintext
|
base64
\ --decode>
ExamplePlaintextFile
Perintah ini tidak menghasilkan output. Output dari
decrypt
perintah adalah base64-decoded dan disimpan dalam file.Untuk informasi selengkapnya, lihat Mendekripsi di Referensi Layanan API Manajemen AWS Utama.
Contoh 2: Untuk mendekripsi pesan terenkripsi dengan KMS kunci simetris (prompt perintah Windows)
Contoh berikut adalah sama dengan yang sebelumnya kecuali bahwa ia menggunakan
certutil
utilitas untuk Base64-decode data plaintext. Prosedur ini membutuhkan dua perintah, seperti yang ditunjukkan pada contoh berikut.Sebelum menjalankan perintah ini, ganti ID kunci contoh dengan ID kunci yang valid dari AWS akun Anda.
aws kms decrypt
^
--ciphertext-blobfileb://ExampleEncryptedFile
^
--key-id1234abcd-12ab-34cd-56ef-1234567890ab
^
--outputtext
^
--queryPlaintext
>
ExamplePlaintextFile.base64
Jalankan perintah
certutil
.certutil -decode ExamplePlaintextFile.base64 ExamplePlaintextFile
Output:
Input Length = 18 Output Length = 12 CertUtil: -decode command completed successfully.
Untuk informasi selengkapnya, lihat Mendekripsi di Referensi Layanan API Manajemen AWS Utama.
Contoh 3: Untuk mendekripsi pesan terenkripsi dengan kunci asimetris KMS (Linux dan macOS)
Contoh
decrypt
perintah berikut menunjukkan cara mendekripsi data yang dienkripsi di bawah kunci asimetris. RSA KMSSaat menggunakan KMS kunci asimetris,
encryption-algorithm
parameter, yang menentukan algoritma yang digunakan untuk mengenkripsi plaintext, diperlukan.Sebelum menjalankan perintah ini, ganti ID kunci contoh dengan ID kunci yang valid dari AWS akun Anda.
aws kms decrypt \ --ciphertext-blob
fileb://ExampleEncryptedFile
\ --key-id0987dcba-09fe-87dc-65ba-ab0987654321
\ --encryption-algorithmRSAES_OAEP_SHA_256
\ --outputtext
\ --queryPlaintext
|
base64
\ --decode>
ExamplePlaintextFile
Perintah ini tidak menghasilkan output. Output dari
decrypt
perintah adalah base64-decoded dan disimpan dalam file.Untuk informasi selengkapnya, lihat Kunci asimetris AWS KMS di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat Mendekripsi
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandelete-alias
.
- AWS CLI
-
Untuk menghapus AWS KMS alias
delete-alias
Contoh berikut menghapusalias/example-alias
alias. Nama alias harus dimulai dengan alias/.aws kms delete-alias \ --alias-name
alias/example-alias
Perintah ini tidak menghasilkan output. Untuk menemukan alias, gunakan
list-aliases
perintah.Untuk informasi selengkapnya, lihat Menghapus alias di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat DeleteAlias
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandelete-custom-key-store
.
- AWS CLI
-
Untuk menghapus toko kunci kustom
delete-custom-key-store
Contoh berikut menghapus toko kunci kustom yang ditentukan.Menghapus AWS penyimpanan HSM kunci Cloud tidak berpengaruh pada HSM klaster Cloud terkait. Menghapus penyimpanan kunci eksternal tidak berpengaruh pada proxy penyimpanan kunci eksternal terkait, pengelola kunci eksternal, atau kunci eksternal.
NOTE: Sebelum Anda dapat menghapus toko kunci khusus, Anda harus menjadwalkan penghapusan semua KMS kunci di toko kunci khusus dan kemudian menunggu KMS kunci tersebut dihapus. Kemudian, Anda harus memutuskan sambungan toko kunci khusus. Untuk bantuan menemukan KMS kunci di toko kunci kustom Anda, lihat Menghapus AWS penyimpanan HSM kunci Cloud (API) di Panduan Pengembang Layanan Manajemen AWS Kunci.
delete-custom-key-store \ --custom-key-store-id cks-1234567890abcdef0
Perintah ini tidak memberikan output apa pun. Untuk memverifikasi bahwa penyimpanan kunci khusus dihapus, gunakan
describe-custom-key-stores
perintah.Untuk informasi tentang menghapus AWS penyimpanan HSM kunci Cloud, lihat Menghapus AWS penyimpanan HSM kunci Cloud di Panduan Pengembang Layanan Manajemen AWS Kunci.
Untuk informasi tentang menghapus penyimpanan kunci eksternal, lihat Menghapus penyimpanan kunci eksternal di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat DeleteCustomKeyStore
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandelete-imported-key-material
.
- AWS CLI
-
Untuk menghapus materi kunci yang diimpor dari KMS kunci
delete-imported-key-material
Contoh berikut menghapus materi kunci yang telah diimpor ke KMS kunci.aws kms delete-imported-key-material \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
Perintah ini tidak menghasilkan output. Untuk memverifikasi bahwa materi kunci dihapus, gunakan
describe-key
perintah untuk mencari status kunciPendingImport
atauPendingDeletion
.Untuk informasi selengkapnya, lihat Menghapus materi kunci yang diimpor< https://docs.aws.amazon.com/kms/ latest/developerguide/importing - keys-delete-key-material .html> di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat DeleteImportedKeyMaterial
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanderive-shared-secret
.
- AWS CLI
-
Untuk mendapatkan rahasia bersama
derive-shared-secret
Contoh berikut memperoleh rahasia bersama menggunakan algoritma perjanjian kunci.Anda harus menggunakan KMS key pair asymmetric NIST -recommended elliptic curve (ECC) atau SM2 (China Regions only) dengan
KeyUsage
nilai to call.KEY_AGREEMENT
DeriveSharedSecretaws kms derive-shared-secret \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
\ --key-agreement-algorithmECDH
\ --public-key"MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvH3Yj0wbkLEpUl95Cv1cJVjsVNSjwGq3tCLnzXfhVwVvmzGN8pYj3U8nKwgouaHbBWNJYjP5VutbbkKS4Kv4GojwZBJyHN17kmxo8yTjRmjR15SKIQ8cqRA2uaERMLnpztIXdZp232PQPbWGxDyXYJ0aJ5EFSag"
Output:
{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "SharedSecret": "MEYCIQCKZLWyTk5runarx6XiAkU9gv3lbwPO/pHa+DXFehzdDwIhANwpsIV2g/9SPWLLsF6p/hiSskuIXMTRwqrMdVKWTMHG", "KeyAgreementAlgorithm": "ECDH", "KeyOrigin": "AWS_KMS" }
Untuk informasi selengkapnya, lihat DeriveSharedSecretdi APIReferensi Layanan Manajemen AWS Utama.
-
Untuk API detailnya, lihat DeriveSharedSecret
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandescribe-custom-key-stores
.
- AWS CLI
-
Contoh 1: Untuk mendapatkan detail tentang AWS penyimpanan HSM kunci Cloud
describe-custom-key-store
Contoh berikut menampilkan detail tentang AWS penyimpanan HSM kunci Cloud yang ditentukan. Perintahnya sama untuk semua jenis penyimpanan kunci khusus, tetapi outputnya berbeda dengan jenis penyimpanan kunci dan, untuk penyimpanan kunci eksternal, opsi konektivitasnya.Secara default, perintah ini menampilkan informasi tentang semua toko kunci khusus di akun dan Wilayah. Untuk menampilkan informasi tentang penyimpanan kunci khusus tertentu, gunakan
custom-key-store-id
parametercustom-key-store-name
atau.aws kms describe-custom-key-stores \ --custom-key-store-name
ExampleCloudHSMKeyStore
Output dari perintah ini mencakup detail berguna tentang AWS penyimpanan HSM kunci Cloud termasuk status koneksinya (
ConnectionState
). Jika status koneksiFAILED
, output mencakupConnectionErrorCode
bidang yang menjelaskan masalah.Output:
{ "CustomKeyStores": [ { "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionState": "CONNECTED", "CreationDate": "2022-04-05T14:04:55-07:00", "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleExternalKeyStore", "TrustAnchorCertificate": "<certificate appears here>" } ] }
Untuk informasi selengkapnya, lihat Melihat penyimpanan HSM kunci AWS Cloud di Panduan Pengembang Layanan Manajemen AWS Kunci.
Contoh 2: Untuk mendapatkan detail tentang penyimpanan kunci eksternal dengan konektivitas titik akhir publik
describe-custom-key-store
Contoh berikut menampilkan rincian tentang penyimpanan kunci eksternal yang ditentukan. Perintahnya sama untuk semua jenis penyimpanan kunci khusus, tetapi outputnya berbeda dengan jenis penyimpanan kunci dan, untuk penyimpanan kunci eksternal, opsi konektivitasnya.Secara default, perintah ini menampilkan informasi tentang semua toko kunci khusus di akun dan Wilayah. Untuk menampilkan informasi tentang penyimpanan kunci khusus tertentu, gunakan
custom-key-store-id
parametercustom-key-store-name
atau.aws kms describe-custom-key-stores \ --custom-key-store-id
cks-9876543210fedcba9
Output dari perintah ini mencakup rincian berguna tentang penyimpanan kunci eksternal termasuk status koneksi (
ConnectionState
). Jika status koneksiFAILED
, output mencakupConnectionErrorCode
bidang yang menjelaskan masalah.Output:
{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXKS", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-02T07:48:55-07:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE12345670EXAMPLE", "Connectivity": "PUBLIC_ENDPOINT", "UriEndpoint": "https://myproxy.xks.example.com", "UriPath": "/example-prefix/kms/xks/v1" } } ] }
Untuk informasi selengkapnya, lihat Melihat penyimpanan kunci eksternal di Panduan Pengembang Layanan Manajemen AWS Kunci.
