Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Buat kunci KMS
<a name="create-keys"></a>

Anda dapat membuat AWS KMS keys di Konsol Manajemen AWS, atau dengan menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi atau [AWS::KMS::Key AWS CloudFormation sumber daya](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html). Selama proses ini, Anda menetapkan kebijakan kunci untuk kunci KMS, yang dapat Anda ubah kapan saja. Anda juga memilih nilai berikut yang menentukan jenis kunci KMS yang Anda buat. Anda tidak dapat mengubah properti ini setelah kunci KMS dibuat. 

**Jenis kunci KMS**  
*Tipe kunci* adalah properti yang menentukan jenis kunci kriptografi apa yang dibuat. AWS KMS menawarkan tiga jenis kunci untuk melindungi data:  
+ Kunci simetris Advanced Encryption Standard (AES)

  Tombol 256-bit yang digunakan di bawah mode Galois Counter Mode (GCM) AES untuk memberikan otentikasi data di bawah encryption/decryption ukuran 4KB. Ini adalah jenis kunci yang paling umum dan digunakan untuk melindungi kunci enkripsi data lain yang digunakan dalam aplikasi Anda dan dengan Layanan AWS itu mengenkripsi data Anda atas nama Anda.
+ RSA, kurva elips, atau (hanya Wilayah SM2 Tiongkok) kunci asimetris

  Tombol ini tersedia dalam berbagai ukuran dan mendukung banyak algoritma. Mereka dapat digunakan untuk enkripsi dan dekripsi, menandatangani dan memverifikasi, atau memperoleh operasi rahasia bersama tergantung pada pilihan algoritme.
+ Kunci simetris untuk melakukan operasi kode otentikasi pesan berbasis hash (HMAC)

  Kunci ini adalah kunci 256-bit yang digunakan untuk menandatangani dan memverifikasi operasi.

  Kunci KMS tidak dapat diekspor dari layanan dalam teks biasa. Mereka dihasilkan oleh dan hanya dapat digunakan dalam modul keamanan perangkat keras (HSMs) yang digunakan oleh layanan. Ini adalah properti keamanan dasar AWS KMS untuk memastikan bahwa kunci tidak dikompromikan.

**Penggunaan kunci**  
*Penggunaan kunci* adalah properti yang menentukan operasi kriptografi yang didukung kunci. Kunci KMS dapat memiliki penggunaan kunci`ENCRYPT_DECRYPT`,, `SIGN_VERIFY``GENERATE_VERIFY_MAC`, atau`KEY_AGREEMENT`. Setiap kunci KMS hanya dapat memiliki satu penggunaan kunci. Ini mengikuti praktik terbaik penggunaan utama menurut [National Institute of Standards and Technology (NIST) Publikasi Khusus 800-57 Rekomendasi untuk Manajemen Utama](https://csrc.nist.gov/pubs/sp/800/57/pt1/r5/final), Bagian 5.2, Penggunaan utama. Menggunakan kunci KMS untuk lebih dari satu jenis operasi membuat produk dari kedua operasi lebih rentan terhadap serangan.

**Spesifikasi kunci**  
*Spesifikasi kunci* adalah properti yang mewakili konfigurasi kriptografi kunci. Arti dari spesifikasi kunci berbeda dengan tipe kunci.  
Untuk kunci KMS, *spesifikasi kunci* menentukan apakah kunci KMS simetris atau asimetris. Ini juga menentukan jenis bahan utamanya, dan algoritma yang didukungnya.  
Spesifikasi kunci default, [SYMMETRIC\$1DEFAULT, mewakili kunci enkripsi simetris](symm-asymm-choose-key-spec.md#symmetric-cmks) 256-bit. Untuk penjelasan rinci tentang semua spesifikasi utama yang didukung, lihat[Referensi spesifikasi kunci](symm-asymm-choose-key-spec.md).

