Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# AWS KMS keys
<a name="concepts"></a><a name="key-mgmt"></a><a name="kms_keys"></a>

Kunci KMS yang Anda buat dan kelola untuk digunakan dalam aplikasi kriptografi Anda sendiri adalah jenis yang dikenal sebagai kunci yang *dikelola pelanggan*. Kunci yang dikelola pelanggan juga dapat digunakan bersama dengan AWS layanan yang menggunakan kunci KMS untuk mengenkripsi data yang disimpan layanan atas nama Anda. Kunci yang dikelola pelanggan direkomendasikan untuk pelanggan yang menginginkan kontrol penuh atas siklus hidup dan penggunaan kunci mereka. Ada biaya bulanan untuk memiliki kunci yang dikelola pelanggan di akun Anda. Selain itu, permintaan menggunakan and/or mengelola kunci dikenakan biaya penggunaan. Lihat [AWS Key Management Service Harga](https://aws.amazon.com/kms/pricing/) untuk lebih jelasnya.

Ada kasus di mana pelanggan mungkin menginginkan AWS layanan untuk mengenkripsi data mereka, tetapi mereka tidak ingin overhead mengelola kunci dan tidak ingin membayar kunci. An *Kunci yang dikelola AWS*adalah kunci KMS yang ada di akun Anda, tetapi hanya dapat digunakan dalam keadaan tertentu. Secara khusus, ini hanya dapat digunakan dalam konteks AWS layanan tempat Anda beroperasi dan hanya dapat digunakan oleh kepala sekolah di dalam akun tempat kuncinya ada. Anda tidak dapat mengelola apa pun tentang siklus hidup atau izin kunci ini. Ketika Anda menggunakan fitur enkripsi dalam AWS layanan, Anda mungkin melihat Kunci yang dikelola AWS; mereka menggunakan alias dari bentuk “aws<service code>”. Misalnya, `aws/ebs` kunci hanya dapat digunakan untuk mengenkripsi volume EBS dan hanya untuk volume yang digunakan oleh prinsipal IAM di akun yang sama dengan kunci. Pikirkan Kunci yang dikelola AWS yang dicakup untuk digunakan hanya oleh pengguna di akun Anda untuk sumber daya di akun Anda. Anda tidak dapat berbagi sumber daya yang dienkripsi di bawah akun Kunci yang dikelola AWS dengan akun lain. Sementara an Kunci yang dikelola AWS bebas untuk ada di akun Anda, Anda dikenakan biaya untuk penggunaan jenis kunci ini oleh AWS layanan yang ditetapkan ke kunci.

Kunci yang dikelola AWS adalah tipe kunci lama yang tidak lagi dibuat untuk AWS layanan baru pada tahun 2021. Sebaliknya, AWS layanan baru (dan lama) menggunakan apa yang dikenal sebagai *Kunci milik AWS*untuk mengenkripsi data pelanggan secara default. An Kunci milik AWS adalah kunci KMS yang ada di akun yang dikelola oleh AWS layanan, sehingga operator layanan memiliki kemampuan untuk mengelola siklus hidup dan izin penggunaannya. Dengan menggunakan Kunci milik AWS, AWS layanan dapat mengenkripsi data Anda secara transparan dan memungkinkan berbagi data lintas akun atau lintas wilayah yang mudah tanpa Anda perlu khawatir tentang izin utama. Gunakan Kunci milik AWS untuk encryption-by-default beban kerja yang memberikan perlindungan data yang lebih mudah dan lebih otomatis. Karena kunci ini dimiliki dan dikelola oleh AWS, Anda tidak dikenakan biaya untuk keberadaan atau penggunaannya, Anda tidak dapat mengubah kebijakan mereka, Anda tidak dapat mengaudit aktivitas pada kunci ini, dan Anda tidak dapat menghapusnya. Gunakan kunci yang dikelola pelanggan saat kontrol penting, tetapi gunakan Kunci milik AWS saat kenyamanan paling penting.


|  |  |  |  | 
| --- |--- |--- |--- |
|  |  Kunci yang dikelola pelanggan  |  Kunci yang dikelola AWS  |  Kunci milik AWS  | 
|  Kebijakan utama  | Dikendalikan secara eksklusif oleh pelanggan | Dikendalikan oleh layanan; dapat dilihat oleh pelanggan | Dikontrol secara eksklusif dan hanya dapat dilihat oleh AWS layanan yang mengenkripsi data Anda | 
|  Pencatatan log  | CloudTrail jejak pelanggan atau toko data acara | CloudTrail jejak pelanggan atau toko data acara | Tidak dapat dilihat oleh pelanggan | 
|  Manajemen siklus hidup  | Pelanggan mengelola rotasi, penghapusan, dan lokasi Regional | AWS KMS mengelola rotasi (tahunan), penghapusan, dan lokasi Regional | Layanan AWS mengelola rotasi, penghapusan, dan lokasi Regional | 
|  Harga  |  Biaya bulanan untuk keberadaan kunci (pro-rated per jam). Juga dikenakan biaya untuk penggunaan kunci  | Tidak ada biaya bulanan; tetapi penelepon dikenakan biaya untuk penggunaan API pada kunci ini | Tidak ada biaya untuk pelanggan | 

Kunci KMS yang Anda buat adalah [kunci yang dikelola pelanggan](#customer-mgn-key). Layanan AWS yang menggunakan kunci KMS untuk mengenkripsi sumber daya layanan Anda sering membuat kunci untuk Anda. Kunci KMS yang Layanan AWS dibuat di AWS akun Anda adalah [Kunci yang dikelola AWS](#aws-managed-key). Kunci KMS yang Layanan AWS dibuat di akun layanan adalah [Kunci milik AWS](#aws-owned-key).


| Jenis kunci KMS | Dapat melihat metadata kunci KMS | Dapat mengelola kunci KMS | Digunakan hanya untuk saya Akun AWS | [Rotasi otomatis](rotate-keys.md) | [Harga](https://aws.amazon.com/kms/pricing/) | 
| --- | --- | --- | --- | --- | --- | 
| [Kunci yang dikelola pelanggan](#customer-mgn-key) | Ya | Ya | Ya | Tidak wajib. | Biaya bulanan (pro-rated per jam)Biaya per penggunaan | 
| [Kunci yang dikelola AWS](#aws-managed-key) | Ya | Tidak | Ya | Wajib. Setiap tahun (sekitar 365 hari). | Tidak ada biaya bulananBiaya per penggunaan (beberapa Layanan AWS membayar biaya ini untuk Anda) | 
| [Kunci milik AWS](#aws-owned-key) | Tidak | Tidak | Tidak |  Layanan AWS Mengelola strategi rotasi | Tidak ada biaya | 

[AWS layanan yang terintegrasi dengan AWS KMS](service-integration.md) berbeda dalam dukungan mereka untuk kunci KMS. Beberapa AWS layanan mengenkripsi data Anda secara default dengan Kunci milik AWS atau file Kunci yang dikelola AWS. Beberapa AWS layanan mendukung kunci yang dikelola pelanggan. AWS Layanan lain mendukung semua jenis kunci KMS untuk memungkinkan Anda kemudahan Kunci milik AWS, visibilitas Kunci yang dikelola AWS, atau kontrol kunci yang dikelola pelanggan. Untuk informasi terperinci tentang opsi enkripsi yang ditawarkan AWS layanan, lihat topik *Enkripsi saat Istirahat* di panduan pengguna atau panduan pengembang untuk layanan tersebut.

## Kunci yang dikelola pelanggan
<a name="customer-mgn-key"></a>

Kunci KMS yang Anda buat adalah *kunci yang dikelola pelanggan*. Kunci yang dikelola pelanggan adalah kunci KMS Akun AWS yang Anda buat, miliki, dan kelola. [Anda memiliki kontrol penuh atas kunci KMS ini, termasuk membuat dan memelihara [kebijakan utama mereka, kebijakan IAM, dan hibah, mengaktifkan dan](control-access.md)[menonaktifkannya](enabling-keys.md), [memutar materi kriptografi](rotate-keys.md) mereka, [menambahkan tag](tagging-keys.md), [membuat alias](alias-create.md) yang merujuk ke kunci KMS, dan menjadwalkan kunci KMS untuk dihapus.](deleting-keys.md) 

Kunci terkelola **pelanggan muncul di halaman kunci terkelola Pelanggan** Konsol Manajemen AWS untuk AWS KMS. Untuk mengidentifikasi kunci yang dikelola pelanggan secara definitif, gunakan operasi. [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) Untuk kunci yang dikelola pelanggan, nilai `KeyManager` bidang `DescribeKey` respons adalah`CUSTOMER`.

Anda dapat menggunakan kunci yang dikelola pelanggan Anda dalam operasi kriptografi dan penggunaan audit di AWS CloudTrail log. Selain itu, banyak [AWS layanan yang terintegrasi dengan AWS KMS](service-integration.md) memungkinkan Anda menentukan kunci yang dikelola pelanggan untuk melindungi data yang disimpan dan dikelola untuk Anda. 

Kunci yang dikelola pelanggan dikenakan biaya bulanan dan biaya untuk penggunaan melebihi tingkat gratis. Mereka dihitung terhadap AWS KMS [kuota untuk akun](limits.md) Anda. Untuk detailnya, lihat [Harga AWS Key Management Service](https://aws.amazon.com/kms/pricing/) dan [Kuota](limits.md).

## Kunci yang dikelola AWS
<a name="aws-managed-key"></a>

*Kunci yang dikelola AWS*adalah kunci KMS di akun Anda yang dibuat, dikelola, dan digunakan atas nama Anda oleh [AWS layanan yang terintegrasi dengannya AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration).

Beberapa AWS layanan memungkinkan Anda memilih Kunci yang dikelola AWS atau kunci yang dikelola pelanggan untuk melindungi sumber daya Anda dalam layanan itu. Secara umum, kecuali Anda diminta untuk mengontrol kunci enkripsi yang melindungi sumber daya Anda, an Kunci yang dikelola AWS adalah pilihan yang baik. Anda tidak perlu membuat atau mempertahankan kunci atau kebijakan utamanya, dan tidak pernah ada biaya bulanan untuk sebuah Kunci yang dikelola AWS.

Anda memiliki izin untuk [melihat](viewing-keys.md) akun Anda, [melihat kebijakan utama mereka](key-policy-viewing.md), dan [mengaudit penggunaannya](logging-using-cloudtrail.md) di AWS CloudTrail log. Kunci yang dikelola AWS Namun, Anda tidak dapat mengubah properti apa pun Kunci yang dikelola AWS, memutarnya, mengubah kebijakan utamanya, atau menjadwalkannya untuk dihapus. Dan, Anda tidak dapat menggunakan Kunci yang dikelola AWS dalam operasi kriptografi secara langsung; layanan yang membuatnya menggunakannya atas nama Anda. 

[Kebijakan pengendalian sumber daya](resource-control-policies.md) di organisasi Anda tidak berlaku Kunci yang dikelola AWS.

Kunci yang dikelola AWS muncul di **Kunci yang dikelola AWS**halaman Konsol Manajemen AWS for AWS KMS. Anda juga dapat mengidentifikasi Kunci yang dikelola AWS dengan alias mereka, yang memiliki format`aws/service-name`, seperti`aws/redshift`. Untuk mengidentifikasi secara definitif Kunci yang dikelola AWS, gunakan operasi. [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) Sebab Kunci yang dikelola AWS, nilai `KeyManager` bidang `DescribeKey` responsnya adalah`AWS`.

Semua Kunci yang dikelola AWS secara otomatis diputar setiap tahun. Anda tidak dapat mengubah jadwal rotasi ini.

**catatan**  
Pada Mei 2022, AWS KMS mengubah jadwal rotasi Kunci yang dikelola AWS dari setiap tiga tahun (sekitar 1.095 hari) menjadi setiap tahun (sekitar 365 hari).

Tidak ada biaya bulanan untuk Kunci yang dikelola AWS. Mereka dapat dikenakan biaya untuk penggunaan melebihi tingkat gratis, tetapi beberapa AWS layanan menanggung biaya ini untuk Anda. Untuk detail selengkapnya, lihat topik *Enkripsi Tidak Aktif* di panduan pengguna atau panduan developer untuk layanan tersebut. Untuk detail selengkapnya, lihat [Harga AWS Key Management Service](https://aws.amazon.com/kms/pricing/).

Kunci yang dikelola AWS jangan dihitung terhadap kuota sumber daya pada jumlah kunci KMS di setiap Wilayah akun Anda. Tetapi ketika digunakan atas nama prinsipal di akun Anda, kunci KMS dihitung terhadap kuota permintaan. Lihat perinciannya di [Kuota](limits.md).

## Kunci milik AWS
<a name="aws-owned-key"></a>

*Kunci milik AWS*adalah kumpulan kunci KMS yang dimiliki dan dikelola oleh AWS layanan untuk digunakan dalam beberapa. Akun AWS Meskipun tidak Kunci milik AWS ada dalam Anda Akun AWS, AWS layanan dapat menggunakan Kunci milik AWS untuk melindungi sumber daya di akun Anda.

Beberapa AWS layanan memungkinkan Anda memilih Kunci milik AWS atau kunci yang dikelola pelanggan. Secara umum, kecuali Anda diminta untuk mengaudit atau mengontrol kunci enkripsi yang melindungi sumber daya Anda, a Kunci milik AWS adalah pilihan yang baik. Kunci milik AWS benar-benar gratis (tidak ada biaya bulanan atau biaya penggunaan), mereka tidak dihitung terhadap [AWS KMS kuota](limits.md) untuk akun Anda, dan mereka mudah digunakan. Anda tidak perlu membuat atau mempertahankan kunci atau kebijakan utamanya.