Contoh 3: Untuk mendapatkan detail tentang penyimpanan kunci eksternal dengan konektivitas layanan VPC titik akhir
describe-custom-key-store
Contoh berikut menampilkan rincian tentang penyimpanan kunci eksternal yang ditentukan. Perintahnya sama untuk semua jenis penyimpanan kunci khusus, tetapi outputnya berbeda dengan jenis penyimpanan kunci dan, untuk penyimpanan kunci eksternal, opsi konektivitasnya.Secara default, perintah ini menampilkan informasi tentang semua toko kunci khusus di akun dan Wilayah. Untuk menampilkan informasi tentang penyimpanan kunci khusus tertentu, gunakan
custom-key-store-id
parametercustom-key-store-name
atau.aws kms describe-custom-key-stores \ --custom-key-store-id
cks-2234567890abcdef0
Output dari perintah ini mencakup rincian berguna tentang penyimpanan kunci eksternal termasuk status koneksi (
ConnectionState
). Jika status koneksiFAILED
, output mencakupConnectionErrorCode
bidang yang menjelaskan masalah.Output:
{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-3234567890abcdef0", "CustomKeyStoreName": "ExampleVPCExternalKeyStore", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-22T07:48:55-07:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE12345670EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://myproxy-private.xks.example.com", "UriPath": "/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example1" } } ] }
Untuk informasi selengkapnya, lihat Melihat penyimpanan kunci eksternal di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat DescribeCustomKeyStores
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandescribe-key
.
- AWS CLI
-
Contoh 1: Untuk menemukan informasi rinci tentang KMS kunci
describe-key
Contoh berikut mendapatkan informasi rinci tentang kunci AWS terkelola untuk Amazon S3 di akun contoh dan Wilayah. Anda dapat menggunakan perintah ini untuk menemukan detail tentang kunci AWS terkelola dan kunci yang dikelola pelanggan.Untuk menentukan KMS kunci, gunakan
key-id
parameter. Contoh ini menggunakan nilai nama alias, tetapi Anda dapat menggunakan ID kunci, kunci, nama aliasARN, atau alias ARN dalam perintah ini.aws kms describe-key \ --key-id
alias/aws/s3
Output:
{ "KeyMetadata": { "AWSAccountId": "846764612917", "KeyId": "b8a9477d-836c-491f-857e-07937918959b", "Arn": "arn:aws:kms:us-west-2:846764612917:key/b8a9477d-836c-491f-857e-07937918959b", "CreationDate": 2017-06-30T21:44:32.140000+00:00, "Enabled": true, "Description": "Default KMS key that protects my S3 objects when no other key is defined", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "AWS", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }
Untuk informasi selengkapnya, lihat Melihat AWS kunci di Panduan Pengembang Layanan Manajemen Kunci.
Contoh 2: Untuk mendapatkan detail tentang kunci RSA asimetris KMS
describe-key
Contoh berikut mendapatkan informasi rinci tentang RSA KMS kunci asimetris yang digunakan untuk penandatanganan dan verifikasi.aws kms describe-key \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
Output:
{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": "2019-12-02T19:47:14.861000+00:00", "CustomerMasterKeySpec": "RSA_2048", "Enabled": false, "Description": "", "KeyState": "Disabled", "Origin": "AWS_KMS", "MultiRegion": false, "KeyManager": "CUSTOMER", "KeySpec": "RSA_2048", "KeyUsage": "SIGN_VERIFY", "SigningAlgorithms": [ "RSASSA_PKCS1_V1_5_SHA_256", "RSASSA_PKCS1_V1_5_SHA_384", "RSASSA_PKCS1_V1_5_SHA_512", "RSASSA_PSS_SHA_256", "RSASSA_PSS_SHA_384", "RSASSA_PSS_SHA_512" ] } }
Contoh 3: Untuk mendapatkan detail tentang kunci replika Multi-wilayah
describe-key
Contoh berikut mendapatkan metadata untuk kunci replika Multi-wilayah. Kunci Multi-region ini adalah kunci enkripsi simetris. Output daridescribe-key
perintah untuk setiap kunci Multi-region mengembalikan informasi tentang kunci utama dan semua replika nya.aws kms describe-key \ --key-id
arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab
Output:
{ "KeyMetadata": { "MultiRegion": true, "AWSAccountId": "111122223333", "Arn": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": "2021-06-28T21:09:16.114000+00:00", "Description": "", "Enabled": true, "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "KeyManager": "CUSTOMER", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, { "Arn": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "ap-northeast-1" }, { "Arn": "arn:aws:kms:sa-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "sa-east-1" } ] } } }
Contoh 4: Untuk mendapatkan detail tentang HMAC KMS kunci
describe-key
Contoh berikut mendapatkan informasi rinci tentang HMAC KMS kunci.aws kms describe-key \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
Output:
{ "KeyMetadata": { "AWSAccountId": "123456789012", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Arn": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": "2022-04-03T22:23:10.194000+00:00", "Enabled": true, "Description": "Test key", "KeyUsage": "GENERATE_VERIFY_MAC", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "HMAC_256", "MacAlgorithms": [ "HMAC_SHA_256" ], "MultiRegion": false } }
-
Untuk API detailnya, lihat DescribeKey
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandisable-key-rotation
.
- AWS CLI
-
Untuk menonaktifkan rotasi otomatis KMS tombol
disable-key-rotation
Contoh berikut menonaktifkan rotasi otomatis KMS kunci yang dikelola pelanggan. Untuk mengaktifkan kembali rotasi otomatis, gunakanenable-key-rotation
perintah.aws kms disable-key-rotation \ --key-id
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
Perintah ini tidak menghasilkan output. Untuk memverifikasi bahwa rotasi otomatis dinonaktifkan untuk KMS kunci, gunakan
get-key-rotation-status
perintah.Untuk informasi selengkapnya, lihat Memutar kunci di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat DisableKeyRotation
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandisable-key
.
- AWS CLI
-
Untuk menonaktifkan sementara KMS kunci
Contoh berikut menggunakan
disable-key
perintah untuk menonaktifkan KMS kunci yang dikelola pelanggan. Untuk mengaktifkan kembali KMS kunci, gunakanenable-key
perintah.aws kms disable-key \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Mengaktifkan dan Menonaktifkan Kunci di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat DisableKey
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandisconnect-custom-key-store
.
- AWS CLI
-
Untuk memutuskan sambungan toko kunci kustom
disconnect-custom-key-store
Contoh berikut memutus penyimpanan kunci kustom dari HSM klaster AWS Cloud-nya. Anda mungkin memutuskan sambungan penyimpanan kunci untuk memecahkan masalah, memperbarui pengaturannya, atau untuk mencegah KMS kunci di keystore digunakan dalam operasi kriptografi.Perintah ini sama untuk semua toko kunci khusus, termasuk toko HSM kunci AWS Cloud dan toko kunci eksternal.
Sebelum menjalankan perintah ini, ganti contoh ID penyimpanan kunci kustom dengan yang valid.
$ aws kms disconnect-custom-key-store \ --custom-key-store-id cks-1234567890abcdef0
Perintah ini tidak menghasilkan keluaran. verifikasi bahwa perintah itu efektif, gunakan perintah.
describe-custom-key-stores
Untuk informasi selengkapnya tentang memutuskan sambungan penyimpanan HSM kunci AWS Cloud, lihat Menyambungkan dan memutuskan AWS penyimpanan HSM kunci Cloud di Panduan Pengembang Layanan Manajemen AWS Kunci.
Untuk informasi selengkapnya tentang memutuskan penyimpanan kunci eksternal, lihat Menghubungkan dan memutuskan penyimpanan kunci eksternal di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat DisconnectCustomKeyStore
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanenable-key-rotation
.
- AWS CLI
-
Untuk mengaktifkan rotasi KMS tombol secara otomatis
enable-key-rotation
Contoh berikut memungkinkan rotasi otomatis KMS kunci yang dikelola pelanggan dengan periode rotasi 180 hari. KMSKunci akan diputar satu tahun (perkiraan 365 hari) dari tanggal perintah ini selesai dan setiap tahun setelahnya.--key-id
Parameter mengidentifikasi KMS kunci. Contoh ini menggunakan ARN nilai kunci, tetapi Anda dapat menggunakan ID kunci atau KMS--rotation-period-in-days
kunci.Parameter menentukan jumlah hari antara setiap tanggal rotasi. ARN Tentukan nilai antara 90 dan 2560 hari. Jika tidak ada nilai yang ditentukan, nilai defaultnya adalah 365 hari.aws kms enable-key-rotation \ --key-id
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
\ --rotation-period-in-days180
Perintah ini tidak menghasilkan output. Untuk memverifikasi bahwa KMS kunci diaktifkan, gunakan
get-key-rotation-status
perintah.Untuk informasi selengkapnya, lihat Memutar kunci di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat EnableKeyRotation
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanenable-key
.
- AWS CLI
-
Untuk mengaktifkan KMS kunci
enable-key
Contoh berikut memungkinkan kunci yang dikelola pelanggan. Anda dapat menggunakan perintah seperti ini untuk mengaktifkan KMS kunci yang Anda nonaktifkan sementara dengan menggunakandisable-key
perintah. Anda juga dapat menggunakannya untuk mengaktifkan KMS kunci yang dinonaktifkan karena dijadwalkan untuk dihapus dan penghapusan dibatalkan.Untuk menentukan KMS kunci, gunakan
key-id
parameter. Contoh ini menggunakan nilai ID kunci, tetapi Anda dapat menggunakan ID kunci atau ARN nilai kunci dalam perintah ini.Sebelum menjalankan perintah ini, ganti ID kunci contoh dengan yang valid.
aws kms enable-key \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
Perintah ini tidak menghasilkan output. Untuk memverifikasi bahwa KMS kunci diaktifkan, gunakan
describe-key
perintah. Lihat nilaiKeyState
danEnabled
bidang dalamdescribe-key
output.Untuk informasi selengkapnya, lihat Mengaktifkan dan Menonaktifkan Kunci di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat EnableKey
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanencrypt
.