**Asal bahan utama**  
*Asal material utama* adalah properti kunci KMS yang mengidentifikasi sumber bahan kunci dalam kunci KMS. Anda memilih asal bahan utama saat Anda membuat kunci KMS, dan Anda tidak dapat mengubahnya. Sumber material utama mempengaruhi keamanan, daya tahan, ketersediaan, latensi, dan karakteristik throughput kunci KMS.   
Setiap kunci KMS menyertakan referensi ke materi utamanya dalam metadatanya. Asal material kunci kunci KMS enkripsi simetris dapat bervariasi. Anda dapat menggunakan materi kunci yang AWS KMS menghasilkan, materi kunci yang dihasilkan di [toko kunci khusus](key-store-overview.md#custom-key-store-overview), atau [mengimpor materi kunci Anda sendiri](importing-keys.md).   
Secara default, setiap kunci KMS memiliki bahan kunci yang unik. Namun, Anda dapat membuat satu set [kunci multi-wilayah](multi-region-keys-overview.md) dengan material kunci yang sama.  
Kunci KMS dapat memiliki salah satu nilai asal material utama berikut:`AWS_KMS`, `EXTERNAL` ([bahan kunci impor](importing-keys.md)), `AWS_CLOUDHSM` ([kunci KMS di toko AWS CloudHSM kunci](keystore-cloudhsm.md)), atau `EXTERNAL_KEY_STORE` (kunci [KMS di toko kunci eksternal](keystore-external.md)).

**Topics**
+ [Izin untuk membuat kunci KMS](#create-key-permissions)
+ [Memilih jenis kunci KMS apa yang akan dibuat](#symm-asymm-choose)
+ [Buat kunci KMS enkripsi simetris](create-symmetric-cmk.md)
+ [Buat kunci KMS asimetris](asymm-create-key.md)
+ [Buat kunci HMAC KMS](hmac-create-key.md)
+ [Buat kunci utama Multi-wilayah](create-primary-keys.md)
+ [Buat kunci replika Multi-wilayah](multi-region-keys-replicate.md)
+ [Buat kunci KMS dengan materi kunci yang diimpor](importing-keys-conceptual.md)
+ [Buat kunci KMS di toko AWS CloudHSM kunci](create-cmk-keystore.md)
+ [Buat kunci KMS di toko kunci eksternal](create-xks-keys.md)

## Izin untuk membuat kunci KMS
<a name="create-key-permissions"></a>

Untuk membuat kunci KMS di konsol atau dengan menggunakan APIs, Anda harus memiliki izin berikut dalam kebijakan IAM. Sebisa mungkin, gunakan [kunci kondisi](policy-conditions.md) untuk membatasi izin. Misalnya, Anda dapat menggunakan kunci KeySpec kondisi [kms:](conditions-kms.md#conditions-kms-key-spec) dalam kebijakan IAM untuk mengizinkan prinsipal membuat hanya kunci enkripsi simetris.

Untuk contoh kebijakan IAM untuk prinsipal yang membuat kunci, lihat [Izinkan pengguna untuk membuat kunci KMS](customer-managed-policies.md#iam-policy-example-create-key).

**catatan**  
Berhati-hatilah saat memberikan izin prinsipal untuk mengelola tanda dan alias. Mengubah tag atau alias dapat mengizinkan atau menolak izin ke kunci yang dikelola pelanggan. Lihat perinciannya di [ABAC untuk AWS KMS](abac.md).
+ [kms: CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) diperlukan. 
+ [kms: CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html) diperlukan untuk membuat kunci KMS di konsol di mana alias diperlukan untuk setiap kunci KMS baru.
+ [kms: TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) diperlukan untuk menambahkan tag saat membuat kunci KMS.
+ [iam: CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) diperlukan untuk membuat kunci utama Multi-wilayah. Lihat perinciannya di [Kontrol akses ke tombol Multi-wilayah](multi-region-keys-auth.md).

PutKeyPolicyIzin [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) tidak diperlukan untuk membuat kunci KMS. Izin `kms:CreateKey` termasuk izin untuk menetapkan kebijakan kunci awal. Tetapi Anda harus menambahkan izin ini ke kebijakan kunci saat membuat kunci KMS untuk memastikan bahwa Anda dapat mengontrol akses ke kunci KMS. Alternatifnya adalah menggunakan [BypassLockoutSafetyCheck](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html#KMS-CreateKey-request-BypassPolicyLockoutSafetyCheck)parameter, yang tidak disarankan.