Rotasi Kunci milik AWS bervariasi antar layanan. Untuk informasi tentang rotasi tertentu Kunci milik AWS, lihat topik *Enkripsi saat Istirahat* di panduan pengguna atau panduan pengembang untuk layanan.

## AWS KMS key hierarki
<a name="key-hierarchy"></a>

Hirarki kunci Anda dimulai dengan kunci logis tingkat atas, dan. AWS KMS key Kunci KMS mewakili wadah untuk materi kunci tingkat atas dan didefinisikan secara unik dalam namespace AWS layanan dengan Amazon Resource Name (ARN). *ARN menyertakan pengidentifikasi kunci yang dihasilkan secara unik, ID kunci.* Kunci KMS dibuat berdasarkan permintaan yang diprakarsai pengguna melalui. AWS KMS Setelah penerimaan, AWS KMS meminta pembuatan kunci dukungan HSM awal (HBK) untuk ditempatkan ke dalam wadah kunci KMS. HBK dihasilkan pada HSM di domain dan dirancang agar tidak pernah diekspor dari HSM di plaintext. Sebaliknya, HBK diekspor dalam kondisi dienkripsi berdasarkan kunci domain yang dikelola HSM. Ini diekspor HBKs disebut sebagai token kunci yang diekspor ()EKTs.

EKT diekspor ke penyimpanan latensi rendah yang sangat berdaya tahan. Misalnya, Anda menerima ARN ke kunci KMS logis. Ini mewakili bagian atas hierarki kunci, atau konteks kriptografi, untuk Anda. Anda dapat membuat beberapa kunci KMS dalam akun Anda dan menetapkan kebijakan pada kunci KMS Anda seperti sumber daya AWS bernama lainnya.

Dalam hierarki kunci KMS tertentu, HBK dapat dianggap sebagai versi kunci KMS. Saat Anda ingin memutar tombol KMS AWS KMS, HBK baru dibuat dan dikaitkan dengan kunci KMS sebagai HBK aktif untuk kunci KMS. Yang lebih tua HBKs dipertahankan dan dapat digunakan untuk mendekripsi dan memverifikasi data yang dilindungi sebelumnya. Tetapi hanya kunci kriptografi aktif yang bisa digunakan untuk melindungi informasi baru. 

![\[AWS KMS key hierarki.\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/CMK-Hierarchy.png)


Anda dapat membuat permintaan melalui AWS KMS untuk menggunakan kunci KMS Anda untuk secara langsung melindungi informasi atau meminta kunci tambahan yang dihasilkan HSM yang dilindungi di bawah kunci KMS Anda. Kunci ini disebut kunci data pelanggan, atau CDKs. CDKs dapat dikembalikan dienkripsi sebagai ciphertext (CT), dalam plaintext, atau keduanya. Semua objek yang dienkripsi di bawah kunci KMS (baik data yang disediakan pelanggan atau kunci yang dihasilkan HSM) dapat didekripsi hanya pada HSM melalui panggilan melalui. AWS KMS

Ciphertext yang dikembalikan, atau muatan yang didekripsi, tidak pernah disimpan di dalamnya. AWS KMS Informasi dikembalikan kepada Anda melalui koneksi TLS Anda ke AWS KMS. Ini juga berlaku untuk panggilan yang dilakukan oleh AWS layanan atas nama Anda. 

Hierarki kunci dan properti kunci tertentu dicantumkan dalam tabel berikut.


| Kunci | Deskripsi | Siklus hidup | 
| --- | --- | --- | 
|  **Kunci domain**  |  Kunci AES-GCM 256-bit hanya dalam memori HSM yang digunakan untuk membungkus versi kunci KMS, kunci pendukung HSM.  |  Dirotasi setiap hari1  | 
|  **Kunci dukungan HSM**  |  Kunci simetris 256-bit atau RSA atau kunci pribadi kurva eliptik, digunakan untuk melindungi data dan kunci pelanggan serta disimpan dalam kondisi dienkripsi berdasarkan kunci domain. Satu atau lebih kunci dukungan HSM terdiri dari kunci KMS, diwakili oleh KeyID.  |  Dirotasi per tahun2 (konfigurasi opsional)  | 
|  **Kunci enkripsi turunan**  |  Kunci AES-GCM 256-bit hanya dalam memori HSM yang digunakan untuk mengenkripsi data dan kunci pelanggan. Berasal dari HBK untuk setiap enkripsi.  |  Digunakan sekali tiap enkripsi dan diregenerasi pada dekripsi   | 
|  **Kunci data pelanggan**  |  Kunci simetris atau asimetris yang ditetapkan pelanggan diekspor dari HSM di plaintext dan ciphertext. Dienkripsi berdasarkan kunci cadangan HSM dan dikembalikan ke pengguna yang diotorisasi melalui saluran TLS.  |  Rotasi dan penggunaan dikendalikan oleh aplikasi  | 

Seseorang AWS KMS mungkin dari waktu ke waktu mengendurkan rotasi kunci domain paling banyak setiap minggu untuk memperhitungkan tugas administrasi dan konfigurasi domain.

2 Default yang Kunci yang dikelola AWS dibuat dan dikelola oleh AWS KMS atas nama Anda secara otomatis diputar setiap tahun.

## Pengidentifikasi kunci () KeyId
<a name="key-id"></a>

Pengidentifikasi kunci bertindak seperti nama untuk kunci KMS Anda. Mereka membantu Anda mengenali kunci KMS Anda di konsol. Anda menggunakannya untuk menunjukkan kunci KMS mana yang ingin Anda gunakan dalam operasi AWS KMS API, kebijakan utama, kebijakan IAM, dan hibah. Nilai pengidentifikasi kunci sama sekali tidak terkait dengan materi kunci yang terkait dengan kunci KMS.

AWS KMS mendefinisikan beberapa pengidentifikasi kunci. Ketika Anda membuat kunci KMS, AWS KMS menghasilkan kunci ARN dan kunci ID, yang merupakan properti dari kunci KMS. Saat Anda membuat [alias](kms-alias.md), AWS KMS menghasilkan alias ARN berdasarkan nama alias yang Anda tentukan. Anda dapat melihat pengenal kunci dan alias di Konsol Manajemen AWS dan di API. AWS KMS 

Di AWS KMS konsol, Anda dapat melihat dan memfilter kunci KMS berdasarkan ARN kunci mereka, ID kunci, atau nama alias, dan mengurutkan berdasarkan ID kunci dan nama alias. Untuk bantuan menemukan pengenal kunci di konsol, lihat[Temukan ID kunci dan kunci ARN](find-cmk-id-arn.md).

Di AWS KMS API, parameter yang Anda gunakan untuk mengidentifikasi kunci KMS diberi nama `KeyId` atau variasi, seperti `TargetKeyId` atau`DestinationKeyId`. Namun, nilai parameter tersebut tidak terbatas pada kunci IDs. Beberapa dapat mengambil pengidentifikasi kunci yang valid. Untuk informasi tentang nilai untuk setiap parameter, lihat deskripsi parameter di Referensi AWS Key Management Service API.

**catatan**  
Saat menggunakan AWS KMS API, berhati-hatilah dengan pengenal kunci yang Anda gunakan. Berbeda APIs memerlukan pengidentifikasi kunci yang berbeda. Secara umum, gunakan pengidentifikasi kunci paling lengkap dan praktis untuk tugas Anda.

AWS KMS mendukung pengidentifikasi kunci berikut.

**ARN kunci**  <a name="key-id-key-ARN"></a>
Kunci ARN adalah Nama Sumber Daya Amazon (ARN) dari kunci KMS. Ini adalah pengidentifikasi unik dan sepenuhnya memenuhi syarat untuk kunci KMS. ARN kunci mencakup Akun AWS, Wilayah, dan ID kunci. Untuk bantuan menemukan ARN kunci dari kunci KMS, lihat. [Temukan ID kunci dan kunci ARN](find-cmk-id-arn.md)  
Format ARN kunci adalah sebagai berikut:  

```
arn:<partition>:kms:<region>:<account-id>:key/<key-id>
```
Berikut ini adalah contoh kunci ARN untuk kunci KMS Single-region.  

```
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
```
*key-id*Elemen kunci kunci ARNs [Multi-region](multi-region-keys-overview.md) dimulai dengan `mrk-` awalan. Berikut ini adalah contoh kunci ARN untuk kunci Multi-region.  

```
arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab
```

**ID Kunci**  <a name="key-id-key-id"></a>
ID kunci secara unik mengidentifikasi kunci KMS dalam akun dan Wilayah. Untuk bantuan menemukan ID kunci dari kunci KMS, lihat[Temukan ID kunci dan kunci ARN](find-cmk-id-arn.md).  
Berikut ini adalah ID kunci contoh untuk kunci KMS Single-region.  

```
1234abcd-12ab-34cd-56ef-1234567890ab
```
Kunci kunci IDs [Multi-region](multi-region-keys-overview.md) dimulai dengan `mrk-` awalan. Berikut ini adalah ID kunci contoh untuk kunci Multi-region.  

```
mrk-1234abcd12ab34cd56ef1234567890ab
```

**ARN Alias**  <a name="key-id-alias-ARN"></a>
Alias ARN adalah Nama Sumber Daya Amazon (ARN) dari alias. AWS KMS Ini adalah pengidentifikasi unik yang sepenuhnya memenuhi syarat untuk alias, dan untuk kunci KMS yang diwakilinya. Sebuah alias ARN mencakup Akun AWS, Wilayah, dan nama alias.  
Pada waktu tertentu, alias ARN mengidentifikasi satu kunci KMS tertentu. Namun, karena Anda dapat mengubah kunci KMS yang terkait dengan alias, alias ARN dapat mengidentifikasi kunci KMS yang berbeda pada waktu yang berbeda. Untuk bantuan menemukan alias ARN dari kunci KMS, lihat. [Temukan nama alias dan alias ARN untuk kunci KMS](alias-view.md)  
Format ARN alias adalah sebagai berikut:  

```
arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>
```
Berikut ini adalah ARN alias untuk `ExampleAlias` fiktif.  

```
arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias
```

**Nama alias**  <a name="key-id-alias-name"></a>
Nama alias adalah satu string berisi hingga 256 karakter. Ini secara unik mengidentifikasi kunci KMS terkait dalam akun dan Wilayah. Di AWS KMS API, nama alias selalu dimulai dengan`alias/`. Untuk bantuan menemukan nama alias kunci KMS, lihat. [Temukan nama alias dan alias ARN untuk kunci KMS](alias-view.md)  
Format nama alias adalah sebagai berikut:  

```
alias/<alias-name>
```
Contoh:  

```
alias/ExampleAlias
```
`aws/`Awalan untuk nama alias dicadangkan untuk. [Kunci yang dikelola AWS](#aws-managed-key) Anda tidak dapat membuat alias dengan prefiks ini. Misalnya, nama alias Kunci yang dikelola AWS untuk Amazon Simple Storage Service (Amazon S3) Simple Storage Service S3) adalah sebagai berikut.  

```
alias/aws/s3
```

# Kunci asimetris di AWS KMS
<a name="symmetric-asymmetric"></a>

Kunci *KMS asimetris mewakili kunci* publik yang terkait secara matematis dan private key pair. Anda dapat memberikan kunci publik kepada siapa pun, meskipun mereka tidak dipercaya, tetapi kunci pribadi harus dirahasiakan. 

Dalam kunci KMS asimetris, kunci pribadi dibuat AWS KMS dan tidak pernah meninggalkan AWS KMS yang tidak terenkripsi. Untuk menggunakan kunci pribadi, Anda harus menelepon AWS KMS. Anda dapat menggunakan kunci publik dalam AWS KMS dengan memanggil operasi AWS KMS API. Atau, Anda dapat [mengunduh kunci publik](download-public-key.md) dan menggunakannya di luar AWS KMS.

Jika kasus penggunaan Anda memerlukan enkripsi di luar AWS oleh pengguna yang tidak dapat menelepon AWS KMS, kunci KMS asimetris adalah pilihan yang baik. Namun, jika Anda membuat kunci KMS untuk mengenkripsi data yang Anda simpan atau kelola dalam suatu AWS layanan, gunakan kunci KMS enkripsi simetris. [AWS layanan yang terintegrasi dengan](https://aws.amazon.com/kms/features/#AWS_Service_Integration) hanya AWS KMS menggunakan kunci KMS enkripsi simetris untuk mengenkripsi data Anda. Layanan ini tidak mendukung enkripsi dengan kunci KMS asimetris.

Saat menandatangani pesan yang lebih besar dari 4 KB dengan AWS KMS, Anda harus melakukan hash pesan di luar AWS KMS sebelum menandatangani. AWS KMS menyediakan tiga `MessageType` opsi untuk menangani input pesan: `RAW` untuk pesan teks biasa (di mana AWS KMS melakukan hashing), `DIGEST` untuk pesan pra-hash (di mana AWS KMS melewatkan langkah hashing), dan `EXTERNAL_MU` khusus untuk spesifikasi kunci KMS ML-DSA di mana inputnya adalah perwakilan 64-byte nilai μ. [https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html)

AWS KMS mendukung beberapa jenis kunci KMS asimetris. 