- AWS CLI
-
Contoh 1: Untuk mengenkripsi isi file di Linux atau macOS
encrypt
Perintah berikut menunjukkan cara yang disarankan untuk mengenkripsi data dengan file. AWS CLIaws kms encrypt \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
\ --plaintextfileb://ExamplePlaintextFile
\ --outputtext
\ --queryCiphertextBlob
|
base64
\ --decode>
ExampleEncryptedFile
Perintah tersebut melakukan beberapa hal:
Menggunakan
--plaintext
parameter untuk menunjukkan data yang akan dienkripsi. Nilai parameter ini harus Base64-encoded.Nilaiplaintext
parameter harus base64-dikodekan, atau Anda harus menggunakanfileb://
awalan, yang memberitahu AWS CLI untuk membaca data biner dari file.Jika file tidak dalam direktori saat ini, ketik path lengkap ke file. Misalnya:fileb:///var/tmp/ExamplePlaintextFile
ataufileb://C:\Temp\ExamplePlaintextFile
. Untuk informasi lebih lanjut tentang membaca nilai AWS CLI parameter dari file, lihat Memuat Parameter dari File di Panduan Pengguna Antarmuka Baris AWS Perintah dan Praktik Terbaik untuk Parameter File Lokaldi Blog Alat Baris AWS Perintah.Menggunakan --output
dan--query
parameter untuk mengontrol output perintah.Parameter ini mengekstrak data terenkripsi, yang disebut ciphertext, dari output perintah.Untuk informasi lebih lanjut tentang mengontrol output, lihat Mengontrol Output Perintah dalam Panduan Pengguna Antarmuka Baris AWS Perintah.Menggunakanbase64
utilitas untuk memecahkan kode output yang diekstraksi menjadi data biner.Ciphertext yang dikembalikan oleh perintah yang berhasil adalah teks yang dikodekan base64.encrypt
Anda harus memecahkan kode teks ini sebelum Anda dapat menggunakan AWS CLI untuk mendekripsi itu.Menyimpan ciphertext biner ke file.Bagian terakhir dari perintah (> ExampleEncryptedFile
) menyimpan ciphertext biner ke file untuk membuat dekripsi lebih mudah. Untuk perintah contoh yang menggunakan AWS CLI untuk mendekripsi data, lihat contoh dekripsi.Contoh 2: Menggunakan AWS CLI untuk mengenkripsi data pada Windows
Contoh ini sama dengan yang sebelumnya, kecuali bahwa ia menggunakan
certutil
alat sebagai gantinyabase64
. Prosedur ini membutuhkan dua perintah, seperti yang ditunjukkan pada contoh berikut.aws kms encrypt \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
\ --plaintextfileb://ExamplePlaintextFile
\ --outputtext
\ --queryCiphertextBlob
>
C:\Temp\ExampleEncryptedFile.base64certutil
-decode
C:\Temp\ExampleEncryptedFile.base64 C:\Temp\ExampleEncryptedFileContoh 3: Mengenkripsi dengan kunci asimetris KMS
encrypt
Perintah berikut menunjukkan cara mengenkripsi plaintext dengan kunci asimetris. KMS parameter--encryption-algorithm
diperlukan. Seperti pada semuaencrypt
CLI perintah,plaintext
parameter harus dikodekan base64, atau Anda harus menggunakanfileb://
awalan, yang memberi tahu AWS CLI untuk membaca data biner dari file.aws kms encrypt \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
\ --encryption-algorithmRSAES_OAEP_SHA_256
\ --plaintextfileb://ExamplePlaintextFile
\ --outputtext
\ --queryCiphertextBlob
|
base64
\ --decode>
ExampleEncryptedFile
Perintah ini tidak menghasilkan output.
-
Untuk API detailnya, lihat Enkripsi
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakangenerate-data-key-pair-without-plaintext
.
- AWS CLI
-
Untuk menghasilkan ECC NIST P384 asymmetric data key pair
generate-data-key-pair-without-plaintext
Contoh berikut meminta key pair ECC NIST P384 untuk digunakan di luar. AWSPerintah mengembalikan kunci publik plaintext dan salinan kunci pribadi yang dienkripsi di bawah kunci yang ditentukan. KMS Itu tidak mengembalikan kunci pribadi plaintext. Anda dapat dengan aman menyimpan kunci pribadi terenkripsi dengan data terenkripsi, dan menelepon AWS KMS untuk mendekripsi kunci pribadi saat Anda perlu menggunakannya.
Untuk meminta ECC NIST P384 asymmetric data key pair, gunakan
key-pair-spec
parameter dengan nilai.ECC_NIST_P384
KMSKunci yang Anda tentukan harus berupa KMS kunci enkripsi simetris, yaitu KMS kunci dengan
KeySpec
nilai.SYMMETRIC_DEFAULT
NOTE: Nilai-nilai dalam output dari contoh ini terpotong untuk tampilan.
aws kms generate-data-key-pair-without-plaintext \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
\ --key-pair-specECC_NIST_P384
Output:
{ "PrivateKeyCiphertextBlob": "AQIDAHi6LtupRpdKl2aJTzkK6FbhOtQkMlQJJH3PdtHvS/y+hAFFxmiD134doUDzMGmfCEtcAAAHaTCCB2UGCSqGSIb3DQEHBqCCB1...", "PublicKey": "MIIBojANBgkqhkiG9w0BAQEFAAOCAY8AMIIBigKCAYEA3A3eGMyPrvSn7+LdlJE1oUoQV5HpEuHAVbdOyND+NmYDH/mL1OSIEuLrcdZ5hrMH4pk83r40l...", "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "KeyPairSpec": "ECC_NIST_P384" }
The
PublicKey
dan dikembalikan dalamPrivateKeyCiphertextBlob
format yang dikodekan base64.Untuk informasi selengkapnya, lihat Pasangan kunci data di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat GenerateDataKeyPairWithoutPlaintext
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakangenerate-data-key-pair
.
- AWS CLI
-
Untuk menghasilkan data key pair RSA asimetris 2048-bit
generate-data-key-pair
Contoh berikut meminta 2048-bit RSA asymmetric data key pair untuk digunakan di luar. AWS Perintah mengembalikan kunci publik plaintext dan kunci pribadi plaintext untuk segera digunakan dan dihapus, dan salinan kunci pribadi yang dienkripsi di bawah kunci yang ditentukan. KMS Anda dapat dengan aman menyimpan kunci pribadi terenkripsi dengan data terenkripsi.Untuk meminta data RSA key pair asimetris 2048-bit, gunakan
key-pair-spec
parameter dengan nilai.RSA_2048
KMSKunci yang Anda tentukan harus berupa KMS kunci enkripsi simetris, yaitu KMS kunci dengan
KeySpec
nilai.SYMMETRIC_DEFAULT
NOTE: Nilai-nilai dalam output dari contoh ini terpotong untuk tampilan.
aws kms generate-data-key-pair \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
\ --key-pair-specRSA_2048
Output:
{ "PrivateKeyCiphertextBlob": "AQIDAHi6LtupRpdKl2aJTzkK6FbhOtQkMlQJJH3PdtHvS/y+hAFFxmiD134doUDzMGmfCEtcAAAHaTCCB2UGCSqGSIb3DQEHBqCCB1...", "PrivateKeyPlaintext": "MIIG/QIBADANBgkqhkiG9w0BAQEFAASCBucwggbjAgEAAoIBgQDcDd4YzI+u9Kfv4t2UkTWhShBXkekS4cBVt07I0P42ZgMf+YvU5IgS4ut...", "PublicKey": "MIIBojANBgkqhkiG9w0BAQEFAAOCAY8AMIIBigKCAYEA3A3eGMyPrvSn7+LdlJE1oUoQV5HpEuHAVbdOyND+NmYDH/mL1OSIEuLrcdZ5hrMH4pk83r40l...", "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "KeyPairSpec": "RSA_2048" }
The
PublicKey
,PrivateKeyPlaintext
, dan dikembalikan dalamPrivateKeyCiphertextBlob
format yang dikodekan base64.Untuk informasi selengkapnya, lihat Pasangan kunci data di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat GenerateDataKeyPair
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakangenerate-data-key-without-plaintext
.
- AWS CLI
-
Untuk menghasilkan kunci data simetris 256-bit tanpa kunci plaintext
generate-data-key-without-plaintext
Contoh berikut meminta salinan terenkripsi dari kunci data simetris 256-bit untuk digunakan di luar. AWS Anda dapat menelepon AWS KMS untuk mendekripsi kunci data saat Anda siap menggunakannya.Untuk meminta kunci data 256-bit, gunakan
key-spec
parameter dengan nilai.AES_256
Untuk meminta kunci data 128-bit, gunakankey-spec
parameter dengan nilai.AES_128
Untuk semua panjang kunci data lainnya, gunakannumber-of-bytes
parameter.KMSKunci yang Anda tentukan harus berupa KMS kunci enkripsi simetris, yaitu KMS kunci dengan nilai spesifikasi kunci _. SYMMETRIC DEFAULT
aws kms generate-data-key-without-plaintext \ --key-id
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
\ --key-specAES_256
Output:
{ "CiphertextBlob": "AQEDAHjRYf5WytIc0C857tFSnBaPn2F8DgfmThbJlGfR8P3WlwAAAH4wfAYJKoZIhvcNAQcGoG8wbQIBADBoBgkqhkiG9w0BBwEwHgYJYIZIAWUDBAEuMBEEDEFogL", "KeyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }
CiphertextBlob
(Kunci data terenkripsi) dikembalikan dalam format yang dikodekan base64.Untuk informasi selengkapnya, lihat Kunci data di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat GenerateDataKeyWithoutPlaintext
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakangenerate-data-key
.
- AWS CLI
-
Contoh 1: Untuk menghasilkan kunci data simetris 256-bit
generate-data-key
Contoh berikut meminta kunci data simetris 256-bit untuk digunakan di luar. AWS Perintah mengembalikan kunci data plaintext untuk segera digunakan dan dihapus, dan salinan kunci data yang dienkripsi di bawah kunci yang ditentukan. KMS Anda dapat dengan aman menyimpan kunci data terenkripsi dengan data terenkripsi.Untuk meminta kunci data 256-bit, gunakan
key-spec
parameter dengan nilai.AES_256
Untuk meminta kunci data 128-bit, gunakankey-spec
parameter dengan nilai.AES_128
Untuk semua panjang kunci data lainnya, gunakannumber-of-bytes
parameter.KMSKunci yang Anda tentukan harus berupa KMS kunci enkripsi simetris, yaitu KMS kunci dengan nilai spesifikasi kunci _. SYMMETRIC DEFAULT
aws kms generate-data-key \ --key-id
alias/ExampleAlias
\ --key-specAES_256
Output:
{ "Plaintext": "VdzKNHGzUAzJeRBVY+uUmofUGGiDzyB3+i9fVkh3piw=", "KeyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CiphertextBlob": "AQEDAHjRYf5WytIc0C857tFSnBaPn2F8DgfmThbJlGfR8P3WlwAAAH4wfAYJKoZIhvcNAQcGoG8wbQIBADBoBgkqhkiG9w0BBwEwHgYJYIZIAWUDBAEuMBEEDEFogLqPWZconQhwHAIBEIA7d9AC7GeJJM34njQvg4Wf1d5sw0NIo1MrBqZa+YdhV8MrkBQPeac0ReRVNDt9qleAt+SHgIRF8P0H+7U=" }
Plaintext
(Kunci data teks biasa) danCiphertextBlob
(kunci data terenkripsi) dikembalikan dalam format yang disandikan base64.Untuk informasi selengkapnya, lihat Kunci data < https://docs.aws.amazon.com/kms/ latest/developerguide/concepts .html #data -keys di Panduan Pengembang Layanan Manajemen AWS Kunci.
