Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Buat kunci asimetris KMS
Anda dapat membuat KMSkunci asimetris di AWS KMS konsol, dengan menggunakan CreateKeyAPI, atau dengan menggunakan template AWS::KMS: :Key AWS CloudFormation. KMSKunci asimetris mewakili key pair publik dan pribadi yang dapat digunakan untuk enkripsi, penandatanganan, atau menurunkan rahasia bersama. Kunci privat tetap ada di dalam AWS KMS. Untuk mengunduh kunci publik untuk digunakan di luar AWS KMS, lihatUnduh kunci publik.
Saat Anda membuat KMS kunci asimetris, Anda harus memilih spesifikasi kunci. Seringkali spesifikasi kunci yang Anda pilih ditentukan oleh persyaratan peraturan, keamanan, atau bisnis. Mungkin juga dipengaruhi oleh ukuran pesan yang harus Anda enkripsi atau tanda tangani. Secara umum, kunci enkripsi yang lebih panjang lebih tahan terhadap serangan brutal. Untuk penjelasan rinci tentang semua spesifikasi utama yang didukung, lihatReferensi spesifikasi kunci.
AWS layanan yang terintegrasi dengan AWS KMS tidak mendukung KMS kunci asimetris. Jika Anda ingin membuat KMS kunci yang mengenkripsi data yang Anda simpan atau kelola dalam suatu AWS layanan, buat kunci enkripsi simetris. KMS
Untuk informasi tentang izin yang diperlukan untuk membuat KMS kunci, lihatIzin untuk membuat kunci KMS.
Anda dapat menggunakan AWS Management Console untuk membuat asimetris AWS KMS keys (KMSkunci). Setiap KMS kunci asimetris mewakili public dan private key pair.
penting
Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.
-
Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms
. -
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
-
Di panel navigasi, pilih Kunci yang dikelola pelanggan.
-
Pilih Buat kunci.
-
Untuk membuat KMS kunci asimetris, dalam Key type, pilih Asymmetric.
-
Untuk membuat KMS kunci asimetris untuk enkripsi kunci publik, dalam penggunaan Kunci, pilih Enkripsi dan dekripsi.
Untuk membuat KMS kunci asimetris untuk menandatangani pesan dan memverifikasi tanda tangan, dalam Penggunaan kunci, pilih Tandatangani dan verifikasi.
Untuk membuat KMS kunci asimetris untuk mendapatkan rahasia bersama, dalam Penggunaan kunci, pilih Perjanjian kunci.
Untuk bantuan memilih nilai penggunaan kunci, lihat Memilih jenis KMS kunci apa yang akan dibuat.
-
Pilih spesifikasi (Spesifikasi kunci) untuk kunci asimetris KMS Anda.
-
Pilih Berikutnya.
-
Ketik alias untuk KMS kunci. Nama alias tidak dapat dimulai dengan
aws/
.aws/
Awalan dicadangkan oleh Amazon Web Services untuk mewakili Kunci yang dikelola AWS di akun Anda.Alias adalah nama ramah yang dapat Anda gunakan untuk mengidentifikasi KMS kunci di konsol dan beberapa AWS KMS APIs. Kami menyarankan Anda memilih alias yang menunjukkan jenis data yang Anda rencanakan untuk dilindungi atau aplikasi yang Anda rencanakan untuk digunakan dengan KMS kunci tersebut.
Alias diperlukan saat Anda membuat KMS kunci di file. AWS Management Console Anda tidak dapat menentukan alias ketika Anda menggunakan CreateKeyoperasi, tetapi Anda dapat menggunakan konsol atau CreateAliasoperasi untuk membuat alias untuk kunci yang adaKMS. Untuk detailnya, lihat Alias di AWS KMS.
-
(Opsional) Ketik deskripsi untuk KMS kunci.
Masukkan deskripsi yang menjelaskan jenis data yang Anda rencanakan untuk dilindungi atau aplikasi yang Anda rencanakan untuk digunakan dengan KMS kunci tersebut.
Anda dapat menambahkan deskripsi sekarang atau memperbaruinya kapan saja kecuali status kuncinya adalah
Pending Deletion
atauPending Replica Deletion
. Untuk menambah, mengubah, atau menghapus deskripsi kunci terkelola pelanggan yang ada, edit deskripsi pada halaman detail untuk KMS kunci dalam AWS Management Console atau gunakan UpdateKeyDescriptionoperasi. -
(Opsional) Ketik kunci tanda dan nilai tanda opsional. Untuk menambahkan lebih dari satu tag ke KMS tombol, pilih Tambah tag.
Saat Anda menambahkan tag ke AWS sumber daya Anda, AWS buat laporan alokasi biaya dengan penggunaan dan biaya yang dikumpulkan berdasarkan tag. Tag juga dapat digunakan untuk mengontrol akses ke KMS kunci. Untuk informasi tentang menandai KMS kunci, lihat Tag di AWS KMS danABACuntuk AWS KMS.
-
Pilih Berikutnya.
-
Pilih IAM pengguna dan peran yang dapat mengelola KMS kunci.
catatan
Kebijakan kunci ini memberikan kendali Akun AWS penuh atas KMS kunci ini. Ini memungkinkan administrator akun untuk menggunakan IAM kebijakan untuk memberikan izin kepada prinsipal lain untuk mengelola kunci. KMS Untuk detailnya, lihat Kebijakan kunci default.