**Kunci RSA KMS**  
Kunci KMS dengan key pair RSA untuk enkripsi dan dekripsi atau penandatanganan dan verifikasi (tetapi tidak keduanya). AWS KMS mendukung beberapa panjang kunci untuk persyaratan keamanan yang berbeda.  
Untuk detail teknis tentang enkripsi dan algoritma penandatanganan yang AWS KMS mendukung kunci RSA KMS, lihat spesifikasi kunci [RSA](symm-asymm-choose-key-spec.md#key-spec-rsa).

**Elliptic Curve (ECC) KMS Kuncinya**  
Kunci KMS dengan elliptic curve key pair untuk penandatanganan dan verifikasi atau menurunkan rahasia bersama (tetapi tidak keduanya). AWS KMS mendukung beberapa kurva yang umum digunakan.  
Untuk detail teknis tentang algoritma penandatanganan yang AWS KMS mendukung kunci ECC KMS, lihat Spesifikasi kunci kurva [elips](symm-asymm-choose-key-spec.md#key-spec-ecc).

**Kunci KMS ML-DSA**  
Kunci KMS dengan key pair ML-DSA untuk penandatanganan dan verifikasi. ML-DSA adalah standar kriptografi pasca-kuantum yang dikembangkan oleh Institut Standar dan Teknologi Nasional AS (NIST) untuk melindungi terhadap ancaman keamanan yang ditimbulkan oleh komputasi kuantum. ML-DSA adalah algoritma tanda tangan digital yang direkomendasikan untuk organisasi yang beralih dari algoritma tanda tangan digital RSA atau Elliptic Curve ke kriptografi aman pasca-kuantum.  
AWS KMS mendukung beberapa panjang kunci untuk persyaratan keamanan yang berbeda. [Untuk detail teknis tentang algoritma penandatanganan yang AWS KMS mendukung kunci KMS ML-DSA, lihat spesifikasi kunci ML-DSA.](symm-asymm-choose-key-spec.md#key-spec-mldsa)

**SM2 Kunci KMS (hanya Wilayah Tiongkok)**  
Kunci KMS dengan SM2 key pair untuk enkripsi dan dekripsi, penandatanganan dan verifikasi, atau memperoleh rahasia bersama (Anda harus memilih satu jenis). [Key usage](create-keys.md#key-usage)  
[Untuk detail teknis tentang enkripsi dan algoritma penandatanganan yang AWS KMS mendukung kunci SM2 KMS (hanya Wilayah Tiongkok), lihat SM2 spesifikasi kunci.](symm-asymm-choose-key-spec.md#key-spec-sm)

Untuk bantuan memilih konfigurasi kunci asimetris Anda, lihat[Memilih jenis kunci KMS apa yang akan dibuat](create-keys.md#symm-asymm-choose). 

**Daerah**

Kunci KMS asimetris dan pasangan kunci data asimetris didukung di semua Wilayah AWS yang mendukung. AWS KMS 

**Pelajari selengkapnya**
+ Untuk membuat kunci KMS asimetris, lihat. [Buat kunci KMS asimetris](asymm-create-key.md) 
+ Untuk membuat kunci KMS asimetris Multi-wilayah, lihat. [Buat kunci utama Multi-wilayah](create-primary-keys.md)
+ *Untuk mempelajari cara menandatangani pesan dan memverifikasi tanda tangan dengan kunci KMS asimetris, lihat [Penandatanganan digital dengan fitur kunci asimetris baru di](https://aws.amazon.com/blogs/security/digital-signing-asymmetric-keys-aws-kms/) Blog Keamanan. AWS KMSAWS *
+ Untuk mempelajari tentang pertimbangan khusus untuk menghapus kunci KMS asimetris, lihat. [Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks)
+ Untuk mengidentifikasi dan melihat kunci KMS asimetris, lihat. [Identifikasi kunci KMS asimetris](identify-key-types.md#identify-asymm-keys)

# Kunci HMAC di AWS KMS
<a name="hmac"></a>

Kunci KMS Kode Otentikasi Pesan Berbasis Hash (HMAC) adalah kunci simetris yang Anda gunakan untuk membuat dan memverifikasi di dalamnya. HMACs AWS KMS Materi kunci unik yang terkait dengan setiap kunci HMAC KMS menyediakan kunci rahasia yang dibutuhkan algoritma HMAC. Anda dapat menggunakan kunci HMAC KMS dengan `[GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)` dan [https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html)operasi untuk memverifikasi integritas dan keaslian data di dalamnya. AWS KMS

Algoritma HMAC menggabungkan fungsi hash kriptografi dan kunci rahasia bersama. *Mereka mengambil pesan dan kunci rahasia, seperti materi kunci dalam kunci HMAC KMS, dan mengembalikan kode atau tag ukuran tetap yang unik.* Jika bahkan satu karakter pesan berubah, atau jika kunci rahasia tidak identik, tag yang dihasilkan sama sekali berbeda. Dengan membutuhkan kunci rahasia, HMAC juga memberikan keaslian; tidak mungkin untuk menghasilkan tag HMAC identik tanpa kunci rahasia. HMACs Kadang-kadang disebut *tanda tangan simetris*, karena mereka bekerja seperti tanda tangan digital, tetapi menggunakan satu kunci untuk penandatanganan dan verifikasi.

[Kunci HMAC KMS dan algoritma HMAC yang AWS KMS menggunakan sesuai dengan standar industri yang didefinisikan dalam RFC 2104.](https://datatracker.ietf.org/doc/html/rfc2104) AWS KMS [GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)Operasi menghasilkan tag HMAC standar. Kunci KMS HMAC dihasilkan dalam modul keamanan AWS KMS perangkat keras yang disertifikasi di bawah [Program Validasi Modul Kriptografi FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) (kecuali di Wilayah China (Beijing) dan China (Ningxia)) dan tidak pernah dibiarkan tanpa terenkripsi. AWS KMS Untuk menggunakan kunci HMAC KMS, Anda harus menelepon. AWS KMS

Anda dapat menggunakan kunci HMAC KMS untuk menentukan keaslian pesan, seperti JSON Web Token (JWT), informasi kartu kredit token, atau kata sandi yang dikirimkan. Mereka juga dapat digunakan sebagai Secure Key Derivation Functions (KDFs), terutama dalam aplikasi yang membutuhkan kunci deterministik.

Kunci HMAC KMS memberikan keuntungan dibandingkan HMACs dari perangkat lunak aplikasi karena materi utama dihasilkan dan digunakan sepenuhnya di dalam AWS KMS, tunduk pada kontrol akses yang Anda tetapkan pada kunci.

**Tip**  
Praktik terbaik merekomendasikan agar Anda membatasi waktu selama mekanisme penandatanganan apa pun, termasuk HMAC, efektif. Ini mencegah serangan di mana aktor menggunakan pesan yang ditandatangani untuk menetapkan validitas berulang kali atau lama setelah pesan digantikan. Tag HMAC tidak menyertakan stempel waktu, tetapi Anda dapat menyertakan stempel waktu dalam token atau pesan untuk membantu Anda mendeteksi kapan waktunya untuk menyegarkan HMAC. 

**Operasi kriptografi yang didukung**  
Kunci HMAC KMS hanya mendukung operasi [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)dan [https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html)kriptografi. Anda tidak dapat menggunakan kunci HMAC KMS untuk mengenkripsi data atau menandatangani pesan, atau menggunakan jenis kunci KMS lainnya dalam operasi HMAC. Saat Anda menggunakan `GenerateMac` operasi, Anda menyediakan pesan hingga 4.096 byte, kunci HMAC KMS, dan algoritma MAC yang kompatibel dengan spesifikasi kunci HMAC, dan menghitung tag HMAC. `GenerateMac` Untuk memverifikasi tag HMAC, Anda harus menyediakan tag HMAC, dan pesan yang sama, kunci HMAC KMS, dan algoritma MAC yang `GenerateMac` digunakan untuk menghitung tag HMAC asli. `VerifyMac`Operasi menghitung tag HMAC dan memverifikasi bahwa itu identik dengan tag HMAC yang disediakan. Jika input dan tag HMAC yang dihitung tidak identik, verifikasi gagal.   
[Kunci HMAC KMS *tidak* mendukung [rotasi kunci otomatis](rotate-keys.md) dan Anda tidak dapat membuat kunci HMAC KMS di toko kunci khusus.](key-store-overview.md#custom-key-store-overview)  
Jika Anda membuat kunci KMS untuk mengenkripsi data dalam suatu AWS layanan, gunakan kunci enkripsi simetris. Anda tidak dapat menggunakan kunci HMAC KMS.

**Daerah**  
Kunci HMAC KMS didukung di semua Wilayah AWS yang AWS KMS mendukung.

**Pelajari selengkapnya**
+ Untuk membuat kunci HMAC KMS, lihat. [Buat kunci HMAC KMS](hmac-create-key.md)
+ Untuk membuat kunci KMS HMAC Multi-wilayah, lihat. [Kunci Multi-Region di AWS KMS](multi-region-keys-overview.md)
+ Untuk memeriksa perbedaan dalam kebijakan kunci default yang ditetapkan AWS KMS konsol untuk kunci HMAC KMS, lihat. [Memungkinkan pengguna kunci untuk menggunakan kunci KMS untuk operasi kriptografi](key-policy-default.md#key-policy-users-crypto)
+ Untuk mengidentifikasi dan melihat kunci HMAC KMS, lihat. [Identifikasi kunci HMAC KMS](identify-key-types.md#hmac-view)
+ Untuk mempelajari cara menggunakan HMACs token web JSON, lihat [Cara melindungi HMACs bagian dalam AWS KMS](https://aws.amazon.com/blogs/security/how-to-protect-hmacs-inside-aws-kms/) di *Blog AWS Keamanan*.
+ Dengarkan podcast: [Memperkenalkan HMACs AWS Key Management Service](https://aws.amazon.com/podcasts/introducing-hmacs-apis-in-aws-key-management-service) di *The Official AWS Podcast*.

# Kunci ML-DSA di AWS KMS
<a name="mldsa"></a>

AWS Key Management Service (AWS KMS) mendukung Module-Lattice Digital Signature Algorithm (ML-DSA) untuk tanda tangan kriptografi pasca-kuantum. Implementasi ini mengikuti standar [Federal Information Processing Standards (FIPS) 204](https://csrc.nist.gov/pubs/fips/204/final) untuk membantu melindungi terhadap ancaman komputasi kuantum masa depan. AWS KMS membuat dan melindungi semua kunci ML-DSA dan operasi tanda tangan di modul keamanan perangkat keras yang divalidasi FIPS 140-3 Security Level 3. Untuk membantu menyeimbangkan keamanan dengan kinerja, ML-DSA AWS KMS menawarkan tiga tingkat keamanan yang berbeda melalui spesifikasi kunci yang berbeda, ML\$1DSA\$144, ML\$1DSA\$165, dan ML\$1DSA\$187.

AWS KMS mendukung tanda tangan kunci asimetris untuk pesan hingga 4 KB menggunakan jenis pesan. `RAW` Untuk pesan yang lebih besar, Anda harus menghitung secara eksternal representasi pesan 64-byte μ yang digunakan dalam penandatanganan ML-DSA seperti yang didefinisikan dalam NIST FIPS 204 bagian 6.2. Gunakan jenis `EXTERNAL_MU` pesan dalam operasi AWS KMS [Tanda tangan](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) untuk menentukan pesan 64-byte yang telah diproses sebelumnya ini. Tanda tangan yang dihasilkan oleh μ yang dihitung secara eksternal sama dengan tanda tangan saat menggunakan pesan dan `RAW` kunci pribadi yang sama. Perhatikan bahwa penandatanganan ini berbeda dari “pra-hash” ML-DSA atau HashML-DSA dari bagian 5.4 dari NIST FIPS 204.

Untuk informasi selengkapnya tentang penggunaan ML-DSA dan jenis pesan EXTERNAL\$1MU, lihat. [Spesifikasi kunci ML-DSA](symm-asymm-choose-key-spec.md#key-spec-mldsa)

Untuk contoh menggunakan ML-DSA dan jenis pesan EXTERNAL\$1MU, lihat. [Verifikasi offline dengan pasangan kunci ML-DSA](offline-operations.md#mldsa-offline-verification)

# Kunci Multi-Region di AWS KMS
<a name="multi-region-keys-overview"></a>

AWS KMS mendukung *kunci Multi-region*, yang berbeda Wilayah AWS yang dapat digunakan AWS KMS keys secara bergantian — seolah-olah Anda memiliki kunci yang sama di beberapa Wilayah. Setiap set kunci Multi-wilayah *terkait* memiliki materi kunci dan [ID kunci](concepts.md#key-id-key-id) yang sama, sehingga Anda dapat mengenkripsi data dalam satu Wilayah AWS dan mendekripsi dengan cara yang berbeda Wilayah AWS tanpa mengenkripsi ulang atau melakukan panggilan lintas wilayah. AWS KMS

Seperti semua kunci KMS, kunci multi-wilayah tidak pernah dibiarkan AWS KMS tidak terenkripsi. Anda dapat membuat kunci Multi-wilayah simetris atau asimetris untuk enkripsi atau penandatanganan, membuat kunci Multi-wilayah HMAC untuk membuat dan memverifikasi tag HMAC, dan membuat kunci Multi-wilayah dengan bahan kunci [impor](importing-keys.md) atau bahan kunci yang dihasilkan. AWS KMS Anda harus mengelola setiap kunci multi-Wilayah secara independen, termasuk membuat alias dan tag, menetapkan kebijakan dan izin kuncinya, serta mengaktifkan dan menonaktifkannya secara selektif. Anda dapat menggunakan kunci multi-Wilayah di semua operasi kriptografi yang dapat Anda lakukan dengan kunci Wilayah tunggal.