Contoh 2: Untuk menghasilkan kunci data simetris 512-bit
generate-data-key
Contoh berikut meminta kunci data simetris 512-bit untuk enkripsi dan dekripsi. Perintah mengembalikan kunci data plaintext untuk segera digunakan dan dihapus, dan salinan kunci data yang dienkripsi di bawah kunci yang ditentukan. KMS Anda dapat dengan aman menyimpan kunci data terenkripsi dengan data terenkripsi.Untuk meminta panjang kunci selain 128 atau 256 bit, gunakan
number-of-bytes
parameter. Untuk meminta kunci data 512-bit, contoh berikut menggunakannumber-of-bytes
parameter dengan nilai 64 (byte).KMSKunci yang Anda tentukan harus berupa KMS kunci enkripsi simetris, yaitu KMS kunci dengan nilai spesifikasi kunci _. SYMMETRIC DEFAULT
NOTE: Nilai-nilai dalam output dari contoh ini terpotong untuk tampilan.
aws kms generate-data-key \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
\ --number-of-bytes64
Output:
{ "CiphertextBlob": "AQIBAHi6LtupRpdKl2aJTzkK6FbhOtQkMlQJJH3PdtHvS/y+hAEnX/QQNmMwDfg2korNMEc8AAACaDCCAmQGCSqGSIb3DQEHBqCCAlUwggJRAgEAMIICSgYJKoZ...", "Plaintext": "ty8Lr0Bk6OF07M2BWt6qbFdNB+G00ZLtf5MSEb4al3R2UKWGOp06njAwy2n72VRm2m7z/Pm9Wpbvttz6a4lSo9hgPvKhZ5y6RTm4OovEXiVfBveyX3DQxDzRSwbKDPk/...", "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }
Plaintext
(Kunci data teks biasa) danCiphertextBlob
(kunci data terenkripsi) dikembalikan dalam format yang disandikan base64.Untuk informasi selengkapnya, lihat Kunci data < https://docs.aws.amazon.com/kms/ latest/developerguide/concepts .html #data -keys di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat GenerateDataKey
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakangenerate-random
.
- AWS CLI
-
Contoh 1: Untuk menghasilkan string byte acak 256-bit (Linux atau) macOs
generate-random
Contoh berikut menghasilkan 256-bit (32-byte), string byte acak yang dikodekan base64. Contoh menerjemahkan string byte dan menyimpannya dalam file acak.Ketika Anda menjalankan perintah ini, Anda harus menggunakan
number-of-bytes
parameter untuk menentukan panjang nilai acak dalam byte.Anda tidak menentukan KMS kunci ketika Anda menjalankan perintah ini. String byte acak tidak terkait dengan KMS kunci apa pun.
Secara default, AWS KMS menghasilkan nomor acak. Namun, jika Anda menentukan penyimpanan kunci kustom< https://docs.aws.amazon.com/kms/ latest/developerguide/custom - key-store-overview .html>, string byte acak dihasilkan di HSM klaster AWS Cloud yang terkait dengan penyimpanan kunci khusus.
Contoh ini menggunakan parameter dan nilai berikut:
Ini menggunakan
--number-of-bytes
parameter yang diperlukan dengan nilai32
untuk meminta string 32-byte (256-bit). Ini menggunakan--output
parameter dengan nilaitext
untuk mengarahkan untuk mengembalikan output sebagai teks, bukan JSON .Ini menggunakan AWS CLI untuk mengekstrak nilaiPlaintext
properti dari response.It pipa (|) output dari perintah--query parameter
kebase64
utilitas, yang menerjemahkan output yang diekstraksi.Ia menggunakan operator pengalihan (>) untuk menyimpan decoded byte string ke file.It menggunakanExampleRandom
operator redirection (>) untuk menyimpan ciphertext biner ke file.aws kms generate-random \ --number-of-bytes 32 \ --output text \ --query Plaintext | base64 --decode > ExampleRandom
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat GenerateRandomdi APIReferensi Layanan Manajemen AWS Utama.
Contoh 2: Untuk menghasilkan nomor acak 256-bit (Windows Command Prompt)
Contoh berikut menggunakan
generate-random
perintah untuk menghasilkan string byte acak 256-bit (32-byte) yang dikodekan base64. Contoh menerjemahkan string byte dan menyimpannya dalam file acak. Contoh ini sama dengan contoh sebelumnya, kecuali bahwa ia menggunakancertutil
utilitas di Windows untuk base64-decode string byte acak sebelum menyimpannya dalam file.Pertama, buat string byte acak yang dikodekan base64 dan simpan dalam file sementara,.
ExampleRandom.base64
aws kms generate-random \ --number-of-bytes
32
\ --outputtext
\ --queryPlaintext
>
ExampleRandom.base64
Karena output dari
generate-random
perintah disimpan dalam file, contoh ini tidak menghasilkan output.Sekarang gunakan
certutil -decode
perintah untuk memecahkan kode string byte yang dikodekan base64 dalam file.ExampleRandom.base64
Kemudian, ia menyimpan string byte yang diterjemahkan dalam file.ExampleRandom
certutil -decode ExampleRandom.base64 ExampleRandom
Output:
Input Length = 18 Output Length = 12 CertUtil: -decode command completed successfully.
Untuk informasi selengkapnya, lihat GenerateRandomdi APIReferensi Layanan Manajemen AWS Utama.
-
Untuk API detailnya, lihat GenerateRandom
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-key-policy
.
- AWS CLI
-
Untuk menyalin kebijakan kunci dari satu KMS kunci ke KMS kunci lainnya
get-key-policy
Contoh berikut mendapatkan kebijakan kunci dari satu KMS kunci dan menyimpannya dalam file teks. Kemudian, itu menggantikan kebijakan KMS kunci yang berbeda menggunakan file teks sebagai input kebijakan.Karena
--policy
parameterput-key-policy
membutuhkan string, Anda harus menggunakan--output text
opsi untuk mengembalikan output sebagai string teks bukanJSON.aws kms get-key-policy \ --policy-name
default
\ --key-id1234abcd-12ab-34cd-56ef-1234567890ab
\ --queryPolicy
\ --outputtext
>
policy.txt
aws
kms
put-key-policy
\ --policy-namedefault
\ --key-id0987dcba-09fe-87dc-65ba-ab0987654321
\ --policyfile://policy.txt
Perintah ini tidak menghasilkan output.
Untuk informasi lebih lanjut, lihat PutKeyPolicydi AWS KMSAPIReferensi.
-
Untuk API detailnya, lihat GetKeyPolicy
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-key-rotation-status
.
- AWS CLI
-
Untuk mengambil status rotasi untuk KMS kunci.
get-key-rotation-status
Contoh berikut mengembalikan informasi tentang status rotasi KMS kunci yang ditentukan, termasuk apakah rotasi otomatis diaktifkan, periode rotasi, dan tanggal rotasi terjadwal berikutnya. Anda dapat menggunakan perintah ini pada kunci yang dikelola pelanggan dan KMS kunci AWS KMS terkelola. Namun, semua KMS kunci yang AWS dikelola secara otomatis diputar setiap tahun.aws kms get-key-rotation-status \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
Output:
{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyRotationEnabled": true, "NextRotationDate": "2024-02-14T18:14:33.587000+00:00", "RotationPeriodInDays": 365 }
Untuk informasi selengkapnya, lihat Memutar kunci di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat GetKeyRotationStatus
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-parameters-for-import
.
- AWS CLI
-
Untuk mendapatkan item yang diperlukan untuk mengimpor materi kunci ke dalam KMS kunci
get-parameters-for-import
Contoh berikut mendapatkan kunci publik dan token impor yang Anda butuhkan untuk mengimpor materi kunci ke dalam KMS kunci. Saat Anda menggunakanimport-key-material
perintah, pastikan untuk menggunakan token impor dan materi kunci yang dienkripsi oleh kunci publik yang dikembalikan dalam perintah yang samaget-parameters-for-import
. Juga, algoritma pembungkus yang Anda tentukan dalam perintah ini harus menjadi salah satu yang Anda gunakan untuk mengenkripsi materi kunci dengan kunci publik.Untuk menentukan KMS kunci, gunakan
key-id
parameter. Contoh ini menggunakan ID kunci, tetapi Anda dapat menggunakan ID kunci atau kunci ARN dalam perintah ini.aws kms get-parameters-for-import \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
\ --wrapping-algorithmRSAES_OAEP_SHA_256
\ --wrapping-key-specRSA_2048
Output:
{ "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "PublicKey": "<public key base64 encoded data>", "ImportToken": "<import token base64 encoded data>", "ParametersValidTo": 1593893322.32 }
Untuk informasi selengkapnya, lihat Mengunduh kunci publik dan token impor di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat GetParametersForImport
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-public-key
.
- AWS CLI
-
Contoh 1: Untuk mengunduh kunci publik dari kunci asimetris KMS
get-public-key
Contoh berikut mengunduh kunci publik dari kunci asimetrisKMS.Selain mengembalikan kunci publik, output mencakup informasi yang Anda perlukan untuk menggunakan kunci publik dengan aman di luar AWS KMS, termasuk penggunaan kunci dan algoritma enkripsi yang didukung.
aws kms get-public-key \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
Output:
{ "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "PublicKey": "jANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAl5epvg1/QtJhxSi2g9SDEVg8QV/...", "CustomerMasterKeySpec": "RSA_4096", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "RSAES_OAEP_SHA_1", "RSAES_OAEP_SHA_256" ] }
Untuk informasi selengkapnya tentang penggunaan KMS kunci asimetris AWS KMS, lihat Menggunakan Kunci Simetris dan Asimetris di Referensi Layanan Manajemen AWS Kunci. API
Contoh 2: Untuk mengonversi kunci publik ke DER format (Linux dan macOS)
get-public-key
Contoh berikut mengunduh kunci publik dari KMS kunci asimetris dan menyimpannya dalam DER file.Ketika Anda menggunakan
get-public-key
perintah di AWS CLI, ia mengembalikan kunci publik X.509 DER -encoded yang dikodekan Base64. Contoh ini mendapatkan nilaiPublicKey
properti sebagai teks. Ini Base64-mendekodePublicKey
dan menyimpannya dalam file.public_key.der
output
Parameter mengembalikan output sebagai teks, bukanJSON.--query
Parameter hanya mendapatkanPublicKey
properti, bukan properti yang Anda butuhkan untuk menggunakan kunci publik dengan aman di luar AWS KMS.Sebelum menjalankan perintah ini, ganti ID kunci contoh dengan ID kunci yang valid dari AWS akun Anda.
aws kms get-public-key \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
\ --outputtext
\ --queryPublicKey
|
base64
--decode>
public_key.der
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya tentang penggunaan KMS kunci asimetris AWS KMS, lihat Menggunakan Kunci Simetris dan Asimetris di Referensi Layanan Manajemen AWS Kunci. API
-
Untuk API detailnya, lihat GetPublicKey
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanimport-key-material
.