Kunci KMS milik AWS akun tempat mereka dibuat. Pengguna IAM yang membuat kunci KMS tidak dianggap sebagai pemilik kunci dan mereka tidak secara otomatis memiliki izin untuk menggunakan atau mengelola kunci KMS yang mereka buat. Seperti prinsipal lainnya, pembuat kunci perlu mendapatkan izin melalui kebijakan kunci, kebijakan IAM, atau hibah. Namun, kepala sekolah yang memiliki `kms:CreateKey` izin dapat mengatur kebijakan kunci awal dan memberi diri mereka izin untuk menggunakan atau mengelola kunci tersebut.

## Memilih jenis kunci KMS apa yang akan dibuat
<a name="symm-asymm-choose"></a>

Jenis kunci KMS yang Anda buat sangat tergantung pada bagaimana Anda berencana untuk *menggunakan* kunci KMS, persyaratan keamanan Anda, dan persyaratan otorisasi Anda. Jenis kunci dan penggunaan kunci dari kunci KMS menentukan operasi kriptografi apa yang dapat dilakukan oleh kunci. Setiap kunci KMS hanya memiliki satu penggunaan kunci. Menggunakan kunci KMS untuk lebih dari satu jenis operasi membuat produk dari semua operasi lebih rentan terhadap serangan.

Untuk mengizinkan prinsipal membuat kunci KMS hanya untuk penggunaan kunci tertentu, gunakan kunci kondisi [kms](conditions-kms.md#conditions-kms-key-usage):. KeyUsage Anda juga dapat menggunakan kunci `kms:KeyUsage` kondisi untuk mengizinkan prinsipal memanggil operasi API untuk kunci KMS berdasarkan penggunaan kuncinya. Misalnya, Anda dapat mengizinkan izin untuk menonaktifkan kunci KMS hanya jika penggunaan kuncinya adalah SIGN\$1VERIFY. 

Gunakan panduan berikut untuk menentukan jenis kunci KMS yang Anda butuhkan berdasarkan kasus penggunaan Anda.

**Mengenkripsi dan mendekripsi data**  
Gunakan [kunci KMS simetris](symm-asymm-choose-key-spec.md#symmetric-cmks) untuk sebagian besar kasus penggunaan yang memerlukan enkripsi dan dekripsi data. Algoritme enkripsi simetris yang digunakan AWS KMS berfungsi dengan cepat, efisien, dan menjamin kerahasiaan dan keaslian data. Agoritme ini mendukung enkripsi yang diautentikasi dengan data tambahan yang diautentikasi (AAD), yang didefinisikan sebagai [Konteks enkripsi](encrypt_context.md). Jenis kunci KMS ini mengharuskan pengirim dan penerima data terenkripsi untuk memiliki kredensil yang valid AWS untuk dipanggil. AWS KMS  
Jika kasus penggunaan Anda memerlukan enkripsi di luar AWS oleh pengguna yang tidak dapat menelepon AWS KMS, [kunci KMS asimetris](symmetric-asymmetric.md) adalah pilihan yang baik. Anda dapat mendistribusikan kunci publik dari kunci KMS asimetris untuk memungkinkan pengguna ini mengenkripsi data. Dan aplikasi Anda yang perlu mendekripsi data tersebut dapat menggunakan kunci pribadi dari kunci KMS asimetris di dalamnya. AWS KMS

**Menandatangani pesan dan memverifikasi tanda tangan**  
Untuk menandatangani pesan dan memverifikasi tanda tangan, Anda harus menggunakan kunci KMS [asimetris](symmetric-asymmetric.md). Anda dapat menggunakan kunci KMS dengan [spesifikasi kunci yang mewakili key](symm-asymm-choose-key-spec.md) pair RSA, elliptic curve (ECC) key pair, key pair ML-DSA, atau key pair (hanya Wilayah China). SM2 Spesifikasi kunci yang Anda pilih ditentukan oleh algoritme penandatanganan yang ingin Anda gunakan. Algoritma penandatanganan ECDSA yang didukung oleh pasangan kunci ECC direkomendasikan melalui algoritma penandatanganan RSA. Gunakan key pair ML-DSA saat bermigrasi dari kunci RSA atau ECC ke kunci pasca-kuantum. Namun, Anda mungkin perlu menggunakan spesifikasi kunci tertentu dan algoritma penandatanganan untuk mendukung pengguna yang memverifikasi tanda tangan di luar. AWS