Kunci multi-Wilayah adalah solusi fleksibel dan canggih untuk berbagai skenario keamanan data umum.

**Pemulihan bencana **  
Dalam arsitektur pencadangan dan pemulihan, kunci Multi-region memungkinkan Anda memproses data terenkripsi tanpa gangguan bahkan jika terjadi pemadaman. Wilayah AWS Data yang dikelola di Wilayah backup dapat didekripsi di Wilayah backup, dan data yang baru dienkripsi di Wilayah backup dapat didekripsi di Wilayah utama saat Wilayah tersebut dipulihkan.

**Pengelolaan data global**  
Bisnis yang beroperasi secara global memerlukan data yang terdistribusi secara global yang tersedia secara konsisten di seluruh Wilayah AWS. Anda dapat membuat kunci multi-Wilayah di semua Wilayah di mana data Anda berada, kemudian gunakan kunci selayaknya kunci Wilayah tunggal tanpa latensi panggilan lintas Wilayah atau biaya enkripsi ulang data di berdasarkan kunci yang berbeda di setiap Wilayah.

**Aplikasi penandatanganan terdistribusi**  
Aplikasi yang memerlukan kemampuan tanda tangan lintas Wilayah dapat menggunakan kunci penandatanganan asimetris multi-Wilayah untuk menghasilkan tanda tangan digital identik secara konsisten dan berulang kali di Wilayah AWS yang berbeda.   
Jika Anda menggunakan rantai sertifikat dengan satu toko kepercayaan global (untuk satu otoritas sertifikat root (CA), dan perantara Regional yang CAs ditandatangani oleh root CA, Anda tidak memerlukan kunci Multi-wilayah. Namun, jika sistem Anda tidak mendukung perantara CAs, seperti penandatanganan aplikasi, Anda dapat menggunakan kunci Multi-wilayah untuk membawa konsistensi ke sertifikasi Regional.

**Aplikasi Active-Active yang menjangkau beberapa Wilayah**  
Beberapa beban kerja dan aplikasi dapat mencakup beberapa Wilayah dalam arsitektur Active-Active. Untuk aplikasi ini, kunci multi-Wilayah dapat mengurangi kompleksitas dengan menyediakan materi kunci yang sama untuk mengenkripsi dan mendekripsi operasi bersamaan pada data yang mungkin bergerak melintasi batas Wilayah.

[Anda dapat menggunakan kunci Multi-region dengan pustaka enkripsi sisi klien, seperti, [AWS Database Encryption SDK [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/), dan enkripsi](https://docs.aws.amazon.com/dynamodb-encryption-client/latest/devguide/) sisi klien Amazon S3.](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html) 

Sebagian besar [AWS layanan yang terintegrasi dengan AWS KMS](https://aws.amazon.com/kms/features/) enkripsi saat istirahat atau tanda tangan digital saat ini memperlakukan kunci Multi-wilayah seolah-olah mereka adalah kunci wilayah Tunggal. Mereka mungkin membungkus ulang atau mengenkripsi ulang data yang dipindahkan antar Wilayah. Misalnya, replikasi lintas wilayah Amazon S3 mendekripsi dan mengenkripsi ulang data di bawah kunci KMS di Wilayah tujuan, bahkan saat mereplikasi objek yang dilindungi oleh kunci Multi-wilayah. Lihat dokumentasi khusus layanan untuk memahami bagaimana layanan mereplikasi data terenkripsi dan apakah layanan memperlakukan kunci Multi-region secara berbeda.

Kunci multi-Wilayah tidak bersifat global. Anda membuat kunci primer multi-Wilayah, kemudian mereplikasi ke dalam Wilayah yang Anda pilih dalam [partisi AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html). Kemudian, Anda mengelola kunci multi-Wilayah di setiap Wilayah secara independen. Tidak ada AWS atau tidak AWS KMS pernah secara otomatis membuat atau mereplikasi kunci Multi-wilayah ke Wilayah mana pun atas nama Anda. [Kunci yang dikelola AWS](concepts.md#aws-managed-key), kunci KMS yang dibuat AWS layanan di akun Anda untuk Anda, selalu merupakan kunci wilayah tunggal.

Di Wilayah Tiongkok, Anda dapat menggunakan fitur kunci Multi-wilayah untuk mereplikasi kunci KMS dalam partisi Wilayah Tiongkok (). `aws-cn` Misalnya, Anda dapat mereplikasi kunci dari Wilayah Tiongkok (Beijing) ke Wilayah Tiongkok (Ningxia), atau sebaliknya. Dengan mereplikasi kunci dari satu wilayah Tiongkok ke wilayah lain, Anda setuju untuk menggunakan wilayah tujuan dan mematuhi semua ketentuan perjanjian yang berlaku untuk wilayah tujuan. AWS Key Management Service Anda tidak dapat mereplikasi kunci dari Wilayah Beijing dan Ningxia menjadi AWS Wilayah di luar partisi Wilayah Tiongkok. Demikian pula, Anda tidak dapat mereplikasi kunci dari wilayah di luar partisi Wilayah Tiongkok ke Wilayah Beijing dan Ningxia.

Anda tidak dapat mengonversi kunci Wilayah tunggal yang ada menjadi kunci multi-Wilayah. Desain ini memastikan bahwa semua data yang dilindungi dengan kunci Wilayah tunggal yang ada mempertahankan residensi data dan properti kedaulatan data yang sama.

Untuk sebagian besar kebutuhan keamanan data, isolasi Regional dan toleransi kesalahan sumber daya Regional menjadikan kunci AWS KMS Single-region standar sebagai solusi yang paling sesuai. Namun, ketika Anda perlu untuk mengenkripsi atau menandatangani data dalam aplikasi sisi klien di beberapa Wilayah, kunci multi-Wilayah mungkin solusi yang cocok.



**Daerah**

Tombol Multi-Region didukung di semua Wilayah AWS yang AWS KMS mendukung.

**Harga dan kuota**

Setiap kunci dalam satu set kunci Multi-wilayah terkait dihitung sebagai satu kunci KMS untuk harga dan kuota. [AWS KMS kuota](limits.md) dihitung secara terpisah untuk setiap Wilayah akun. Penggunaan dan pengelolaan kunci multi-Wilayah di setiap Wilayah dihitung terhadap kuota untuk Wilayah tersebut.

**Jenis kunci KMS yang didukung**

Anda dapat membuat jenis kunci KMS Multi-wilayah berikut:
+ Kunci KMS enkripsi simetris
+ Kunci Asymmetric KMS
+ Kunci HMAC KMS
+ Kunci KMS dengan bahan kunci impor

Anda tidak dapat membuat kunci multi-Wilayah di penyimpanan kunci kustom.

**Pelajari selengkapnya**
+ Untuk mempelajari cara mengontrol akses ke kunci KMS Multi-wilayah, lihat. [Kontrol akses ke tombol Multi-wilayah](multi-region-keys-auth.md)
+ Untuk membuat kunci KMS primer Multi-wilayah dari jenis apa pun, lihat. [Buat kunci utama Multi-wilayah](create-primary-keys.md)
+ Untuk membuat kunci KMS replika Multi-wilayah, lihat. [Buat kunci replika Multi-wilayah](multi-region-keys-replicate.md)
+ Untuk memperbarui Wilayah utama, lihat[Ubah kunci utama dalam satu set kunci Multi-wilayah](multi-region-update.md).
+ Untuk mengidentifikasi dan melihat kunci KMS Multi-wilayah, lihat. [Identifikasi kunci HMAC KMS](identify-key-types.md#hmac-view)
+ Untuk mempelajari tentang pertimbangan khusus untuk menghapus kunci KMS Multi-wilayah, lihat. [Deleting multi-Region keys](deleting-keys.md#deleting-mrks)

## Terminologi dan konsep
<a name="multi-region-concepts"></a>

Istilah dan konsep berikut digunakan dengan kunci multi-Wilayah.

### Kunci multi-Wilayah
<a name="multi-Region-concept"></a>

*Kunci Multi-region* adalah salah satu dari sekumpulan kunci KMS dengan ID kunci dan materi kunci yang sama (dan [properti bersama](#mrk-replica-key) lainnya) yang berbeda. Wilayah AWS Setiap kunci Multi-region adalah kunci KMS yang berfungsi penuh yang dapat digunakan sepenuhnya secara independen dari kunci Multi-region terkait. Karena semua kunci Multi-wilayah *terkait* memiliki ID kunci dan materi kunci yang sama, kunci tersebut dapat *dioperasikan, yaitu, kunci Multi-wilayah terkait di mana pun Wilayah AWS dapat* mendekripsi ciphertext yang dienkripsi oleh kunci Multi-wilayah terkait lainnya.

Anda mengatur properti Multi-region dari kunci KMS saat Anda membuatnya. Anda tidak dapat mengubah properti Multi-region pada kunci yang ada. Anda tidak dapat mengonversi kunci Single-region menjadi kunci Multi-region atau mengonversi kunci Multi-region menjadi kunci Single-region. Untuk memindahkan beban kerja yang ada ke dalam skenario Multi-wilayah, Anda harus mengenkripsi ulang data Anda atau membuat tanda tangan baru dengan kunci Multi-wilayah baru.

Kunci multi-wilayah dapat [simetris atau asimetris](symmetric-asymmetric.md) dan dapat menggunakan bahan kunci atau bahan AWS KMS kunci [impor](importing-keys.md). Anda tidak dapat membuat kunci multi-Wilayah di [penyimpanan kunci kustom](key-store-overview.md#custom-key-store-overview).

Dalam satu set kunci multi-Wilayah terkait, ada persis satu [kunci primer](#mrk-primary-key) pada setiap saat. Anda dapat membuat [kunci replika](#mrk-replica-key) dari kunci primer tersebut di Wilayah AWS lain. Anda juga dapat [memperbarui wilayah primer](multi-region-update.md#update-primary-console), yang mengubah kunci primer untuk kunci replika dan perubahan kunci replika tertentu untuk kunci primer. Namun, Anda hanya dapat mempertahankan satu kunci utama atau kunci replika di masing-masing Wilayah AWS. Semua Wilayah harus berada dalam [partisi AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) yang sama.

Anda dapat memiliki beberapa kumpulan kunci multi-Wilayah terkait di Wilayah AWS yang sama atau berbeda. Meskipun kunci multi-Wilayah terkait interoperable, kunci multi-Wilayah yang tidak terkait tidak dapat dioperasikan.

### Kunci primer
<a name="mrk-primary-key"></a>

*Kunci utama Multi-region adalah kunci* KMS yang dapat direplikasi ke yang lain Wilayah AWS di partisi yang sama. Setiap set kunci multi-Wilayah hanya memiliki satu kunci primer.

Kunci utama berbeda dari kunci replika dengan cara berikut:
+ Hanya kunci primer yang dapat [direplika](multi-region-keys-replicate.md).
+ Kunci utama adalah sumber untuk [properti bersama](#mrk-replica-key) dari [replika kuncinya](#mrk-replica-key), termasuk materi kunci dan ID kunci. 
+ Anda dapat mengaktifkan dan menonaktifkan [rotasi kunci otomatis](rotate-keys.md) hanya pada kunci primer.
+ Anda dapat [menjadwalkan penghapusan kunci primer](deleting-keys.md#deleting-mrks) pada setiap saat. Tetapi tidak AWS KMS akan menghapus kunci utama sampai semua kunci replika dihapus.

Namun, kunci primer dan replika tidak berbeda dalam properti kriptografi apa pun. Anda dapat menggunakan kunci utama dan kunci replika secara bergantian. 

Anda tidak perlu mereplikasi kunci primer. Anda dapat menggunakannya seperti halnya kunci KMS apa pun dan mereplikasi jika dan kapan itu berguna. Namun, karena kunci Multi-region memiliki properti keamanan yang berbeda dari kunci Single-region, sebaiknya Anda membuat kunci Multi-region hanya jika Anda berencana untuk mereplikasi kunci tersebut.

### Kunci replika
<a name="mrk-replica-key"></a>

*Kunci replika Multi-region adalah kunci* KMS yang memiliki [ID kunci dan materi kunci](concepts.md#key-id-key-id) yang sama dengan kunci [utama dan kunci](#mrk-primary-key) replika terkait, tetapi ada dalam kunci yang berbeda. Wilayah AWS

Kunci replika adalah kunci KMS yang berfungsi penuh dengan kebijakan kunci, hibah, alias, tag, dan properti lainnya sendiri. Ini bukan salinan atau pointer ke kunci primer atau kunci lainnya. Anda dapat menggunakan kunci replika bahkan jika kunci primer dan semua kunci replika terkait dinonaktifkan. Anda juga dapat mengkonversi kunci replika untuk kunci primer dan kunci primer untuk kunci replika. Setelah dibuat, kunci replika bergantung pada kunci primernya hanya untuk [rotasi kunci](rotate-keys.md#multi-region-rotate) dan [memperbarui Wilayah primer](multi-region-update.md). 

Kunci primer dan replika tidak berbeda dalam properti kriptografi apa pun. Anda dapat menggunakan kunci utama dan kunci replika secara bergantian. Data yang dienkripsi oleh kunci primer atau replika dapat didekripsi dengan kunci yang sama, atau oleh kunci primer atau replika terkait.