- AWS CLI
-
Untuk mengimpor materi kunci ke dalam KMS kunci
import-key-material
Contoh berikut mengunggah materi kunci ke dalam KMS kunci yang dibuat tanpa materi kunci. Keadaan kunci dari KMS kunci harusPendingImport
.Perintah ini menggunakan materi kunci yang Anda enkripsi dengan kunci publik yang dikembalikan
get-parameters-for-import
perintah. Ini juga menggunakan token impor dariget-parameters-for-import
perintah yang sama.expiration-model
Parameter menunjukkan bahwa bahan utama secara otomatis kedaluwarsa pada tanggal dan waktu yang ditentukan olehvalid-to
parameter. Ketika materi kunci kedaluwarsa, AWS KMS menghapus materi kunci, status kunci dari kunci berubahPending import
dan KMS KMS kunci menjadi tidak dapat digunakan. Untuk mengembalikan KMS kunci, Anda harus mengimpor ulang materi kunci yang sama. Untuk menggunakan bahan kunci yang berbeda, Anda harus membuat KMS kunci baru.Sebelum menjalankan perintah ini, ganti ID kunci contoh dengan ID kunci atau kunci yang valid ARN dari AWS akun Anda.
aws kms import-key-material \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
\ --encrypted-key-materialfileb://EncryptedKeyMaterial.bin
\ --import-tokenfileb://ImportToken.bin
\ --expiration-modelKEY_MATERIAL_EXPIRES
\ --valid-to2021-09-21T19:00:00Z
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya tentang mengimpor materi utama, lihat Mengimpor Materi Utama di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat ImportKeyMaterial
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-aliases
.
- AWS CLI
-
Contoh 1: Untuk mencantumkan semua alias di AWS akun dan Wilayah
Contoh berikut menggunakan
list-aliases
perintah untuk daftar semua alias di Wilayah default AWS akun. Outputnya mencakup alias yang terkait dengan kunci AWS terkelola dan KMS kunci yang dikelola KMS pelanggan.aws kms list-aliases
Output:
{ "Aliases": [ { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/testKey", "AliasName": "alias/testKey", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" }, { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/FinanceDept", "AliasName": "alias/FinanceDept", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321" }, { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/dynamodb", "AliasName": "alias/aws/dynamodb", "TargetKeyId": "1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d" }, { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/ebs", "AliasName": "alias/aws/ebs", "TargetKeyId": "0987ab65-43cd-21ef-09ab-87654321cdef" }, ... ] }
Contoh 2: Untuk daftar semua alias untuk kunci tertentu KMS
Contoh berikut menggunakan
list-aliases
perintah dankey-id
parameternya untuk mencantumkan semua alias yang terkait dengan KMS kunci tertentu.Setiap alias dikaitkan dengan hanya satu KMS kunci, tetapi KMS kunci dapat memiliki beberapa alias. Perintah ini sangat berguna karena AWS KMS konsol hanya mencantumkan satu alias untuk setiap KMS tombol. Untuk menemukan semua alias untuk KMS kunci, Anda harus menggunakan
list-aliases
perintah.Contoh ini menggunakan ID kunci KMS kunci untuk
--key-id
parameter, tetapi Anda dapat menggunakan ID kunci, kunci, nama aliasARN, atau alias ARN dalam perintah ini.aws kms list-aliases --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
Output:
{ "Aliases": [ { "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/oregon-test-key", "AliasName": "alias/oregon-test-key" }, { "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project121-test", "AliasName": "alias/project121-test" } ] }
Untuk informasi selengkapnya, lihat Bekerja dengan Alias di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat ListAliases
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-grants
.
- AWS CLI
-
Untuk melihat hibah pada kunci AWS KMS
list-grants
Contoh berikut menampilkan semua hibah pada KMS kunci AWS terkelola yang ditentukan untuk Amazon DynamoDB di akun Anda. Hibah ini memungkinkan DynamoDB untuk menggunakan KMS kunci atas nama Anda untuk mengenkripsi tabel DynamoDB sebelum menulisnya ke disk. Anda dapat menggunakan perintah seperti ini untuk melihat hibah pada kunci AWS terkelola dan KMS kunci yang dikelola KMS pelanggan di AWS akun dan Wilayah.Perintah ini menggunakan
key-id
parameter dengan ID kunci untuk mengidentifikasi KMS kunci. Anda dapat menggunakan ID kunci atau kunci ARN untuk mengidentifikasi KMS kunci. Untuk mendapatkan ID kunci atau kunci kunci ARN yang AWS dikelolaKMS, gunakanlist-aliases
perintahlist-keys
or.aws kms list-grants \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
Output menunjukkan bahwa hibah memberikan izin Amazon DynamoDB untuk menggunakan KMS kunci untuk operasi kriptografi, dan memberikan izin untuk melihat detail tentang key
DescribeKey
() dan untuk KMS menghentikan hibah ().RetireGrant
BatasanEncryptionContextSubset
membatasi izin ini untuk permintaan yang menyertakan pasangan konteks enkripsi yang ditentukan. Akibatnya, izin dalam hibah hanya efektif pada akun tertentu dan tabel DynamoDB.{ "Grants": [ { "Constraints": { "EncryptionContextSubset": { "aws:dynamodb:subscriberId": "123456789012", "aws:dynamodb:tableName": "Services" } }, "IssuingAccount": "arn:aws:iam::123456789012:root", "Name": "8276b9a6-6cf0-46f1-b2f0-7993a7f8c89a", "Operations": [ "Decrypt", "Encrypt", "GenerateDataKey", "ReEncryptFrom", "ReEncryptTo", "RetireGrant", "DescribeKey" ], "GrantId": "1667b97d27cf748cf05b487217dd4179526c949d14fb3903858e25193253fe59", "KeyId": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab", "RetiringPrincipal": "dynamodb.us-west-2.amazonaws.com", "GranteePrincipal": "dynamodb.us-west-2.amazonaws.com", "CreationDate": "2021-05-13T18:32:45.144000+00:00" } ] }
Untuk informasi selengkapnya, lihat Hibah AWS KMS di Panduan Pengembang Layanan Manajemen AWS Utama.
-
Untuk API detailnya, lihat ListGrants
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-key-policies
.
- AWS CLI
-
Untuk mendapatkan nama-nama kebijakan kunci untuk KMS kunci
list-key-policies
Contoh berikut mendapatkan nama-nama kebijakan utama untuk kunci yang dikelola pelanggan di akun contoh dan Wilayah. Anda dapat menggunakan perintah ini untuk menemukan nama kebijakan kunci untuk kunci AWS terkelola dan kunci yang dikelola pelanggan.Karena satu-satunya nama kebijakan kunci yang valid adalah
default
, perintah ini tidak berguna.Untuk menentukan KMS kunci, gunakan
key-id
parameter. Contoh ini menggunakan nilai ID kunci, tetapi Anda dapat menggunakan ID kunci atau kunci ARN dalam perintah ini.aws kms list-key-policies \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
Output:
{ "PolicyNames": [ "default" ] }
Untuk informasi selengkapnya tentang kebijakan AWS KMS utama, lihat Menggunakan Kebijakan Utama AWS KMS di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat ListKeyPolicies
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-key-rotations
.
- AWS CLI
-
Untuk mengambil informasi tentang semua rotasi material kunci yang telah selesai
list-key-rotations
Contoh berikut mencantumkan informasi tentang semua rotasi material kunci yang diselesaikan untuk KMS kunci yang ditentukan.aws kms list-key-rotations \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
Output:
{ "Rotations": [ { "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "RotationDate": "2024-03-02T10:11:36.564000+00:00", "RotationType": "AUTOMATIC" }, { "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "RotationDate": "2024-04-05T15:14:47.757000+00:00", "RotationType": "ON_DEMAND" } ], "Truncated": false }
Untuk informasi selengkapnya, lihat Memutar kunci di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat ListKeyRotations
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-keys
.
- AWS CLI
-
Untuk mendapatkan KMS kunci di akun dan Wilayah
list-keys
Contoh berikut mendapatkan KMS kunci dalam akun dan Region. Perintah ini mengembalikan kunci AWS terkelola dan kunci yang dikelola pelanggan.aws kms list-keys
Output:
{ "Keys": [ { "KeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" }, { "KeyArn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321" }, { "KeyArn": "arn:aws:kms:us-east-2:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d", "KeyId": "1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d" } ] }
Untuk informasi selengkapnya, lihat Melihat AWS Kunci di Panduan Pengembang Layanan Manajemen Kunci.
-
Untuk API detailnya, lihat ListKeys
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-resource-tags
.
- AWS CLI
-
Untuk mendapatkan tag pada KMS kunci
list-resource-tags
Contoh berikut mendapatkan tag untuk KMS kunci. Untuk menambah atau mengganti tag sumber daya pada KMS tombol, gunakantag-resource
perintah. Output menunjukkan bahwa KMS kunci ini memiliki dua tag sumber daya, yang masing-masing memiliki kunci dan nilai.Untuk menentukan KMS kunci, gunakan
key-id
parameter. Contoh ini menggunakan nilai ID kunci, tetapi Anda dapat menggunakan ID kunci atau kunci ARN dalam perintah ini.aws kms list-resource-tags \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
Output:
{ "Tags": [ { "TagKey": "Dept", "TagValue": "IT" }, { "TagKey": "Purpose", "TagValue": "Test" } ], "Truncated": false }
Untuk informasi selengkapnya tentang penggunaan tag AWS KMS, lihat Menandai kunci di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat ListResourceTags
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-retirable-grants
.
