Konsep Basic

Kunci logis yang mewakili bagian atas hierarki kunci Anda. Kunci KMS diberikan Amazon Resource Name (ARN) yang menyertakan pengenal kunci unik, atau ID kunci. AWS KMS keysmemiliki tiga jenis:

Nama yang ramah pengguna yang dikaitkan dengan kunci KMS. Alias dapat digunakan secara bergantian dengan ID kunci di banyak Operasi API AWS KMS.

Kebijakan yang dilampirkan pada kunci KMS yang menentukan izin pada kunci tersebut. Kebijakan default memungkinkan prinsip apa pun yang Anda tentukan, serta memungkinkan Akun AWS untuk menambahkan kebijakan IAM yang mereferensikan kunci.

Izin yang didelegasikan untuk menggunakan kunci KMS ketika prinsip IAM yang dimaksud atau durasi penggunaan tidak diketahui sejak awal dan oleh karena itu tidak dapat ditambahkan ke kunci atau kebijakan IAM. Salah satu penggunaan hibah adalah untuk menentukan izin tercakup bawah untuk bagaimana layanan dapat menggunakan kunci KMS. AWS Layanan mungkin perlu menggunakan kunci Anda untuk melakukan pekerjaan asinkron atas nama Anda pada data terenkripsi tanpa adanya panggilan API yang ditandatangani langsung dari Anda.

Kunci kriptografi yang dihasilkan pada HSM, dilindungi oleh kunci KMS. AWS KMSmemungkinkan entitas yang berwenang untuk mendapatkan kunci data yang dilindungi oleh kunci KMS. Kunci data tersebut dapat dikembalikan baik sebagai plaintext (tidak terenkripsi) kunci data dan sebagai kunci data terenkripsi. Kunci data dapat simetris atau asimetris (dengan kedua bagian publik dan privat dikembalikan).

Output terenkripsi dari AWS KMS, kadang-kadang disebut sebagai ciphertext pelanggan untuk menghilangkan kebingungan. Ciphertext berisi data terenkripsi dengan informasi tambahan yang mengidentifikasi kunci KMS untuk digunakan dalam proses dekripsi. Kunci data terenkripsi adalah salah satu contoh umum ciphertext yang dihasilkan saat menggunakan kunci KMS, tetapi data apa pun di bawah 4 KB dalam ukuran dapat dienkripsi di bawah kunci KMS untuk menghasilkan ciphertext.

Peta pasangan kunci-nilai informasi tambahan yang terkait dengan AWS KMS—informasi yang dilindungi. AWS KMS menggunakan enkripsi terautentikasi untuk melindungi kunci data. Konteks enkripsi dimasukkan ke dalam AAD enkripsi terautentikasi dalam ciphertext terenkripsi AWS KMS. Informasi konteks ini opsional dan tidak dikembalikan ketika meminta kunci (atau operasi enkripsi). Namun, jika digunakan, nilai konteks ini diperlukan untuk berhasil menyelesaikan operasi dekripsi. Penggunaan dimaksudkan konteks enkripsi adalah untuk memberikan informasi terautentikasi tambahan. Informasi ini dapat membantu Anda menegakkan kebijakan dan disertakan dalam AWS CloudTrail log. Misalnya, Anda dapat menggunakan sepasang kunci-nilai {"key name”:” satellite uplink key"} untuk memberikan nama kunci data. Penggunaan selanjutnya dari kunci menciptakan entri AWS CloudTrail yang menyertakan “nama kunci”: “kunci uplink satelit.” Informasi tambahan ini dapat memberikan konteks yang berguna untuk memahami mengapa kunci KMS yang diberikan digunakan.

Bila menggunakan cipher asimetris (RSA atau kurva elips), kunci publik adalah “komponen publik” dari pasangan kunci publik-privat. Kunci publik dapat dibagi dan didistribusikan ke entitas yang perlu mengenkripsi data untuk pemilik pasangan kunci publik-privat. Untuk operasi tanda tangan digital, pasangan kunci publik digunakan untuk memverifikasi tanda tangan.

Bila menggunakan cipher asimetris (RSA atau kurva elips), kunci publik adalah “komponen publik” dari pasangan kunci publik-privat. Kunci privat digunakan untuk mendekripsi data atau membuat tanda tangan digital. Mirip dengan kunci KMS simetris, kunci pribadi dienkripsi dalam HSM. Kunci tersebut didekripsi hanya ke dalam memori jangka pendek HSM dan hanya untuk waktu yang dibutuhkan untuk memproses permintaan kriptografi Anda.