### Replikasi
<a name="replicate"></a>

Anda dapat *mereplikasi* [kunci utama](#mrk-primary-key) Multi-region menjadi yang berbeda Wilayah AWS di partisi yang sama. Bila Anda melakukannya, AWS KMS buat [kunci replika](#mrk-replica-key) Multi-region di Region yang ditentukan dengan [ID kunci](concepts.md#key-id-key-id) yang sama dan [properti bersama](#mrk-sync-properties) lainnya sebagai kunci utamanya. Untuk kunci KMS dengan `AWS_KMS` asal, dengan AWS KMS aman mengangkut materi kunci melintasi batas Wilayah dan mengaitkannya dengan kunci replika baru, semuanya di dalamnya. AWS KMS Untuk kunci KMS dengan `EXTERNAL` asal, Anda harus mengimpor materi kunci yang sama dengan yang Anda impor ke kunci Wilayah utama ke kunci Region replika jangkauan satu per satu.

### Properti bersama
<a name="mrk-sync-properties"></a>

*Properti bersama* adalah properti dari kunci primer Multi-wilayah yang dibagikan dengan kunci replika. AWS KMS membuat kunci replika dengan nilai properti bersama yang sama dengan kunci utama. Kemudian, secara berkala menyinkronkan nilai properti bersama kunci primer untuk kunci replika. Anda tidak dapat mengatur properti ini pada kunci replika. 

Berikut ini adalah properti bersama dari kunci multi-Wilayah. 
+ [ID Kunci](concepts.md#key-id-key-id) — (Elemen `Region` dari [ARN kunci](concepts.md#key-id-key-ARN) berbeda.)
+ [Materi kunci](create-keys.md#key-origin) — Kunci primer dan replika dalam satu set kunci Multi-wilayah terkait berbagi materi kunci yang sama. Untuk kunci Multi-wilayah yang bahan utamanya dihasilkan oleh AWS KMS (`AWS_KMS`asal), dengan AWS KMS aman mengangkut semua bahan utama dari primer ke setiap replika saat replika dibuat atau ketika bahan kunci baru dibuat melalui rotasi otomatis atau sesuai permintaan. Untuk kunci Multi-region dengan material kunci impor (`EXTERNAL`asal), AWS KMS sinkronkan pengenal material kunci dari kunci utama tetapi Anda harus mengimpor materi kunci ke setiap kunci replika secara independen. 
+ [Asal bahan utama](create-keys.md#key-origin)
+ [Spesifikasi kunci](create-keys.md#key-spec) dan algoritme enkripsi
+ [Penggunaan kunci](create-keys.md#key-usage)
+ [Rotasi kunci otomatis](rotating-keys-enable.md) — Anda dapat mengaktifkan dan menonaktifkan rotasi kunci otomatis hanya pada kunci primer. Kunci replika baru dibuat dengan semua versi dari materi kunci bersama. Lihat perinciannya di [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).
+ [Rotasi sesuai permintaan](rotating-keys-on-demand.md) — Anda dapat melakukan rotasi sesuai permintaan hanya pada kunci utama. Untuk kunci multi-wilayah yang materi utamanya dihasilkan oleh AWS KMS (`AWS_KMS`asal), AWS KMS buat kunci replika dengan semua versi materi kunci bersama. Untuk kunci multi-wilayah dengan bahan kunci impor (`EXTERNAL`asal), AWS KMS menyebarkan Id material kunci dan deskripsi material kunci dari kunci utama ke kunci replika, tetapi bukan bahan kunci. Anda harus mengimpor bahan kunci yang benar ke setiap kunci replika satu per satu. Lihat perinciannya di [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).

Anda juga dapat memikirkan sebutan primer dan replika kunci multi-Wilayah terkait sebagai properti bersama. Saat Anda [membuat kunci replika baru atau memperbarui kunci](#mrk-replica-key) [utama](multi-region-update.md#update-primary-console), AWS KMS menyinkronkan perubahan ke semua kunci Multi-wilayah terkait. Ketika perubahan ini selesai, semua kunci multi-Wilayah terkait mencantumkan kunci primer dan replikanya secara akurat.

[Semua properti kunci Multi-region lainnya adalah *properti independen*, termasuk deskripsi kunci, [kebijakan kunci](key-policies.md), [hibah](grants.md), [status kunci yang diaktifkan dan dinonaktifkan](enabling-keys.md), [alias](kms-alias.md), dan tag.](tagging-keys.md) Anda dapat mengatur nilai yang sama untuk properti ini pada semua kunci multi-Wilayah terkait, tetapi jika Anda mengubah nilai properti independen, AWS KMS tidak menyinkronkannya.

Anda dapat melacak sinkronisasi properti bersama kunci multi-Wilayah Anda. Di AWS CloudTrail log Anda, cari [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)acara tersebut.

# Pertimbangan keamanan untuk kunci multi-Wilayah
<a name="mrk-when-to-use"></a>

Gunakan tombol AWS KMS Multi-region hanya jika Anda membutuhkannya. Kunci multi-Wilayah memberikan solusi fleksibel dan terukur untuk beban kerja yang memindahkan data terenkripsi antara Wilayah AWS atau membutuhkan akses lintas Wilayah. Pertimbangkan kunci Multi-wilayah jika Anda harus berbagi, memindahkan, atau mencadangkan data yang dilindungi di seluruh Wilayah atau perlu membuat tanda tangan digital identik dari aplikasi yang beroperasi di Wilayah yang berbeda.

Namun, proses pembuatan kunci multi-Wilayah memindahkan materi kunci Anda di batas Wilayah AWS dalam AWS KMS. Ciphertext yang dihasilkan oleh kunci multi-Wilayah berpotensi didekripsi oleh beberapa kunci terkait di beberapa lokasi geografis. Ada juga manfaat yang signifikan untuk layanan dan sumber daya yang terisolasi secara regional. Setiap Wilayah AWS terisolasi dan independen dari Wilayah lain. Wilayah memberikan toleransi kesalahan, stabilitas, dan ketahanan, dan juga dapat mengurangi latensi. Mereka memungkinkan Anda untuk membuat sumber daya berlebihan yang tetap tersedia dan tidak terpengaruh oleh pemadaman di Wilayah lain. Di AWS KMS, mereka juga memastikan bahwa setiap ciphertext dapat didekripsi hanya dengan satu kunci.

Kunci multi-Wilayah juga meningkatkan pertimbangan keamanan baru:
+ Mengontrol akses dan menegakkan kebijakan keamanan data lebih kompleks dengan kunci multi-Wilayah. Anda perlu memastikan bahwa kebijakan diaudit secara konsisten pada kunci di beberapa wilayah terpencil. Anda perlu menggunakan kebijakan untuk menegakkan batasnya, bukan mengandalkan kunci terpisah.

  Misalnya, Anda perlu mengatur syarat kebijakan pada data untuk mencegah tim penggajian di satu Wilayah agar tidak dapat membaca data payroll untuk Wilayah yang berbeda. Selain itu, Anda harus menggunakan kontrol akses untuk mencegah skenario di mana kunci multi-Wilayah dalam satu Wilayah melindungi data satu penyewa dan kunci multi-Wilayah terkait di Wilayah lain melindungi data penyewa yang berbeda.
+ Kunci audit di seluruh Wilayah juga lebih kompleks. Dengan kunci multi-Wilayah, Anda perlu memeriksa dan mendamaikan aktivitas audit di beberapa Wilayah untuk mendapatkan pemahaman lengkap tentang aktivitas utama pada data yang dilindungi.
+ Kepatuhan terhadap mandat residensi data bisa lebih kompleks. Dengan Wilayah terisolasi, Anda dapat memastikan kepatuhan data residensi dan kedaulatan data. Kunci KMS di Wilayah tertentu dapat mendekripsi data sensitif hanya di Wilayah tersebut. Data yang dienkripsi dalam satu Wilayah dapat tetap sepenuhnya dilindungi dan tidak dapat diakses di Wilayah lain.

  Untuk memverifikasi residensi data dan kedaulatan data dengan kunci Multi-region, Anda perlu menerapkan kebijakan akses dan mengkompilasi peristiwa di beberapa Wilayah. AWS CloudTrail 

[Untuk memudahkan Anda mengelola kontrol akses pada kunci Multi-region, izin untuk mereplikasi kunci Multi-region ([kms: ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)) terpisah dari izin standar untuk membuat kunci (kms:). CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) Selain itu, AWS KMS mendukung beberapa kondisi kebijakan untuk kunci Multi-wilayah, termasuk`kms:MultiRegion`, yang mengizinkan atau menolak izin untuk membuat, menggunakan, atau mengelola kunci Multi-wilayah dan`kms:ReplicaRegion`, yang membatasi Wilayah tempat kunci Multi-wilayah dapat direplikasi. Lihat perinciannya di [Kontrol akses ke tombol Multi-wilayah](multi-region-keys-auth.md).

# Cara kerja kunci multi-Wilayah
<a name="mrk-how-it-works"></a>

Anda mulai dengan membuat [kunci primer Multi-wilayah](multi-region-keys-overview.md#mrk-primary-key) simetris atau asimetris dalam Wilayah AWS yang AWS KMS mendukung, seperti US East (Virginia N.). Anda memutuskan apakah kunci adalah Wilayah tunggal atau multi-Wilayah hanya ketika Anda membuatnya; Anda tidak dapat mengubah properti ini nanti. Seperti halnya kunci KMS lainnya, Anda menetapkan kebijakan kunci untuk kunci Multi-region, dan Anda dapat membuat hibah, serta menambahkan alias dan tag untuk kategorisasi dan otorisasi. (Ini adalah [Properti independen](multi-region-keys-overview.md#mrk-sync-properties) yang tidak dibagikan atau disinkronkan dengan kunci lainnya.) Anda dapat menggunakan kunci primer multi-Wilayah Anda dalam operasi kriptografi untuk enkripsi atau penandatanganan.

Anda dapat [membuat kunci utama Multi-region](create-primary-keys.md) di AWS KMS konsol atau dengan menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API dengan `MultiRegion` parameter yang disetel ke`true`. Perhatikan bahwa kunci multi-Wilayah memiliki ID kunci khas yang dimulai dengan `mrk-`. Anda dapat menggunakan `mrk-` awalan untuk mengidentifikasi secara MRKs terprogram.

![\[Multi-Region primary key icon with red key symbol and sample key ID format.\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/multi-region-primary-key.png)


Jika Anda memilih, Anda dapat [mereplikasi](multi-region-keys-overview.md#replicate) kunci utama Multi-wilayah menjadi satu atau lebih yang berbeda Wilayah AWS di [AWS partisi](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) yang sama, seperti Eropa (Irlandia). Bila Anda melakukannya, AWS KMS buat [kunci replika](multi-region-keys-overview.md#mrk-replica-key) di Wilayah tertentu dengan ID kunci yang sama dan [properti bersama](multi-region-keys-overview.md#mrk-sync-properties) lainnya sebagai kunci utama. Hasilnya adalah dua kunci multi-Wilayah *terkait* — kunci primer dan kunci replika — yang dapat digunakan secara bergantian.

Anda dapat [membuat kunci replika Multi-region](multi-region-keys-replicate.md) di AWS KMS konsol atau dengan menggunakan API. [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) 

![\[Diagram showing multi-Region primary and replica keys in US East and EU regions with key IDs.\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/multi-region-replica-key.png)


Kunci [replika Multi-region yang dihasilkan adalah kunci](multi-region-keys-overview.md#mrk-replica-key) KMS yang berfungsi penuh dengan [properti bersama](multi-region-keys-overview.md#mrk-sync-properties) yang sama dengan kunci utama. Dalam semua hal lain, ini adalah kunci KMS independen dengan deskripsi, kebijakan kunci, hibah, alias, dan tag sendiri. Mengaktifkan atau menonaktifkan kunci multi-Wilayah tidak berpengaruh pada kunci multi-Wilayah terkait. Anda dapat menggunakan kunci primer dan replika secara independen dalam operasi kriptografi atau mengoordinasikan penggunaannya. Misalnya, Anda dapat mengenkripsi data dengan kunci primer di Wilayah US East (N. Virginia), memindahkan data ke Wilayah Eropa (Irlandia) dan menggunakan kunci replika untuk mendekripsi data. 

Kunci multi-Wilayah terkait memiliki ID kunci yang sama. Kunci mereka ARNs (Nama Sumber Daya Amazon) hanya berbeda di bidang Wilayah. Misalnya, kunci primer Multi-region dan kunci replika mungkin memiliki kunci contoh berikut. ARNs Kunci ID - elemen terakhir dalam ARN kunci - yang bersifat identik. Kedua kunci memiliki ID kunci khas dari kunci Multi-wilayah, yang dimulai dengan **mrk-**.

```
Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
```

Memiliki ID kunci yang sama yang diperlukan untuk interoperabilitas. Saat mengenkripsi, AWS KMS mengikat ID kunci dari kunci KMS ke ciphertext sehingga ciphertext dapat didekripsi hanya dengan kunci KMS atau kunci KMS dengan ID kunci yang sama. Fitur ini juga membuat kunci multi-Wilayah terkait mudah dikenali, dan membuatnya lebih mudah untuk menggunakannya secara bergantian. Misalnya, ketika menggunakannya dalam aplikasi, Anda dapat merujuk ke kunci multi-Wilayah terkait dengan ID kunci bersama mereka. Kemudian, jika perlu, tentukan Wilayah atau ARN untuk membedakannya. 