- AWS CLI
-
Untuk melihat hibah bahwa kepala sekolah dapat pensiun
list-retirable-grants
Contoh berikut menampilkan semua hibah yangExampleAdmin
pengguna dapat pensiun pada KMS kunci di AWS akun dan Wilayah. Anda dapat menggunakan perintah seperti ini untuk melihat hibah bahwa setiap prinsipal akun dapat pensiun pada KMS kunci di AWS akun dan Wilayah.Nilai
retiring-principal
parameter yang diperlukan harus berupa Amazon Resource Name (ARN) dari akun, pengguna, atau peran.Anda tidak dapat menentukan layanan untuk nilai
retiring-principal
dalam perintah ini, meskipun layanan dapat menjadi prinsipal pensiun. Untuk menemukan hibah di mana layanan tertentu adalah kepala sekolah pensiun, gunakan perintah.list-grants
Output menunjukkan bahwa
ExampleAdmin
pengguna memiliki izin untuk menghentikan hibah pada dua KMS kunci berbeda di akun dan wilayah. Selain kepala sekolah yang pensiun, akun memiliki izin untuk mempensiunkan hibah apa pun di akun.aws kms list-retirable-grants \ --retiring-principal
arn:aws:iam::111122223333:user/ExampleAdmin
Output:
{ "Grants": [ { "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "GrantId": "156b69c63cb154aa21f59929ff19760717be8d9d82b99df53e18b94a15a5e88e", "Name": "", "CreationDate": 2021-01-14T20:17:36.419000+00:00, "GranteePrincipal": "arn:aws:iam::111122223333:user/ExampleUser", "RetiringPrincipal": "arn:aws:iam::111122223333:user/ExampleAdmin", "IssuingAccount": "arn:aws:iam::111122223333:root", "Operations": [ "Encrypt" ], "Constraints": { "EncryptionContextSubset": { "Department": "IT" } } }, { "KeyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "GrantId": "8c94d1f12f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2", "Name": "", "CreationDate": "2021-02-02T19:49:49.638000+00:00", "GranteePrincipal": "arn:aws:iam::111122223333:role/ExampleRole", "RetiringPrincipal": "arn:aws:iam::111122223333:user/ExampleAdmin", "IssuingAccount": "arn:aws:iam::111122223333:root", "Operations": [ "Decrypt" ], "Constraints": { "EncryptionContextSubset": { "Department": "IT" } } } ], "Truncated": false }
Untuk informasi selengkapnya, lihat Hibah AWS KMS di Panduan Pengembang Layanan Manajemen AWS Utama.
-
Untuk API detailnya, lihat ListRetirableGrants
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanput-key-policy
.
- AWS CLI
-
Untuk mengubah kebijakan kunci untuk KMS kunci
put-key-policy
Contoh berikut mengubah kebijakan kunci untuk kunci yang dikelola pelanggan.Untuk memulai, buat kebijakan kunci dan simpan dalam JSON file lokal. Dalam contoh ini, file tersebut adalah
key_policy.json
. Anda juga dapat menentukan kebijakan kunci sebagai nilai stringpolicy
parameter.Pernyataan pertama dalam kebijakan kunci ini memberikan izin AWS akun untuk menggunakan IAM kebijakan untuk mengontrol akses ke KMS kunci. Pernyataan kedua memberikan izin
test-user
pengguna untuk menjalankanlist-keys
perintahdescribe-key
dan pada KMS kunci.Isi dari
key_policy.json
:{ "Version" : "2012-10-17", "Id" : "key-default-1", "Statement" : [ { "Sid" : "Enable IAM User Permissions", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : "kms:*", "Resource" : "*" }, { "Sid" : "Allow Use of Key", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:user/test-user" }, "Action" : [ "kms:DescribeKey", "kms:ListKeys" ], "Resource" : "*" } ] }
Untuk mengidentifikasi KMS kunci, contoh ini menggunakan ID kunci, tetapi Anda juga dapat menggunakan kunciARN. Untuk menentukan kebijakan kunci, perintah menggunakan
policy
parameter. Untuk menunjukkan bahwa kebijakan tersebut ada dalam file, kebijakan tersebut menggunakanfile://
awalan yang diperlukan. Awalan ini diperlukan untuk mengidentifikasi file pada semua sistem operasi yang didukung. Akhirnya, perintah menggunakanpolicy-name
parameter dengan nilaidefault
. Jika tidak ada nama kebijakan yang ditentukan, nilai defaultnya adalahdefault
. Satu-satunya nilai yang valid adalahdefault
.aws kms put-key-policy \ --policy-name
default
\ --key-id1234abcd-12ab-34cd-56ef-1234567890ab
\ --policyfile://key_policy.json
Perintah ini tidak menghasilkan output apa pun. Untuk memverifikasi bahwa perintah itu efektif, gunakan
get-key-policy
perintah. Contoh perintah berikut mendapatkan kebijakan kunci untuk KMS kunci yang sama.output
Parameter dengan nilaitext
mengembalikan format teks yang mudah dibaca.aws kms get-key-policy \ --policy-name
default
\ --key-id1234abcd-12ab-34cd-56ef-1234567890ab
\ --outputtext
Output:
{ "Version" : "2012-10-17", "Id" : "key-default-1", "Statement" : [ { "Sid" : "Enable IAM User Permissions", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : "kms:*", "Resource" : "*" }, { "Sid" : "Allow Use of Key", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:user/test-user" }, "Action" : [ "kms:Describe", "kms:List" ], "Resource" : "*" } ] }
Untuk informasi selengkapnya, lihat Mengubah Kebijakan Utama di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat PutKeyPolicy
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanre-encrypt
.
- AWS CLI
-
Contoh 1: Untuk mengenkripsi ulang pesan terenkripsi di bawah kunci simetris yang berbeda KMS (Linux dan macOS).
Contoh
re-encrypt
perintah berikut menunjukkan cara yang disarankan untuk mengenkripsi ulang data dengan file. AWS CLIBerikan ciphertext dalam file.Dalam nilai
--ciphertext-blob
parameter, gunakanfileb://
awalan, yang memberitahu CLI untuk membaca data dari file biner. Jika file tidak ada di direktori saat ini, ketik path lengkap ke file. Untuk informasi selengkapnya tentang membaca nilai AWS CLI parameter dari file, lihat Memuat AWS CLI parameter dari file < https://docs.aws.amazon.com/cli/ latest/userguide/cli - usage-parameters-file .html> di Panduan Pengguna Antarmuka Baris AWS Perintah dan Praktik Terbaik untuk Parameter File Lokal< https://aws.amazon.com/blogs/ pengembang/ best-practices-for-local -file-parameters/> di Blog Alat Baris AWS Perintah. Tentukan KMS kunci sumber, yang mendekripsi ciphertext. Parameter tidak diperlukan saat mendekripsi dengan enkripsi simetris--source-key-id
KMSkunci. AWS KMSbisa mendapatkan KMS kunci yang digunakan untuk mengenkripsi data dari metadata di gumpalan ciphertext. Tapi itu selalu merupakan praktik terbaik untuk menentukan KMS kunci yang Anda gunakan. Praktik ini memastikan bahwa Anda menggunakan KMS kunci yang Anda inginkan, dan mencegah Anda mendekripsi ciphertext secara tidak sengaja menggunakan kunci yang tidak Anda percayai. Tentukan KMS KMS kunci tujuan, yang mengenkripsi ulang data.Parameter selalu diperlukan.--destination-key-id
Contoh ini menggunakan kunciARN, tetapi Anda dapat menggunakan pengidentifikasi kunci yang valid. Minta output plaintext sebagai nilai--query
teks.Parameter memberitahu CLI untuk mendapatkan hanya nilai bidang dari output.Plaintext
--output
Parameter mengembalikan output sebagai text.base64-decode plaintext dan menyimpannya dalam file.Contoh berikut pipa (|) nilaiPlaintext
parameter ke utilitas Base64, yang menerjemahkan itu. Kemudian, itu mengalihkan (>) output yang diterjemahkan ke file.ExamplePlaintext
Sebelum menjalankan perintah ini, ganti kunci contoh IDs dengan pengidentifikasi kunci yang valid dari AWS akun Anda.
aws kms re-encrypt \ --ciphertext-blob
fileb://ExampleEncryptedFile
\ --source-key-id1234abcd-12ab-34cd-56ef-1234567890ab
\ --destination-key-id0987dcba-09fe-87dc-65ba-ab0987654321
\ --queryCiphertextBlob
\ --outputtext
|
base64
--decode>
ExampleReEncryptedFile
Perintah ini tidak menghasilkan output. Output dari
re-encrypt
perintah adalah base64-decoded dan disimpan dalam file.Untuk informasi selengkapnya, lihat ReEncrypt < https://docs.aws.amazon.com/kms/ latest/APIReference/API _ ReEncrypt .html di APIReferensi Layanan Manajemen AWS Kunci.
Contoh 2: Untuk mengenkripsi ulang pesan terenkripsi di bawah KMS tombol simetris yang berbeda (prompt perintah Windows).
Contoh
re-encrypt
perintah berikut adalah sama dengan yang sebelumnya kecuali bahwa ia menggunakancertutil
utilitas untuk Base64-decode data plaintext. Prosedur ini membutuhkan dua perintah, seperti yang ditunjukkan pada contoh berikut.Sebelum menjalankan perintah ini, ganti ID kunci contoh dengan ID kunci yang valid dari AWS akun Anda.
aws kms re-encrypt
^
--ciphertext-blobfileb://ExampleEncryptedFile
^
--source-key-id1234abcd-12ab-34cd-56ef-1234567890ab
^
--destination-key-id0987dcba-09fe-87dc-65ba-ab0987654321
^
--queryCiphertextBlob
^
--outputtext
>
ExampleReEncryptedFile.base64
Kemudian gunakan
certutil
utilitascertutil -decode ExamplePlaintextFile.base64 ExamplePlaintextFile
Output:
Input Length = 18 Output Length = 12 CertUtil: -decode command completed successfully.
Untuk informasi selengkapnya, lihat ReEncrypt < https://docs.aws.amazon.com/kms/ latest/APIReference/API _ ReEncrypt .html di APIReferensi Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat ReEncrypt
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanretire-grant
.