**Enkripsi dengan pasangan kunci asimetris**  
Untuk mengenkripsi data dengan asymmetric key pair, Anda harus menggunakan kunci [KMS asimetris dengan spesifikasi kunci](symmetric-asymmetric.md) [RSA atau spesifikasi kunci](symm-asymm-choose-key-spec.md#key-spec-rsa-encryption) (khusus Wilayah Tiongkok [SM2 )](symm-asymm-choose-key-spec.md#key-spec-sm). Untuk mengenkripsi data AWS KMS dengan kunci publik dari key pair KMS, gunakan operasi [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html). Anda juga dapat [mengunduh kunci publik](download-public-key.md) dan membagikannya dengan pihak yang perlu mengenkripsi data di luar. AWS KMS  
Saat Anda mengunduh kunci publik dari kunci KMS asimetris, Anda dapat menggunakannya di luar. AWS KMS Tapi itu tidak lagi tunduk pada kontrol keamanan yang melindungi kunci KMS. AWS KMS Misalnya, Anda tidak dapat menggunakan kebijakan AWS KMS kunci atau hibah untuk mengontrol penggunaan kunci publik. Anda juga tidak dapat mengontrol apakah kunci hanya digunakan untuk enkripsi dan dekripsi menggunakan algoritma enkripsi yang mendukung. AWS KMS Untuk detail selengkapnya, lihat [Pertimbangan Khusus untuk Mengunduh Kunci Publik](offline-public-key.md#download-public-key-considerations).  
[Untuk mendekripsi data yang dienkripsi dengan kunci publik di luar AWS KMS, hubungi operasi Dekripsi.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) `Decrypt`Operasi gagal jika data dienkripsi di bawah kunci publik dari kunci KMS dengan penggunaan kunci. `SIGN_VERIFY` Ini juga akan gagal jika dienkripsi dengan menggunakan algoritma yang AWS KMS tidak mendukung spesifikasi kunci yang Anda pilih. Untuk informasi selengkapnya tentang spesifikasi utama dan algoritme yang didukung, lihat. [Referensi spesifikasi kunci](symm-asymm-choose-key-spec.md)  
Untuk menghindari kesalahan ini, siapa pun yang menggunakan kunci publik di luar AWS KMS harus menyimpan konfigurasi kunci. AWS KMS Konsol dan [GetPublicKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetPublicKey.html)respons memberikan informasi yang harus Anda sertakan saat Anda membagikan kunci publik.

**Turunkan rahasia bersama**  
Untuk mendapatkan rahasia bersama, gunakan kunci KMS dengan [kurva elips standar NIST](symm-asymm-choose-key-spec.md#key-spec-ecc) atau bahan kunci [SM2](symm-asymm-choose-key-spec.md#key-spec-sm)(hanya Wilayah Tiongkok). AWS KMS menggunakan [Elliptic Curve Cryptography Cofactor Diffie-Hellman Primitive](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-56Ar3.pdf#page=60) (ECDH) untuk membuat kesepakatan kunci antara dua rekan dengan memperoleh rahasia bersama dari kurva elips pasangan kunci publik-pribadi mereka. Anda dapat menggunakan rahasia bersama mentah yang dikembalikan [ DeriveSharedSecret](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret.html)operasi untuk mendapatkan kunci simetris yang dapat mengenkripsi dan mendekripsi data yang dikirim antara dua pihak, atau menghasilkan dan memverifikasi. HMACs AWS KMS merekomendasikan agar Anda mengikuti [rekomendasi NIST untuk derivasi kunci](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-56Cr2.pdf) saat menggunakan rahasia bersama mentah untuk mendapatkan kunci simetris.

**Hasilkan dan verifikasi kode HMAC**  
Untuk membuat dan memverifikasi kode otentikasi pesan berbasis hash, gunakan kunci HMAC KMS. Saat Anda membuat kunci HMAC AWS KMS, AWS KMS membuat dan melindungi materi kunci Anda dan memastikan bahwa Anda menggunakan algoritme MAC yang benar untuk kunci Anda. Kode HMAC juga dapat digunakan sebagai nomor pseudo-acak, dan dalam skenario tertentu untuk penandatanganan dan tokenisasi simetris.  
Kunci HMAC KMS adalah kunci simetris. Saat membuat kunci HMAC KMS di AWS KMS konsol, pilih jenis `Symmetric` kunci.