Saat data Anda perlu berubah, Anda dapat mereplikasi kunci utama ke yang lain Wilayah AWS di partisi yang sama, seperti US West (Oregon) dan Asia Pasifik (Sydney). Hasilnya adalah empat kunci Multi-region *terkait* dengan bahan kunci dan kunci yang sama IDs, seperti yang ditunjukkan pada diagram berikut. Anda mengelola kunci secara terpisah. Untuk kunci multi-wilayah dengan bahan kunci impor, Anda bertanggung jawab untuk mengimpor materi utama ke setiap kunci terkait satu per satu. Anda dapat menggunakannya secara terpisah atau secara terkoordinasi. Misalnya, Anda dapat mengenkripsi data dengan kunci replika di Asia Pacific (Sydney), memindahkan data ke US West (Oregon), dan mendekripsi dengan kunci replika di US West (Oregon). 

![\[Kunci primer dan replika dalam kunci Multi-region\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/multi-region-keys.png)


Pertimbangan lain untuk kunci multi-Wilayah termasuk berikut ini.

*Menyinkronkan properti bersama* [- Jika [properti bersama](multi-region-keys-overview.md#mrk-sync-properties) dari kunci Multi-region berubah, AWS KMS secara otomatis menyinkronkan perubahan dari [kunci utama ke semua kunci](multi-region-keys-overview.md#mrk-primary-key) replika.](multi-region-keys-overview.md#mrk-replica-key) Anda tidak dapat meminta atau memaksa sinkronisasi properti bersama. AWS KMS mendeteksi dan menyinkronkan semua perubahan untuk Anda. Namun, Anda dapat mengaudit sinkronisasi dengan menggunakan [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)peristiwa di CloudTrail log.

Misalnya, jika Anda mengaktifkan rotasi tombol otomatis pada kunci primer Multi-wilayah simetris dengan `AWS_KMS` asal, AWS KMS salin pengaturan itu ke semua kunci replika. Ketika materi kunci diputar, rotasi disinkronkan di antara semua kunci multi-Wilayah terkait, sehingga mereka terus memiliki materi kunci saat ini yang sama, dan akses ke semua versi lama dari materi kunci. Jika Anda membuat kunci replika baru, ia memiliki bahan kunci saat ini sama dari semua kunci multi-Wilayah terkait dan akses ke semua versi sebelumnya dari materi kunci. Lihat perinciannya di [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).

*Mengubah kunci primer* — Setiap set kunci multi-Wikayah harus memiliki tepatnya satu kunci utama. Parameter [kunci primer](multi-region-keys-overview.md#mrk-primary-key) adalah satu-satunya kunci yang dapat direplikasi. Ini juga merupakan sumber properti bersama dari kunci replika. Tapi Anda dapat mengubah kunci primer untuk replika dan mempromosikan salah satu kunci replika untuk primer. Anda dapat melakukannya sehingga Anda dapat menghapus kunci primer multi-Wilayah dari Wilayah tertentu, atau menemukan kunci utama di Wilayah yang lebih dekat dengan administrator proyek. Lihat perinciannya di [Ubah kunci utama dalam satu set kunci Multi-wilayah](multi-region-update.md).

*Menghapus kunci Multi-region* — Seperti semua kunci KMS, Anda harus menjadwalkan penghapusan kunci Multi-region sebelum menghapusnya. AWS KMS Saat kunci menunggu penghapusan, Anda tidak dapat menggunakannya dalam operasi kriptografi apapun. Namun, tidak AWS KMS akan menghapus kunci utama Multi-wilayah sampai semua kunci replika dihapus. Lihat perinciannya di [Deleting multi-Region keys](deleting-keys.md#deleting-mrks).

# Mengimpor bahan kunci untuk AWS KMS kunci
<a name="importing-keys"></a>

Anda dapat membuat AWS KMS keys (kunci KMS) dengan materi kunci yang Anda berikan. 

Kunci KMS adalah representasi logis dari kunci data. Metadata untuk kunci KMS mencakup ID dari bahan kunci yang digunakan untuk melakukan operasi kriptografi. Saat Anda [membuat kunci KMS](create-keys.md), secara default, AWS KMS menghasilkan materi kunci untuk kunci KMS itu. Tetapi Anda dapat membuat kunci KMS tanpa materi kunci dan kemudian mengimpor materi kunci Anda sendiri ke dalam kunci KMS itu, fitur yang sering dikenal sebagai “bawa kunci Anda sendiri” (BYOK).

![\[Ikon kunci yang menyoroti materi utama yang diwakilinya.\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/import-key.png)


**catatan**  
AWS KMS tidak mendukung dekripsi AWS KMS ciphertext apa pun yang dienkripsi oleh kunci KMS enkripsi simetris di luar AWS KMS, bahkan jika ciphertext dienkripsi di bawah kunci KMS dengan bahan kunci yang diimpor. AWS KMS tidak mempublikasikan format ciphertext yang dibutuhkan tugas ini, dan formatnya mungkin berubah tanpa pemberitahuan.

Saat Anda menggunakan materi kunci impor, Anda tetap bertanggung jawab atas materi kunci sambil mengizinkan AWS KMS untuk menggunakan salinannya. Anda mungkin memilih untuk melakukan hal ini karena salah satu atau beberapa dari alasan berikut:
+ Untuk membuktikan materi utama dihasilkan menggunakan sumber entropi yang memenuhi kebutuhan Anda. 
+ Untuk menggunakan materi utama dari infrastruktur Anda sendiri dengan AWS layanan, dan menggunakannya AWS KMS untuk mengelola siklus hidup materi utama tersebut di dalamnya. AWS
+ Untuk menggunakan kunci yang sudah ada dan mapan AWS KMS, seperti kunci untuk penandatanganan kode, penandatanganan sertifikat PKI, dan aplikasi yang disematkan sertifikat
+ Untuk mengatur waktu kedaluwarsa untuk materi kunci AWS dan [menghapusnya secara manual](importing-keys-delete-key-material.md), tetapi juga membuatnya tersedia lagi di masa mendatang. Sebaliknya, [penjadwalan penghapusan kunci](deleting-keys.md#deleting-keys-how-it-works) memerlukan masa tunggu 7 hingga 30 hari, setelah itu Anda tidak dapat memulihkan kunci KMS yang dihapus.
+ Untuk memiliki salinan asli dari bahan utama, dan menyimpannya di luar AWS untuk daya tahan tambahan dan pemulihan bencana selama siklus hidup lengkap bahan utama.
+ Untuk kunci asimetris dan kunci HMAC, mengimpor membuat kunci yang kompatibel dan dapat dioperasikan yang beroperasi di dalam dan di luar. AWS

**Jenis kunci KMS yang didukung**

AWS KMS mendukung bahan kunci yang diimpor untuk jenis kunci KMS berikut. Anda tidak dapat mengimpor materi kunci ke kunci KMS di [toko kunci khusus](key-store-overview.md#custom-key-store-overview).
+ [Kunci KMS enkripsi simetris](symm-asymm-choose-key-spec.md#symmetric-cmks)
+ [Tombol KMS asimetris (kecuali tombol ML-DSA)](symmetric-asymmetric.md)
+ [Kunci HMAC KMS](hmac.md)
+ [Tombol Multi-Region](multi-region-keys-overview.md) dari semua jenis yang didukung.

**Daerah**

Materi kunci yang diimpor didukung dalam semua Wilayah AWS yang AWS KMS mendukung.

Di Wilayah Tiongkok, persyaratan material utama untuk kunci KMS enkripsi simetris berbeda dari Wilayah lain. Lihat perinciannya di [Langkah 3: Enkripsi material kunci](importing-keys-encrypt-key-material.md).

**Pelajari selengkapnya**
+ Untuk membuat kunci KMS dengan materi kunci yang diimpor, lihat[Buat kunci KMS dengan materi kunci yang diimpor](importing-keys-conceptual.md).
+ Untuk membuat alarm yang memberi tahu Anda saat materi kunci yang diimpor dalam kunci KMS mendekati waktu kedaluwarsa, lihat. [Buat CloudWatch alarm untuk kedaluwarsa materi kunci yang diimpor](imported-key-material-expiration-alarm.md)
+ Untuk mengimpor kembali materi kunci ke kunci KMS, lihat. [Impor ulang bahan kunci](importing-keys-import-key-material.md#reimport-key-material)
+ Untuk mengimpor materi kunci baru ke kunci KMS untuk rotasi sesuai permintaan, lihat [Mengimpor materi kunci baru](importing-keys-import-key-material.md#import-new-key-material) dan. [Lakukan rotasi kunci sesuai permintaan](rotating-keys-on-demand.md) 
+ Untuk mengidentifikasi dan melihat kunci KMS dengan materi kunci yang diimpor, lihat[Identifikasi kunci KMS dengan bahan kunci impor](identify-key-types.md#identify-imported-keys).
+ Untuk mempelajari tentang pertimbangan khusus untuk menghapus kunci KMS dengan materi kunci yang diimpor, lihat. [Deleting KMS keys with imported key material](deleting-keys.md#import-delete-key)

# Pertimbangan khusus untuk bahan kunci impor
<a name="importing-keys-considerations"></a>

Sebelum Anda memutuskan untuk mengimpor bahan kunci ke dalam AWS KMS, Anda harus memahami karakteristik berikut dari bahan kunci impor.

**Anda menghasilkan material kunci**  
Anda bertanggung jawab untuk menghasilkan materi utama menggunakan sumber keacakan yang memenuhi persyaratan keamanan Anda.

**Anda bertanggung jawab atas ketersediaan dan daya tahan**  
AWS KMS dirancang untuk menjaga agar bahan kunci impor tetap tersedia. Tetapi AWS KMS tidak mempertahankan daya tahan bahan kunci impor pada tingkat yang sama dengan bahan utama yang AWS KMS menghasilkan. Lihat perinciannya di [Melindungi material kunci yang diimpor](import-keys-protect.md).

**Anda dapat menghapus materi kunci**  
Anda dapat [menghapus materi kunci yang diimpor](importing-keys-delete-key-material.md) dari kunci KMS, segera membuat kunci KMS tidak dapat digunakan. Selain itu, saat Anda mengimpor materi kunci ke kunci KMS, Anda dapat menentukan apakah kunci tersebut kedaluwarsa dan [mengatur waktu kedaluwarsa](importing-keys-import-key-material.md#importing-keys-expiration). Ketika waktu kedaluwarsa tiba, AWS KMS [hapus materi kunci.](importing-keys-delete-key-material.md) Tanpa materi kunci, kunci KMS tidak dapat digunakan dalam operasi kriptografi apa pun. Untuk mengembalikan kunci, Anda harus mengimpor ulang materi kunci yang sama ke dalam kunci. 

**Anda tidak dapat mengubah materi kunci untuk kunci asimetris, dan HMAC**  
Saat Anda mengimpor materi kunci ke kunci KMS, kunci KMS secara permanen dikaitkan dengan materi kunci tersebut. Anda dapat [mengimpor ulang materi kunci yang sama](importing-keys-import-key-material.md#reimport-key-material), tetapi Anda tidak dapat mengimpor materi kunci yang berbeda ke dalam kunci KMS itu. Selain itu, Anda tidak dapat [mengaktifkan rotasi tombol otomatis](rotate-keys.md) untuk kunci KMS dengan bahan kunci yang diimpor. Namun, Anda dapat [memutar kunci KMS secara manual dengan bahan kunci](rotate-keys-manually.md) yang diimpor. 

**Anda dapat melakukan rotasi sesuai permintaan pada kunci enkripsi simetris**  
Kunci enkripsi simetris dengan material kunci impor mendukung rotasi sesuai permintaan. Anda dapat [mengimpor beberapa materi utama](importing-keys-import-key-material.md#import-new-key-material) ke dalam kunci ini dan menggunakan [rotasi sesuai permintaan](rotating-keys-on-demand.md) untuk memperbarui materi kunci saat ini. Bahan kunci saat ini digunakan untuk enkripsi dan dekripsi tetapi bahan kunci lainnya (tidak saat ini) hanya dapat digunakan untuk dekripsi. 

**Anda tidak dapat mengubah asal materi utama**  
Kunci KMS yang dirancang untuk bahan kunci impor memiliki nilai [asal](create-keys.md#key-origin) `EXTERNAL` yang tidak dapat diubah. Anda tidak dapat mengonversi kunci KMS untuk bahan kunci impor untuk menggunakan materi kunci dari sumber lain, termasuk AWS KMS. Demikian pula, Anda tidak dapat mengonversi kunci KMS dengan bahan AWS KMS utama menjadi kunci yang dirancang untuk bahan kunci impor.

**Anda tidak dapat mengekspor materi kunci**  
Anda tidak dapat mengekspor materi kunci apa pun yang Anda impor. AWS KMS tidak dapat mengembalikan materi kunci yang diimpor kepada Anda dalam bentuk apa pun. Anda harus menyimpan salinan materi kunci impor Anda di luar AWS, sebaiknya di pengelola kunci, seperti modul keamanan perangkat keras (HSM), sehingga Anda dapat mengimpor ulang materi kunci jika Anda menghapusnya atau kedaluwarsa.