- AWS CLI
-
Untuk pensiun hibah pada kunci master pelanggan
retire-grant
Contoh berikut menghapus hibah dari KMS kunci.Contoh perintah berikut menentukan
grant-id
dankey-id
parameter. Nilaikey-id
parameter harus menjadi kunci ARN KMS kunci.aws kms retire-grant \ --grant-id
1234a2345b8a4e350500d432bccf8ecd6506710e1391880c4f7f7140160c9af3
\ --key-idarn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
Perintah ini tidak menghasilkan output. Untuk mengonfirmasi bahwa hibah telah pensiun, gunakan
list-grants
perintah.Untuk informasi selengkapnya, lihat Pensiun dan pencabutan hibah di Panduan Pengembang Layanan Manajemen AWS Utama.
-
Untuk API detailnya, lihat RetireGrant
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanrevoke-grant
.
- AWS CLI
-
Untuk mencabut hibah pada kunci master pelanggan
revoke-grant
Contoh berikut menghapus hibah dari KMS kunci. Contoh perintah berikut menentukangrant-id
dankey-id
parameter. Nilaikey-id
parameter dapat berupa ID kunci atau kunci ARN KMS kunci.aws kms revoke-grant \ --grant-id
1234a2345b8a4e350500d432bccf8ecd6506710e1391880c4f7f7140160c9af3
\ --key-id1234abcd-12ab-34cd-56ef-1234567890ab
Perintah ini tidak menghasilkan output. Untuk mengonfirmasi bahwa hibah telah dicabut, gunakan
list-grants
perintah.Untuk informasi selengkapnya, lihat Pensiun dan pencabutan hibah di Panduan Pengembang Layanan Manajemen AWS Utama.
-
Untuk API detailnya, lihat RevokeGrant
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanrotate-key-on-demand
.
- AWS CLI
-
Untuk melakukan rotasi kunci sesuai permintaan KMS
rotate-key-on-demand
Contoh berikut segera memulai rotasi bahan kunci untuk KMS kunci yang ditentukan.aws kms rotate-key-on-demand \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
Output:
{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" }
Untuk informasi selengkapnya, lihat Cara melakukan rotasi kunci sesuai permintaan di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat RotateKeyOnDemand
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanschedule-key-deletion
.
- AWS CLI
-
Untuk menjadwalkan penghapusan kunci yang dikelola KMS pelanggan.
schedule-key-deletion
Contoh berikut menjadwalkan KMS kunci yang dikelola pelanggan yang ditentukan untuk dihapus dalam 15 hari.--key-id
Parameter mengidentifikasi KMS kunci. Contoh ini menggunakan ARN nilai kunci, tetapi Anda dapat menggunakan ID kunci atau KMS--pending-window-in-days
kunci.Parameter menentukan panjang masa tunggu 7-30 hari. ARN Secara default, masa tunggu adalah 30 hari. Contoh ini menentukan nilai 15, yang memberitahu AWS untuk secara permanen menghapus KMS kunci 15 hari setelah perintah selesai.aws kms schedule-key-deletion \ --key-id arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab \ --pending-window-in-days 15
Responsnya mencakup kunciARN, status kunci, periode tunggu (
PendingWindowInDays
), dan tanggal penghapusan dalam waktu Unix. Untuk melihat tanggal penghapusan dalam waktu lokal, gunakan konsol. AWS KMS KMSkunci dalam statusPendingDeletion
kunci tidak dapat digunakan dalam operasi kriptografi.{ "KeyId": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab", "DeletionDate": "2022-06-18T23:43:51.272000+00:00", "KeyState": "PendingDeletion", "PendingWindowInDays": 15 }
Untuk informasi selengkapnya, lihat Menghapus kunci di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat ScheduleKeyDeletion
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakansign
.
- AWS CLI
-
Contoh 1: Untuk menghasilkan tanda tangan digital untuk pesan
sign
Contoh berikut menghasilkan tanda tangan kriptografi untuk pesan singkat. Output dari perintah mencakupSignature
bidang yang dikodekan basis-64 yang dapat Anda verifikasi dengan menggunakan perintah.verify
Anda harus menentukan pesan yang akan ditandatangani dan algoritma penandatanganan yang didukung oleh KMS kunci asimetris Anda. Untuk mendapatkan algoritma penandatanganan untuk KMS kunci Anda, gunakan
describe-key
perintah.Di AWS CLI 2.0, nilai
message
parameter harus dikodekan Base64. Atau, Anda dapat menyimpan pesan dalam file dan menggunakanfileb://
awalan, yang memberitahu AWS CLI untuk membaca data biner dari file.Sebelum menjalankan perintah ini, ganti ID kunci contoh dengan ID kunci yang valid dari AWS akun Anda. ID kunci harus mewakili KMS kunci asimetris dengan penggunaan kunci SIGN _VERIFY.
msg=(echo 'Hello World' | base64) aws kms sign \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --message fileb://UnsignedMessage \ --message-type RAW \ --signing-algorithm RSASSA_PKCS1_V1_5_SHA_256
Output:
{ "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Signature": "ABCDEFhpyVYyTxbafE74ccSvEJLJr3zuoV1Hfymz4qv+/fxmxNLA7SE1SiF8lHw80fKZZ3bJ...", "SigningAlgorithm": "RSASSA_PKCS1_V1_5_SHA_256" }
Untuk informasi selengkapnya tentang penggunaan KMS kunci asimetris AWS KMS, lihat Kunci asimetris AWS KMS di Panduan Pengembang Layanan Manajemen AWS Kunci.
Contoh 2: Untuk menyimpan tanda tangan digital dalam file (Linux danmacOs)
sign
Contoh berikut menghasilkan tanda tangan kriptografi untuk pesan singkat yang disimpan dalam file lokal. Perintah juga mendapatkanSignature
properti dari respons, Base64-mendekodekannya dan menyimpannya dalam file. ExampleSignature Anda dapat menggunakan file tanda tangan dalamverify
perintah yang memverifikasi tanda tangan.sign
Perintah ini memerlukan pesan yang disandikan Base64 dan algoritme penandatanganan yang didukung oleh kunci asimetris Anda. KMS Untuk mendapatkan algoritma penandatanganan yang didukung KMS kunci Anda, gunakandescribe-key
perintah.Sebelum menjalankan perintah ini, ganti ID kunci contoh dengan ID kunci yang valid dari AWS akun Anda. ID kunci harus mewakili KMS kunci asimetris dengan penggunaan kunci SIGN _VERIFY.
echo 'hello world' | base64 > EncodedMessage aws kms sign \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --message fileb://EncodedMessage \ --message-type RAW \ --signing-algorithm RSASSA_PKCS1_V1_5_SHA_256 \ --output text \ --query Signature | base64 --decode > ExampleSignature
Perintah ini tidak menghasilkan output. Contoh ini mengekstrak
Signature
properti output dan menyimpannya dalam file.Untuk informasi selengkapnya tentang penggunaan KMS kunci asimetris AWS KMS, lihat Kunci asimetris AWS KMS di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat Referensi AWS CLI Perintah Masuk
.
-
Contoh kode berikut menunjukkan cara menggunakantag-resource
.
- AWS CLI
-
Untuk menambahkan tag ke KMS kunci
tag-resource
Contoh berikut menambahkan"Purpose":"Test"
dan"Dept":"IT"
tag ke KMS kunci yang dikelola pelanggan. Anda dapat menggunakan tag seperti ini untuk memberi label KMS kunci dan membuat kategori KMS kunci untuk izin dan audit.Untuk menentukan KMS kunci, gunakan
key-id
parameter. Contoh ini menggunakan nilai ID kunci, tetapi Anda dapat menggunakan ID kunci atau kunci ARN dalam perintah ini.aws kms tag-resource \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
\ --tags TagKey='Purpose',TagValue='Test' TagKey='Dept',TagValue='IT'Perintah ini tidak menghasilkan output. Untuk melihat tag pada AWS KMS KMS tombol, gunakan
list-resource-tags
perintah.Untuk informasi selengkapnya tentang penggunaan tag AWS KMS, lihat Menandai kunci di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat TagResource
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanuntag-resource
.
- AWS CLI
-
Untuk menghapus tag dari KMS kunci
untag-resource
Contoh berikut menghapus tag dengan"Purpose"
kunci dari kunci yang dikelola KMS pelanggan.Untuk menentukan KMS kunci, gunakan
key-id
parameter. Contoh ini menggunakan nilai ID kunci, tetapi Anda dapat menggunakan ID kunci atau kunci ARN dalam perintah ini. Sebelum menjalankan perintah ini, ganti ID kunci contoh dengan ID kunci yang valid dari AWS akun Anda.aws kms untag-resource \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
\ --tag-key 'Purpose
'Perintah ini tidak menghasilkan output. Untuk melihat tag pada AWS KMS KMS tombol, gunakan
list-resource-tags
perintah.Untuk informasi selengkapnya tentang penggunaan tag AWS KMS, lihat Menandai kunci di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat UntagResource
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanupdate-alias
.
- AWS CLI
-
Untuk mengaitkan alias dengan kunci yang berbeda KMS
update-alias
Contoh berikut mengaitkan aliasalias/test-key
dengan kunci yang berbedaKMS.--alias-name
Parameter menentukan alias. Nilai nama alias harus dimulai denganalias/
.--target-key-id
Parameter menentukan KMS kunci untuk mengaitkan dengan alias. Anda tidak perlu menentukan KMS kunci saat ini untuk alias.aws kms update-alias \ --alias-name alias/test-key \ --target-key-id 1234abcd-12ab-34cd-56ef-1234567890ab
Perintah ini tidak menghasilkan output. Untuk menemukan alias, gunakan
list-aliases
perintah.Untuk informasi selengkapnya, lihat Memperbarui alias di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat UpdateAlias
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanupdate-custom-key-store
.
- AWS CLI
-
Contoh 1: Untuk mengedit nama ramah dari toko kunci kustom
update-custom-key-store
Contoh berikut mengubah nama toko kunci kustom. Contoh ini berfungsi untuk AWS penyimpanan HSM kunci Cloud atau penyimpanan kunci eksternal.Gunakan
custom-key-store-id
untuk mengidentifikasi toko kunci. Gunakannew-custom-key-store-name
parameter untuk menentukan nama ramah baru.Untuk memperbarui nama yang ramah dari toko HSM kunci AWS Cloud, Anda harus terlebih dahulu memutuskan penyimpanan kunci, seperti dengan menggunakan
disconnect-custom-key-store
perintah. Anda dapat memperbarui nama ramah dari toko kunci eksternal saat terhubung atau terputus. Untuk menemukan status koneksi toko kunci kustom Anda, gunakandescribe-custom-key-store
perintah.aws kms update-custom-key-store \ --custom-key-store-id
cks-1234567890abcdef0
\ --new-custom-key-store-nameExampleKeyStore
Perintah ini tidak mengembalikan data apa pun. Untuk memverifikasi bahwa perintah berfungsi, gunakan
describe-custom-key-stores
perintah.Untuk informasi selengkapnya tentang memperbarui AWS penyimpanan HSM kunci Cloud, lihat Mengedit setelan penyimpanan HSM kunci AWS Cloud di Panduan Pengembang Layanan Manajemen AWS Kunci.