IAMPraktik terbaik mencegah penggunaan IAM pengguna dengan kredensi jangka panjang. Bila memungkinkan, gunakan IAM peran, yang menyediakan kredensi sementara. Untuk detailnya, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.
-
(Opsional) Untuk mencegah IAM pengguna dan peran yang dipilih menghapus KMS kunci ini, di bagian Penghapusan kunci di bagian bawah halaman, kosongkan kotak centang Izinkan administrator kunci untuk menghapus kunci ini.
-
Pilih Berikutnya.
-
Pilih IAM pengguna dan peran yang dapat menggunakan KMS kunci untuk operasi kriptografi.
catatan
Kebijakan kunci ini memberikan kendali Akun AWS penuh atas KMS kunci ini. Ini memungkinkan administrator akun untuk menggunakan IAM kebijakan untuk memberikan izin kepada prinsipal lain untuk menggunakan KMS kunci dalam operasi kriptografi. Untuk detailnya, lihat Kebijakan kunci default.
IAMPraktik terbaik mencegah penggunaan IAM pengguna dengan kredensi jangka panjang. Bila memungkinkan, gunakan IAM peran, yang menyediakan kredensi sementara. Untuk detailnya, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.
-
(Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan KMS kunci ini untuk operasi kriptografi. Untuk melakukannya, dalam bagian Lainnya Akun AWS di bawah halaman, pilih Tambahkan Akun AWS lain dan masukkan nomor identifikasi Akun AWS akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.
catatan
Untuk mengizinkan prinsipal di akun eksternal menggunakan KMS kunci, administrator akun eksternal harus membuat IAM kebijakan yang memberikan izin ini. Untuk informasi selengkapnya, lihat Memungkinkan pengguna di akun lain untuk menggunakan KMS kunci.
-
Pilih Selanjutnya.
-
Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.
-
Pilih Selesai untuk membuat KMS kunci.
Anda dapat menggunakan CreateKeyoperasi untuk membuat asimetris AWS KMS key. Contoh-contoh ini menggunakan AWS Command Line Interface (AWS CLI)
Saat Anda membuat KMS kunci asimetris, Anda harus menentukan KeySpec
parameter, yang menentukan jenis kunci yang Anda buat. Juga, Anda harus menentukan KeyUsage
nilai ENCRYPT _DECRYPT, SIGN _VERIFY, atau KEY _AGREEMENT. Anda tidak dapat mengubah properti ini setelah KMS kunci dibuat.
CreateKey
Operasi tidak memungkinkan Anda menentukan alias, tetapi Anda dapat menggunakan CreateAliasoperasi untuk membuat alias untuk kunci baru KMS Anda.
penting
Jangan sertakan informasi rahasia atau sensitif di Tags
bidang Description
atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.
Buat KMS key pair asimetris untuk enkripsi publik
Contoh berikut menggunakan CreateKey
operasi untuk membuat KMS kunci asimetris kunci 4096-bit yang dirancang untuk enkripsi RSA kunci publik.
$
aws kms create-key --key-spec RSA_4096 --key-usage ENCRYPT_DECRYPT
{ "KeyMetadata": { "KeyState": "Enabled", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "Description": "", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1569973196.214, "MultiRegion": false, "KeySpec": "RSA_4096", "CustomerMasterKeySpec": "RSA_4096", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "RSAES_OAEP_SHA_1", "RSAES_OAEP_SHA_256" ], "AWSAccountId": "111122223333", "Origin": "AWS_KMS", "Enabled": true } }
Buat KMS key pair asimetris untuk penandatanganan dan verifikasi
Contoh perintah berikut membuat KMS kunci asimetris yang mewakili sepasang kunci yang digunakan untuk penandatanganan dan verifikasi. ECC Anda tidak dapat membuat pasangan kunci kurva elips untuk enkripsi dan dekripsi.
$
aws kms create-key --key-spec ECC_NIST_P521 --key-usage SIGN_VERIFY
{ "KeyMetadata": { "KeyState": "Enabled", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1570824817.837, "Origin": "AWS_KMS", "SigningAlgorithms": [ "ECDSA_SHA_512" ], "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "AWSAccountId": "111122223333", "KeySpec": "ECC_NIST_P521", "CustomerMasterKeySpec": "ECC_NIST_P521", "KeyManager": "CUSTOMER", "Description": "", "Enabled": true, "MultiRegion": false, "KeyUsage": "SIGN_VERIFY" } }
Buat KMS key pair asimetris untuk mendapatkan rahasia bersama
Contoh perintah berikut membuat KMS kunci asimetris yang mewakili sepasang ECDH kunci yang digunakan untuk menurunkan rahasia bersama. Anda tidak dapat membuat pasangan kunci kurva elips untuk enkripsi dan dekripsi.
$
aws kms create-key --key-spec ECC_NIST_P256 --key-usage KEY_AGREEMENT
{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": "2023-12-27T19:10:15.063000+00:00", "Enabled": true, "Description": "", "KeyUsage": "KEY_AGREEMENT", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "ECC_NIST_P256", "KeySpec": "ECC_NIST_P256", "KeyAgreementAlgorithms": [ "ECDH" ], "MultiRegion": false } }