**Anda dapat membuat kunci Multi-wilayah dengan bahan kunci yang diimpor**  
Multi-Region dengan bahan kunci impor memiliki fitur kunci KMS dengan bahan kunci impor, dan dapat saling beroperasi di antaranya. Wilayah AWS Untuk membuat kunci Multi-region dengan materi kunci impor, Anda harus mengimpor bahan kunci yang sama ke kunci KMS primer dan ke setiap kunci replika. Untuk detail selengkapnya tentang mengimpor materi utama untuk kunci Multi-wilayah, lihat. [Mengimpor materi kunci baru](importing-keys-import-key-material.md#import-new-key-material)

**Tombol asimetris dan kunci HMAC portabel dan dapat dioperasikan**  
Anda dapat menggunakan bahan kunci asimetris dan bahan kunci HMAC di luar AWS untuk beroperasi dengan AWS KMS kunci dengan bahan kunci impor yang sama.   
Berbeda dengan ciphertext AWS KMS simetris, yang terikat erat dengan kunci KMS yang digunakan dalam algoritma, AWS KMS menggunakan HMAC standar dan format asimetris untuk enkripsi, penandatanganan, dan pembuatan MAC. Akibatnya, kuncinya portabel dan mendukung skenario kunci escrow tradisional.  
Ketika kunci KMS Anda telah mengimpor bahan kunci, Anda dapat menggunakan bahan kunci impor di luar AWS untuk melakukan operasi berikut.  
+ Kunci HMAC - Anda dapat memverifikasi tag HMAC yang dihasilkan oleh kunci HMAC KMS dengan bahan kunci yang diimpor. Anda juga dapat menggunakan kunci HMAC KMS dengan bahan kunci yang diimpor untuk memverifikasi tag HMAC yang dihasilkan oleh materi kunci di luar. AWS
+ Kunci enkripsi asimetris — Anda dapat menggunakan kunci enkripsi asimetris pribadi Anda di luar AWS untuk mendekripsi ciphertext yang dienkripsi oleh kunci KMS dengan kunci publik yang sesuai. Anda juga dapat menggunakan kunci KMS asimetris Anda untuk mendekripsi ciphertext asimetris yang dihasilkan di luar. AWS
+ Kunci penandatanganan asimetris — Anda dapat menggunakan kunci KMS penandatanganan asimetris dengan materi kunci yang diimpor untuk memverifikasi tanda tangan digital yang dihasilkan oleh kunci penandatanganan pribadi Anda di luar. AWS Anda juga dapat menggunakan kunci penandatanganan publik asimetris di luar AWS untuk memverifikasi tanda tangan yang dihasilkan oleh kunci KMS asimetris Anda.
+ Kunci perjanjian kunci asimetris — Anda dapat menggunakan kunci KMS perjanjian kunci asimetris Anda dengan materi kunci yang diimpor untuk memperoleh rahasia bersama dengan rekan di luar. AWS
Jika Anda mengimpor materi kunci yang sama ke kunci KMS yang berbeda dalam hal yang sama Wilayah AWS, kunci tersebut juga dapat dioperasikan. Untuk membuat kunci KMS yang dapat dioperasikan secara berbeda Wilayah AWS, buat kunci Multi-wilayah dengan bahan kunci yang diimpor.  

**Kunci pribadi RSA**
+ AWS KMS mengharuskan kunci pribadi RSA yang diimpor untuk memiliki faktor utama yang sesuai dengan pengujian yang dijelaskan dalam [FIPS 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf), Bagian A. 1.3. Perangkat lunak atau perangkat lain mungkin menggunakan algoritme yang berbeda untuk memvalidasi faktor utama kunci pribadi RSA ini. Dalam kasus yang jarang terjadi, kunci yang divalidasi menggunakan algoritma lain mungkin tidak diterima oleh. AWS KMS

**Kunci enkripsi simetris tidak portabel atau interoperable**  
Ciphertext simetris yang AWS KMS menghasilkan tidak portabel atau interoperable. AWS KMS tidak mempublikasikan format ciphertext simetris yang dibutuhkan portabilitas, dan formatnya mungkin berubah tanpa pemberitahuan.   
+ AWS KMS tidak dapat mendekripsi ciphertext simetris yang Anda enkripsi di luar AWS, bahkan jika Anda menggunakan materi kunci yang telah Anda impor. 
+ AWS KMS tidak mendukung dekripsi ciphertext AWS KMS simetris apa pun di luar AWS KMS, bahkan jika ciphertext dienkripsi di bawah kunci KMS dengan materi kunci yang diimpor.
+ Kunci KMS dengan bahan kunci impor yang sama tidak dapat dioperasikan. Ciphertext simetris yang AWS KMS menghasilkan ciphertext yang spesifik untuk setiap kunci KMS. Format ciphertext ini menjamin bahwa hanya kunci KMS yang data terenkripsi yang dapat mendekripsi itu. 
Selain itu, Anda tidak dapat menggunakan AWS alat apa pun, seperti [enkripsi sisi klien Amazon S3 [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)atau Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html), untuk mendekripsi ciphertext simetris. AWS KMS   
Akibatnya, Anda tidak dapat menggunakan kunci dengan materi kunci yang diimpor untuk mendukung pengaturan escrow kunci di mana pihak ketiga yang berwenang dengan akses bersyarat ke materi kunci dapat mendekripsi ciphertext tertentu di luar. AWS KMS Untuk mendukung escrow kunci, gunakan [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/java-example-code.html#java-example-multiple-providers) untuk mengenkripsi pesan Anda di bawah kunci yang independen dari AWS KMS.

# Melindungi material kunci yang diimpor
<a name="import-keys-protect"></a>

Materi utama yang Anda impor dilindungi saat transit dan saat istirahat. Sebelum mengimpor materi kunci, Anda mengenkripsi (atau “membungkus”) materi kunci dengan kunci publik dari key pair RSA yang dihasilkan dalam modul keamanan AWS KMS perangkat keras (HSMs) yang divalidasi di bawah Program Validasi Modul Kriptografi [FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884). Anda dapat mengenkripsi materi kunci secara langsung dengan kunci publik pembungkus, atau mengenkripsi materi kunci dengan kunci simetris AES, dan kemudian mengenkripsi kunci simetris AES dengan kunci publik RSA.

Setelah diterima, AWS KMS dekripsi materi kunci dengan kunci pribadi yang sesuai di AWS KMS HSM dan mengenkripsi ulang di bawah kunci simetris AES yang hanya ada di memori volatile HSM. Materi kunci Anda tidak pernah meninggalkan HSM dalam teks biasa. Ini didekripsi hanya saat sedang digunakan dan hanya di dalam. AWS KMS HSMs

Penggunaan kunci KMS Anda dengan materi kunci impor ditentukan semata-mata oleh [kebijakan kontrol akses](control-access.md) yang Anda tetapkan pada kunci KMS. Selain itu, Anda dapat menggunakan [alias](kms-alias.md) dan [tag](tagging-keys.md) untuk mengidentifikasi dan [mengontrol akses](abac.md) ke kunci KMS. Anda dapat [mengaktifkan dan menonaktifkan](enabling-keys.md) kunci, [melihat](viewing-keys.md), dan [memantaunya](monitoring-overview.md) menggunakan layanan seperti AWS CloudTrail. 

Namun, Anda mempertahankan satu-satunya salinan failsafe dari materi kunci Anda. Sebagai imbalan atas ukuran kontrol ekstra ini, Anda bertanggung jawab atas daya tahan dan ketersediaan keseluruhan bahan kunci impor. AWS KMS dirancang untuk menjaga agar bahan kunci impor tetap tersedia. Tetapi AWS KMS tidak mempertahankan daya tahan bahan kunci impor pada tingkat yang sama dengan bahan utama yang AWS KMS menghasilkan.

Perbedaan daya tahan ini bermakna dalam kasus-kasus berikut:
+ Saat Anda [menetapkan waktu kedaluwarsa](importing-keys-import-key-material.md#importing-keys-expiration) untuk materi kunci impor Anda, AWS KMS hapus materi kunci setelah kedaluwarsa. AWS KMS tidak menghapus kunci KMS atau metadata-nya. Anda dapat [membuat CloudWatch alarm Amazon yang](imported-key-material-expiration-alarm.md) memberi tahu Anda saat materi kunci yang diimpor mendekati tanggal kedaluwarsanya.

  Anda tidak dapat menghapus materi kunci yang AWS KMS menghasilkan kunci KMS dan Anda tidak dapat mengatur materi AWS KMS kunci untuk kedaluwarsa.
+ Saat Anda [menghapus materi kunci yang diimpor secara manual](importing-keys-delete-key-material.md), AWS KMS menghapus materi kunci tetapi tidak menghapus kunci KMS atau metadatanya. Sebaliknya, [penjadwalan penghapusan kunci](deleting-keys.md#deleting-keys-how-it-works) memerlukan masa tunggu 7 hingga 30 hari, setelah itu AWS KMS secara permanen menghapus kunci KMS, metadatanya, dan materi utamanya.
+ Jika terjadi kegagalan di seluruh wilayah tertentu yang memengaruhi AWS KMS (seperti kehilangan daya total), AWS KMS tidak dapat secara otomatis mengembalikan materi kunci impor Anda. Namun, AWS KMS dapat mengembalikan kunci KMS dan metadata-nya.

Anda *harus* menyimpan salinan materi kunci yang diimpor di luar AWS dalam sistem yang Anda kontrol. Kami menyarankan Anda menyimpan salinan yang dapat diekspor dari bahan kunci yang diimpor dalam sistem manajemen kunci, seperti HSM. Sebagai praktik terbaik, Anda harus menyimpan referensi ke ARN kunci KMS dan ID material kunci yang dihasilkan bersama AWS KMS dengan salinan materi kunci yang dapat diekspor. Jika materi kunci impor Anda dihapus atau kedaluwarsa, kunci KMS yang terkait menjadi tidak dapat digunakan sampai Anda mengimpor ulang materi kunci yang sama. Jika materi kunci impor Anda hilang secara permanen, ciphertext apa pun yang dienkripsi di bawah kunci KMS tidak dapat dipulihkan. 

**penting**  
Kunci enkripsi simetris dapat memiliki beberapa bahan utama yang terkait dengannya. Seluruh kunci KMS menjadi tidak dapat digunakan segera setelah Anda menghapus salah satu materi utama tersebut atau jika salah satu dari materi utama tersebut kedaluwarsa (kecuali materi kunci yang dihapus atau kedaluwarsa adalah atau). `PENDING_ROTATION` `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` Anda harus mengimpor ulang materi kunci yang kedaluwarsa atau dihapus yang terkait dengan kunci tersebut sebelum kunci tersebut dapat digunakan untuk operasi kriptografi. 

# Kunci KMS di toko kunci CloudHSM
<a name="manage-cmk-keystore"></a>

Anda dapat membuat, melihat, mengelola, menggunakan, dan menjadwalkan penghapusan AWS KMS keys di toko AWS CloudHSM utama. Prosedur yang Anda gunakan sangat mirip dengan yang Anda gunakan untuk kunci KMS lainnya. Satu-satunya perbedaan adalah Anda menentukan penyimpanan AWS CloudHSM kunci saat Anda membuat kunci KMS. Kemudian, AWS KMS buat materi kunci yang tidak dapat diekstraksi untuk kunci KMS di AWS CloudHSM cluster yang terkait dengan penyimpanan kunci. AWS CloudHSM Bila Anda menggunakan kunci KMS di toko AWS CloudHSM kunci, [operasi kriptografi](#use-cmk-keystore) dilakukan di HSMs dalam cluster.

**Fitur yang didukung**  
Selain prosedur yang dibahas di bagian ini, Anda dapat melakukan hal berikut dengan kunci KMS di toko AWS CloudHSM kunci:  
+ Gunakan kebijakan utama, kebijakan IAM, dan hibah untuk [mengotorisasi akses](control-access.md) ke kunci KMS.
+ [Aktifkan dan nonaktifkan](enabling-keys.md) tombol KMS. 
+ Tetapkan [tag](tagging-keys.md) dan buat [alias](kms-alias.md), dan gunakan kontrol akses berbasis atribut (ABAC) untuk mengotorisasi akses ke kunci KMS.
+ Gunakan tombol KMS untuk melakukan operasi kriptografi berikut:
  + [Enkripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
  + [Dekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
  + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
  + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)
  + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)

  Operasi yang menghasilkan pasangan kunci data asimetris, [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)dan [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html), *tidak* didukung di penyimpanan kunci khusus.
+ Gunakan kunci KMS dengan [AWS layanan yang terintegrasi dengan AWS KMS](service-integration.md) dan mendukung kunci yang dikelola pelanggan.
+ Lacak penggunaan kunci KMS Anda di [AWS CloudTrail log](logging-using-cloudtrail.md) dan [alat CloudWatch pemantauan Amazon](monitoring-overview.md).

**Fitur yang tidak didukung**  
+ AWS CloudHSM toko kunci hanya mendukung kunci KMS enkripsi simetris. Anda tidak dapat membuat kunci HMAC KMS, kunci KMS asimetris, atau pasangan kunci data asimetris di penyimpanan kunci. AWS CloudHSM 
+ Anda tidak dapat [mengimpor materi kunci](importing-keys.md) ke kunci KMS di toko AWS CloudHSM kunci. AWS KMS menghasilkan bahan kunci untuk kunci KMS di AWS CloudHSM cluster.
+ Anda tidak dapat mengaktifkan atau menonaktifkan [rotasi otomatis](rotate-keys.md) bahan kunci untuk kunci KMS di toko AWS CloudHSM kunci.