Untuk informasi selengkapnya tentang memperbarui penyimpanan kunci eksternal, lihat Mengedit properti penyimpanan kunci eksternal di Panduan Pengembang Layanan Manajemen AWS Kunci.
Contoh 2: Untuk mengedit kata sandi kmsuser dari toko kunci Cloud AWS HSM
update-custom-key-store
Contoh berikut memperbarui nilaikmsuser
kata sandi ke kata sandi saat ini untukkmsuser
di HSM klaster Cloud yang terkait dengan penyimpanan kunci yang ditentukan. Perintah ini tidak mengubahkmsuser
kata sandi klaster. Itu hanya memberi tahu AWS KMS kata sandi saat ini. Jika KMS tidak memilikikmsuser
kata sandi saat ini, itu tidak dapat terhubung ke AWS penyimpanan HSM kunci Cloud.NOTE: Sebelum memperbarui toko HSM kunci AWS Cloud, Anda harus memutusnya. Gunakan perintah
disconnect-custom-key-store
. Setelah perintah selesai, Anda dapat menghubungkan kembali AWS penyimpanan HSM kunci Cloud. Gunakan perintahconnect-custom-key-store
.aws kms update-custom-key-store \ --custom-key-store-id
cks-1234567890abcdef0
\ --key-store-passwordExamplePassword
Perintah ini tidak memberikan output apa pun. Untuk memverifikasi bahwa perubahan itu efektif, gunakan
describe-custom-key-stores
perintah.Untuk informasi selengkapnya tentang memperbarui AWS penyimpanan HSM kunci Cloud, lihat Mengedit setelan penyimpanan HSM kunci AWS Cloud di Panduan Pengembang Layanan Manajemen AWS Kunci.
Contoh 3: Untuk mengedit HSM klaster AWS Cloud dari AWS penyimpanan HSM kunci Cloud
Contoh berikut mengubah HSM klaster AWS Cloud yang dikaitkan dengan AWS penyimpanan HSM kunci Cloud ke klaster terkait, seperti cadangan lain dari cluster yang sama.
NOTE: Sebelum memperbarui toko HSM kunci AWS Cloud, Anda harus memutusnya. Gunakan perintah
disconnect-custom-key-store
. Setelah perintah selesai, Anda dapat menghubungkan kembali AWS penyimpanan HSM kunci Cloud. Gunakan perintahconnect-custom-key-store
.aws kms update-custom-key-store \ --custom-key-store-id
cks-1234567890abcdef0
\ --cloud-hsm-cluster-idcluster-1a23b4cdefg
Perintah ini tidak memberikan output apa pun. Untuk memverifikasi bahwa perubahan itu efektif, gunakan
describe-custom-key-stores
perintah.Untuk informasi selengkapnya tentang memperbarui AWS penyimpanan HSM kunci Cloud, lihat Mengedit setelan penyimpanan HSM kunci AWS Cloud di Panduan Pengembang Layanan Manajemen AWS Kunci.
Contoh 4: Untuk mengedit kredensi otentikasi proxy dari penyimpanan kunci eksternal
Contoh berikut memperbarui kredensi otentikasi proxy untuk penyimpanan kunci eksternal Anda. Anda harus menentukan keduanya
raw-secret-access-key
danaccess-key-id
, bahkan jika Anda hanya mengubah salah satu nilai. Anda dapat menggunakan fitur ini untuk memperbaiki kredensi yang tidak valid atau untuk mengubah kredensialnya saat proxy penyimpanan kunci eksternal memutarnya.Tetapkan kredensi otentikasi proxy untuk AWS KMS di toko kunci eksternal Anda. Kemudian gunakan perintah ini untuk memberikan kredensialnya. AWS KMS AWS KMSmenggunakan kredensi ini untuk menandatangani permintaannya ke proxy penyimpanan kunci eksternal Anda.
Anda dapat memperbarui kredensi otentikasi proxy saat penyimpanan kunci eksternal terhubung atau terputus. Untuk menemukan status koneksi toko kunci kustom Anda, gunakan
describe-custom-key-store
perintah.aws kms update-custom-key-store \ --custom-key-store-id
cks-1234567890abcdef0
\ --xks-proxy-authentication-credential"AccessKeyId=ABCDE12345670EXAMPLE, RawSecretAccessKey=DXjSUawnel2fr6SKC7G25CNxTyWKE5PF9XX6H/u9pSo="
Perintah ini tidak memberikan output apa pun. Untuk memverifikasi bahwa perubahan itu efektif, gunakan
describe-custom-key-stores
perintah.Untuk informasi selengkapnya tentang memperbarui penyimpanan kunci eksternal, lihat Mengedit properti penyimpanan kunci eksternal di Panduan Pengembang Layanan Manajemen AWS Kunci.
Contoh 5: Untuk mengedit konektivitas proxy dari penyimpanan kunci eksternal
Contoh berikut mengubah opsi konektivitas proxy penyimpanan kunci eksternal dari konektivitas titik akhir publik ke konektivitas layanan VPC titik akhir. Selain mengubah
xks-proxy-connectivity
nilai, Anda harus mengubahxks-proxy-uri-endpoint
nilai untuk mencerminkan DNS nama pribadi yang terkait dengan layanan VPC titik akhir. Anda juga harus menambahkanxks-proxy-vpc-endpoint-service-name
nilai.NOTE: Sebelum memperbarui konektivitas proxy dari toko eksternal, Anda harus memutusnya. Gunakan perintah
disconnect-custom-key-store
. Setelah perintah selesai, Anda dapat menghubungkan kembali penyimpanan kunci eksternal dengan menggunakan perintah.connect-custom-key-store
aws kms update-custom-key-store \ --custom-key-store-id
cks-1234567890abcdef0
\ --xks-proxy-connectivityVPC_ENDPOINT_SERVICE
\ --xks-proxy-uri-endpoint"https://myproxy-private.xks.example.com"
\ --xks-proxy-vpc-endpoint-service-name"com.amazonaws.vpce.us-east-1.vpce-svc-example"
Perintah ini tidak memberikan output apa pun. Untuk memverifikasi bahwa perubahan itu efektif, gunakan
describe-custom-key-stores
perintah.Untuk informasi selengkapnya tentang memperbarui penyimpanan kunci eksternal, lihat Mengedit properti penyimpanan kunci eksternal di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat UpdateCustomKeyStore
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanupdate-key-description
.
- AWS CLI
-
Contoh 1: Untuk menambah atau mengubah deskripsi ke KMS kunci yang dikelola pelanggan
update-key-description
Contoh berikut menambahkan deskripsi ke KMS kunci yang dikelola pelanggan. Anda dapat menggunakan perintah yang sama untuk mengubah deskripsi yang ada.--key-id
Parameter mengidentifikasi KMS kunci dalam perintah. Contoh ini menggunakan ARN nilai kunci, tetapi Anda dapat menggunakan ID kunci atau kunci ARN KMS--description
kunci.Parameter menentukan deskripsi baru. Nilai parameter ini menggantikan deskripsi KMS kunci saat ini, jika ada.aws kms update-key-description \ --key-id arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab \ --description "IT Department test key"
Perintah ini tidak menghasilkan output. Untuk melihat deskripsi KMS kunci, gunakan
describe-key
perintah.Untuk informasi selengkapnya, lihat UpdateKeyDescriptiondi APIReferensi Layanan Manajemen AWS Utama.
Contoh 2: Untuk menghapus deskripsi KMS kunci yang dikelola pelanggan
update-key-description
Contoh berikut menghapus deskripsi ke KMS kunci yang dikelola pelanggan.--key-id
Parameter mengidentifikasi KMS kunci dalam perintah. Contoh ini menggunakan nilai ID kunci, tetapi Anda dapat menggunakan ID kunci atau kunci ARN KMS--description
kunci.Parameter dengan nilai string kosong (“) menghapus deskripsi yang ada.aws kms update-key-description \ --key-id 0987dcba-09fe-87dc-65ba-ab0987654321 \ --description ''
Perintah ini tidak menghasilkan output. Untuk melihat deskripsi KMS kunci, gunakan perintah deskripsi-kunci.
Untuk informasi selengkapnya, lihat UpdateKeyDescriptiondi APIReferensi Layanan Manajemen AWS Utama.
-
Untuk API detailnya, lihat UpdateKeyDescription
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanverify
.
- AWS CLI
-
Untuk memverifikasi tanda tangan digital
verify
Contoh berikut memverifikasi tanda tangan kriptografi untuk pesan singkat yang disandikan Base64. ID kunci, pesan, jenis pesan, dan algoritma penandatanganan harus sama dengan yang digunakan untuk menandatangani pesan. Tanda tangan yang Anda tentukan tidak dapat dikodekan base64. Untuk bantuan decoding tanda tangan yang dikembalikansign
perintah, lihat contohsign
perintah.Output dari perintah termasuk
SignatureValid
bidang Boolean yang menunjukkan bahwa tanda tangan telah diverifikasi. Jika validasi tanda tangan gagal,verify
perintah juga gagal.Sebelum menjalankan perintah ini, ganti ID kunci contoh dengan ID kunci yang valid dari AWS akun Anda.
aws kms verify \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
\ --messagefileb://EncodedMessage
\ --message-typeRAW
\ --signing-algorithmRSASSA_PKCS1_V1_5_SHA_256
\ --signaturefileb://ExampleSignature
Output:
{ "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "SignatureValid": true, "SigningAlgorithm": "RSASSA_PKCS1_V1_5_SHA_256" }
Untuk informasi selengkapnya tentang penggunaan KMS kunci asimetris AWS KMS, lihat Menggunakan kunci asimetris di Panduan Pengembang Layanan Manajemen AWS Kunci.
-
Untuk API detailnya, lihat Verifikasi
di Referensi AWS CLI Perintah.
-