Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konsep Basic
Mempelajari beberapa istilah dan konsep dasar akan membantu Anda mendapatkan hasil maksimal dari AWS Key Management Service.
- AWS KMS key
-
catatan
AWS KMSmengganti istilah customer master key (CMK) dengan AWS KMS keydan kunci KMS. Konsepnya tidak berubah. Untuk mencegah perubahan yang melanggar, AWS KMS adalah menjaga beberapa variasi dari istilah ini.
Kunci logis yang mewakili bagian atas hierarki kunci Anda. Kunci KMS diberikan Amazon Resource Name (ARN) yang menyertakan pengenal kunci unik, atau ID kunci. AWS KMS keysmemiliki tiga jenis:
-
Kunci terkelola pelanggan — Pelanggan membuat dan mengontrol siklus hidup dan kebijakan kunci kunci yang dikelola pelanggan. Semua permintaan yang dibuat terhadap kunci ini dicatat sebagai CloudTrail peristiwa.
-
Kunci yang dikelola AWS— AWS membuat dan mengontrol siklus hidup dan kebijakan utamaKunci yang dikelola AWS, yang merupakan sumber daya dalam pelanggan. Akun AWS Pelanggan dapat melihat kebijakan dan CloudTrail acara akses untukKunci yang dikelola AWS, tetapi tidak dapat mengelola aspek apa pun dari kunci ini. Semua permintaan yang dibuat terhadap kunci ini dicatat sebagai CloudTrail peristiwa.
-
Kunci milik AWS— Kunci ini dibuat dan secara eksklusif digunakan oleh AWS untuk operasi enkripsi internal di berbagai AWS layanan. Pelanggan tidak memiliki visibilitas ke dalam kebijakan utama atau Kunci milik AWS penggunaan di CloudTrail.
-
- Alias
-
Nama yang ramah pengguna yang dikaitkan dengan kunci KMS. Alias dapat digunakan secara bergantian dengan ID kunci di banyak Operasi API AWS KMS.
- Izin
-
Kebijakan yang dilampirkan pada kunci KMS yang menentukan izin pada kunci tersebut. Kebijakan default memungkinkan prinsip apa pun yang Anda tentukan, serta memungkinkan Akun AWS untuk menambahkan kebijakan IAM yang mereferensikan kunci.
- Izin
-
Izin yang didelegasikan untuk menggunakan kunci KMS ketika prinsip IAM yang dimaksud atau durasi penggunaan tidak diketahui sejak awal dan oleh karena itu tidak dapat ditambahkan ke kunci atau kebijakan IAM. Salah satu penggunaan hibah adalah untuk menentukan izin tercakup bawah untuk bagaimana layanan dapat menggunakan kunci KMS. AWS Layanan mungkin perlu menggunakan kunci Anda untuk melakukan pekerjaan asinkron atas nama Anda pada data terenkripsi tanpa adanya panggilan API yang ditandatangani langsung dari Anda.
- Kunci data
-
Kunci kriptografi yang dihasilkan pada HSM, dilindungi oleh kunci KMS. AWS KMSmemungkinkan entitas yang berwenang untuk mendapatkan kunci data yang dilindungi oleh kunci KMS. Kunci data tersebut dapat dikembalikan baik sebagai plaintext (tidak terenkripsi) kunci data dan sebagai kunci data terenkripsi. Kunci data dapat simetris atau asimetris (dengan kedua bagian publik dan privat dikembalikan).
- Ciphertext
-
Output terenkripsi dari AWS KMS, kadang-kadang disebut sebagai ciphertext pelanggan untuk menghilangkan kebingungan. Ciphertext berisi data terenkripsi dengan informasi tambahan yang mengidentifikasi kunci KMS untuk digunakan dalam proses dekripsi. Kunci data terenkripsi adalah salah satu contoh umum ciphertext yang dihasilkan saat menggunakan kunci KMS, tetapi data apa pun di bawah 4 KB dalam ukuran dapat dienkripsi di bawah kunci KMS untuk menghasilkan ciphertext.
- Konteks enkripsi
-
Peta pasangan kunci-nilai informasi tambahan yang terkait dengan AWS KMS—informasi yang dilindungi. AWS KMS menggunakan enkripsi terautentikasi untuk melindungi kunci data. Konteks enkripsi dimasukkan ke dalam AAD enkripsi terautentikasi dalam ciphertext terenkripsi AWS KMS. Informasi konteks ini opsional dan tidak dikembalikan ketika meminta kunci (atau operasi enkripsi). Namun, jika digunakan, nilai konteks ini diperlukan untuk berhasil menyelesaikan operasi dekripsi. Penggunaan dimaksudkan konteks enkripsi adalah untuk memberikan informasi terautentikasi tambahan. Informasi ini dapat membantu Anda menegakkan kebijakan dan disertakan dalam AWS CloudTrail log. Misalnya, Anda dapat menggunakan sepasang kunci-nilai {"key name”:” satellite uplink key"} untuk memberikan nama kunci data. Penggunaan selanjutnya dari kunci menciptakan entri AWS CloudTrail yang menyertakan “nama kunci”: “kunci uplink satelit.” Informasi tambahan ini dapat memberikan konteks yang berguna untuk memahami mengapa kunci KMS yang diberikan digunakan.
- Kunci publik
-
Bila menggunakan cipher asimetris (RSA atau kurva elips), kunci publik adalah “komponen publik” dari pasangan kunci publik-privat. Kunci publik dapat dibagi dan didistribusikan ke entitas yang perlu mengenkripsi data untuk pemilik pasangan kunci publik-privat. Untuk operasi tanda tangan digital, pasangan kunci publik digunakan untuk memverifikasi tanda tangan.
- Kunci privat
-
Bila menggunakan cipher asimetris (RSA atau kurva elips), kunci publik adalah “komponen publik” dari pasangan kunci publik-privat. Kunci privat digunakan untuk mendekripsi data atau membuat tanda tangan digital. Mirip dengan kunci KMS simetris, kunci pribadi dienkripsi dalam HSM. Kunci tersebut didekripsi hanya ke dalam memori jangka pendek HSM dan hanya untuk waktu yang dibutuhkan untuk memproses permintaan kriptografi Anda.