**Menggunakan kunci KMS di toko AWS CloudHSM kunci**  
Saat Anda menggunakan kunci KMS dalam permintaan, identifikasi kunci KMS dengan ID atau aliasnya; Anda tidak perlu menentukan penyimpanan AWS CloudHSM kunci atau klaster. AWS CloudHSM Respons mencakup bidang yang sama yang dikembalikan untuk kunci KMS enkripsi simetris apa pun.  
Namun, ketika Anda menggunakan kunci KMS di toko AWS CloudHSM kunci, operasi kriptografi dilakukan sepenuhnya dalam AWS CloudHSM cluster yang terkait dengan penyimpanan AWS CloudHSM kunci. Operasi menggunakan materi kunci dalam cluster yang terkait dengan kunci KMS yang Anda pilih.  
Untuk memungkinkan ini terjadi, syarat-syarat berikut diperlukan.  
+ [Status kunci](key-state.md) dari kunci KMS harus`Enabled`. Untuk menemukan status kunci, gunakan bidang **Status** di [AWS KMS konsol](finding-keys.md#viewing-console-details) atau `KeyState` bidang dalam [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)respons.
+ Toko AWS CloudHSM kunci harus terhubung ke AWS CloudHSM klasternya. **Statusnya** di [AWS KMS konsol](view-keystore.md) atau `ConnectionState` dalam [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respons harus`CONNECTED`.
+  AWS CloudHSM Cluster yang terkait dengan penyimpanan kunci kustom harus berisi setidaknya satu HSM aktif. Untuk menemukan jumlah aktif HSMs di cluster, gunakan [AWS KMS konsol](view-keystore.md), AWS CloudHSM konsol, atau [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operasi.
+  AWS CloudHSM Cluster harus berisi bahan kunci untuk kunci KMS. Jika material kunci dihapus dari klaster, atau HSM dibuat dari cadangan yang tidak menyertakan material kunci, operasi kriptografi akan gagal.
Jika kondisi ini tidak terpenuhi, operasi kriptografi gagal, dan AWS KMS mengembalikan `KMSInvalidStateException` pengecualian. Biasanya, Anda hanya perlu [menghubungkan kembali toko AWS CloudHSM kunci](connect-keystore.md). Untuk bantuan tambahan, lihat [Cara memperbaiki kunci KMS yang gagal](fix-keystore.md#fix-cmk-failed).  
Saat menggunakan kunci KMS di toko AWS CloudHSM kunci, ketahuilah bahwa kunci KMS di setiap AWS CloudHSM toko kunci berbagi [kuota permintaan toko kunci khusus](requests-per-second.md#rps-key-stores) untuk operasi kriptografi. Jika Anda melebihi kuota, AWS KMS mengembalikan a`ThrottlingException`. Jika AWS CloudHSM cluster yang terkait dengan penyimpanan AWS CloudHSM kunci memproses banyak perintah, termasuk yang tidak terkait dengan penyimpanan AWS CloudHSM kunci, Anda mungkin mendapatkan `ThrottlingException` tingkat yang lebih rendah. Jika Anda mendapatkan `ThrottlingException` untuk permintaan apa pun, turunkan tingkat permintaan Anda dan coba lagi perintahnya. Untuk detail tentang kuota permintaan toko kunci kustom, lihat[Kuota permintaan toko kunci kustom](requests-per-second.md#rps-key-stores).

**Pelajari selengkapnya**  
+ Untuk mempelajari lebih lanjut tentang toko-toko AWS CloudHSM utama, lihat[AWS CloudHSM toko-toko utama](keystore-cloudhsm.md).
+ Untuk membuat kunci KMS di toko AWS CloudHSM kunci, lihat[Buat kunci KMS di toko AWS CloudHSM kunci](create-cmk-keystore.md).
+ Untuk mengidentifikasi dan melihat kunci KMS di toko AWS CloudHSM kunci, lihat[Identifikasi kunci KMS di toko-toko AWS CloudHSM utama](identify-key-types.md#identify-key-hsm-keystore).
+ Untuk menemukan kunci KMS dan bahan kunci di toko AWS CloudHSM kunci, lihat[Temukan kunci KMS dan bahan kunci di toko AWS CloudHSM kunci](find-key-material.md).
+ Untuk mempelajari tentang pertimbangan khusus untuk menghapus kunci KMS di toko kunci, lihat [Menghapus AWS CloudHSM kunci KMS dari toko kunci](deleting-keys.md#delete-cmk-keystore). AWS CloudHSM 

# Kunci KMS di toko kunci eksternal
<a name="keystore-external-key-manage"></a>

Untuk membuat, melihat, mengelola, menggunakan, dan menjadwalkan penghapusan kunci KMS di toko kunci eksternal, Anda menggunakan prosedur yang sangat mirip dengan yang Anda gunakan untuk kunci KMS lainnya. Namun, ketika Anda membuat kunci KMS di penyimpanan kunci eksternal, Anda menentukan [penyimpanan kunci eksternal](keystore-external.md#concept-external-key-store) dan [kunci eksternal](keystore-external.md#concept-external-key). Saat Anda menggunakan kunci KMS di penyimpanan kunci eksternal, [operasi enkripsi dan dekripsi](keystore-external.md#xks-how-it-works) dilakukan oleh manajer kunci eksternal Anda menggunakan kunci eksternal yang ditentukan. 

AWS KMS tidak dapat membuat, melihat, memperbarui, atau menghapus kunci kriptografi apa pun di pengelola kunci eksternal Anda. AWS KMS tidak pernah langsung mengakses manajer kunci eksternal Anda atau kunci eksternal apa pun. Semua permintaan untuk operasi kriptografi dimediasi oleh proxy [penyimpanan kunci eksternal](keystore-external.md#concept-xks-proxy) Anda. Untuk menggunakan kunci KMS di penyimpanan kunci eksternal, penyimpanan kunci eksternal yang meng-host kunci KMS harus [terhubung](xks-connect-disconnect.md) ke proxy penyimpanan kunci eksternal.

**Fitur yang didukung**  
Selain prosedur yang dibahas di bagian ini, Anda dapat melakukan hal berikut dengan kunci KMS di toko kunci eksternal:   
+ Gunakan [kebijakan utama, kebijakan](key-policies.md) [IAM](iam-policies.md), dan [hibah](grants.md) untuk mengontrol akses ke kunci KMS.
+ [Aktifkan dan nonaktifkan](enabling-keys.md) tombol KMS. Tindakan ini tidak memengaruhi kunci eksternal di manajer kunci eksternal Anda.
+ Tetapkan [tag](tagging-keys.md) dan buat [alias](kms-alias.md), dan gunakan [kontrol akses berbasis atribut (ABAC) untuk mengotorisasi akses](abac.md) ke kunci KMS.
+ Gunakan tombol KMS untuk melakukan operasi kriptografi berikut:
  + [Enkripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
  + [Dekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
  + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
  + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)
  + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)

  Operasi yang menghasilkan pasangan kunci data asimetris, [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)dan [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html), *tidak* didukung di penyimpanan kunci khusus.
+ Gunakan kunci KMS [Layanan AWS yang terintegrasi dengan AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration) dan dukung [kunci yang dikelola pelanggan](concepts.md#customer-mgn-key).

**Fitur yang tidak didukung**  
+ Toko kunci eksternal hanya mendukung kunci [KMS enkripsi simetris](symm-asymm-choose-key-spec.md#symmetric-cmks). Anda tidak dapat membuat kunci KMS HMAC atau kunci KMS asimetris di penyimpanan kunci eksternal.
+ [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)dan tidak [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)didukung pada kunci KMS di toko kunci eksternal.
+ Anda tidak dapat menggunakan [AWS::KMS::Key CloudFormation template](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) untuk membuat penyimpanan kunci eksternal atau kunci KMS di penyimpanan kunci eksternal.
+ [Tombol Multi-Region](multi-region-keys-overview.md) tidak didukung di penyimpanan kunci eksternal.
+ Kunci KMS dengan [bahan kunci impor](importing-keys.md) tidak didukung di toko kunci eksternal.
+ [Rotasi tombol otomatis](rotate-keys.md) tidak didukung untuk kunci KMS di penyimpanan kunci eksternal.

**Menggunakan kunci KMS di toko kunci eksternal**  
Ketika Anda menggunakan kunci KMS Anda dalam permintaan, identifikasi kunci KMS dengan [ID kunci, kunci ARN, alias, atau alias ARN](concepts.md#key-id). Anda tidak perlu menentukan toko kunci eksternal. Respons mencakup bidang yang sama yang dikembalikan untuk kunci KMS enkripsi simetris apa pun. Namun, ketika Anda menggunakan kunci KMS di penyimpanan kunci eksternal, operasi enkripsi dan dekripsi dilakukan oleh manajer kunci eksternal Anda menggunakan kunci eksternal yang terkait dengan kunci KMS.  
[Untuk memastikan bahwa ciphertext yang dienkripsi oleh kunci KMS di penyimpanan kunci eksternal setidaknya seaman ciphertext apa pun yang dienkripsi oleh kunci KMS standar, gunakan enkripsi ganda. AWS KMS](keystore-external.md#concept-double-encryption) Data pertama kali dienkripsi dalam AWS KMS menggunakan materi AWS KMS kunci. Kemudian dienkripsi oleh manajer kunci eksternal Anda menggunakan kunci eksternal untuk kunci KMS. Untuk mendekripsi ciphertext terenkripsi ganda, ciphertext pertama kali didekripsi oleh pengelola kunci eksternal Anda menggunakan kunci eksternal untuk kunci KMS. Kemudian didekripsi dalam AWS KMS menggunakan bahan AWS KMS kunci untuk kunci KMS.  
Untuk memungkinkan ini terjadi, syarat-syarat berikut diperlukan.  
+ [Status kunci](key-state.md) dari kunci KMS harus`Enabled`. Untuk menemukan status kunci, lihat bidang **Status** untuk kunci terkelola pelanggan pada [AWS KMS konsol](finding-keys.md#viewing-console-details) atau `KeyState` bidang dalam [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)respons.
+ Penyimpanan kunci eksternal yang menampung kunci KMS harus terhubung ke [proxy penyimpanan kunci eksternalnya](keystore-external.md#concept-xks-proxy), yaitu, [status koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci eksternal harus`CONNECTED`. 

  Anda dapat melihat status koneksi pada halaman **penyimpanan kunci eksternal** di AWS KMS konsol atau dalam [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respons. Status koneksi penyimpanan kunci eksternal juga ditampilkan pada halaman detail untuk kunci KMS di AWS KMS konsol. Pada halaman detail, pilih tab **Konfigurasi kriptografi** dan lihat bidang **Status koneksi** di bagian **Penyimpanan kunci khusus**.

  Jika status koneksi`DISCONNECTED`, Anda harus menghubungkannya terlebih dahulu. Jika status koneksi`FAILED`, Anda harus menyelesaikan masalah, lepaskan penyimpanan kunci eksternal, dan kemudian hubungkan. Untuk petunjuk, lihat [Connect dan lepaskan penyimpanan kunci eksternal](xks-connect-disconnect.md).
+ Proxy penyimpanan kunci eksternal harus dapat menemukan kunci eksternal. 
+ Kunci eksternal harus diaktifkan dan harus melakukan enkripsi dan dekripsi. 

  Status kunci eksternal independen dan tidak terpengaruh oleh perubahan [status kunci](key-state.md) KMS, termasuk mengaktifkan dan menonaktifkan kunci KMS. Demikian pula, menonaktifkan atau menghapus kunci eksternal tidak mengubah status kunci dari kunci KMS, tetapi operasi kriptografi menggunakan kunci KMS terkait akan gagal.
Jika kondisi ini tidak terpenuhi, operasi kriptografi gagal, dan AWS KMS mengembalikan `KMSInvalidStateException` pengecualian. Anda mungkin perlu [menyambungkan kembali penyimpanan kunci eksternal](xks-connect-disconnect.md) atau menggunakan alat pengelola kunci eksternal untuk mengkonfigurasi ulang atau memperbaiki kunci eksternal Anda. Untuk bantuan tambahan, lihat [Memecahkan masalah toko kunci eksternal](xks-troubleshooting.md).  
Saat menggunakan kunci KMS di penyimpanan kunci eksternal, ketahuilah bahwa kunci KMS di setiap toko kunci eksternal berbagi [kuota permintaan toko kunci kustom](requests-per-second.md#rps-key-stores) untuk operasi kriptografi. Jika Anda melebihi kuota, AWS KMS mengembalikan a`ThrottlingException`. Untuk detail tentang kuota permintaan toko kunci kustom, lihat[Kuota permintaan toko kunci kustom](requests-per-second.md#rps-key-stores).

**Pelajari selengkapnya**  
+ Untuk mempelajari lebih lanjut tentang toko kunci eksternal, lihat[Toko kunci eksternal](keystore-external.md).
+ Untuk mempelajari lebih lanjut tentang materi utama di toko kunci eksternal, lihat[Kunci eksternal](keystore-external.md#concept-external-key).
+ Untuk membuat kunci KMS di toko kunci eksternal, lihat[Buat kunci KMS di toko kunci eksternal](create-xks-keys.md).
+ Untuk mengidentifikasi dan melihat kunci KMS di penyimpanan kunci eksternal, lihat[Identifikasi kunci KMS di toko kunci eksternal](identify-key-types.md#view-xks-key).
+ Untuk mempelajari tentang pertimbangan khusus untuk menghapus kunci KMS di penyimpanan kunci eksternal, lihat [Menghapus kunci KMS dari penyimpanan kunci](deleting-keys.md#delete-xks-key) eksternal.