**Gunakan dengan AWS layanan**  <a name="cmks-aws-service"></a>
Untuk membuat kunci KMS untuk digunakan dengan [AWS layanan yang terintegrasi dengan AWS KMS](service-integration.md), lihat dokumentasi untuk layanan tersebut. AWS layanan yang mengenkripsi data Anda memerlukan kunci [KMS enkripsi simetris](symm-asymm-choose-key-spec.md#symmetric-cmks).

Selain pertimbangan ini, operasi kriptografi pada kunci KMS dengan spesifikasi kunci yang berbeda memiliki harga yang berbeda dan kuota permintaan yang berbeda. Untuk informasi selengkapnya tentang harga AWS KMS , lihat [Harga AWS Key Management Service](https://aws.amazon.com/kms/pricing/). Untuk informasi selengkapnya tentang kuota permintaan, lihat [Kuota permintaan](requests-per-second.md).

# Buat kunci KMS enkripsi simetris
<a name="create-symmetric-cmk"></a>

Topik ini menjelaskan cara membuat kunci KMS dasar, kunci [KMS enkripsi simetris](symm-asymm-choose-key-spec.md#symmetric-cmks) untuk satu Wilayah dengan materi kunci dari. AWS KMS Anda dapat menggunakan kunci KMS ini untuk melindungi sumber daya Anda di file Layanan AWS.

[Anda dapat membuat kunci KMS enkripsi simetris di AWS KMS konsol, dengan menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API, atau dengan menggunakan template. AWS::KMS::Key CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) 

Spesifikasi kunci default, [SYMMETRIC\$1DEFAULT](symm-asymm-choose-key-spec.md#symmetric-cmks), adalah spesifikasi kunci untuk kunci KMS enkripsi simetris. Ketika Anda memilih jenis kunci **simetris** dan **Enkripsi dan dekripsi** penggunaan kunci di AWS KMS konsol, itu memilih spesifikasi kunci. `SYMMETRIC_DEFAULT` Dalam [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi, jika Anda tidak menentukan `KeySpec` nilai, SYMMETRIC\$1DEFAULT dipilih. Jika Anda tidak memiliki alasan untuk menggunakan spesifikasi kunci yang berbeda, SYMMETRIC\$1DEFAULT adalah pilihan yang tepat.

Untuk informasi tentang kuota yang berlaku untuk kunci KMS, lihat. [Kuota](limits.md)

## Menggunakan AWS KMS konsol
<a name="create-keys-console"></a>

Anda dapat menggunakan Konsol Manajemen AWS untuk membuat AWS KMS keys (kunci KMS).

**penting**  
Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.

1. Pilih **Buat kunci**.

1. **Untuk membuat kunci KMS enkripsi simetris, untuk **Key type** pilih Symmetric.**

1. Dalam **Penggunaan kunci**, opsi **Enkripsi dan dekripsi** dipilih untuk Anda.

1. Pilih **Berikutnya**.

1. Ketik alias untuk kunci KMS. Nama alias tidak dapat dimulai dengan **aws/**. **aws/**Awalan dicadangkan oleh Amazon Web Services untuk mewakili Kunci yang dikelola AWS di akun Anda.
**catatan**  
Menambahkan, menghapus, atau memperbarui alias dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat [ABAC untuk AWS KMS](abac.md) dan [Gunakan alias untuk mengontrol akses ke tombol KMS](alias-authorization.md).

    Alias adalah nama tampilan yang dapat Anda gunakan untuk mengidentifikasi kunci KMS. Kami menyarankan Anda memilih alias yang menunjukkan jenis data yang Anda rencanakan untuk dilindungi atau aplikasi yang Anda rencanakan untuk digunakan dengan kunci KMS. 

    

    Alias diperlukan saat Anda membuat kunci KMS di file. Konsol Manajemen AWS Mereka opsional saat Anda menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi. 

1. (Opsional) Ketik deskripsi untuk kunci KMS.

   Anda dapat menambahkan deskripsi sekarang atau memperbaruinya kapan saja kecuali [status kuncinya](key-state.md) adalah `Pending Deletion` atau`Pending Replica Deletion`. Untuk menambah, mengubah, atau menghapus deskripsi kunci terkelola pelanggan yang ada, edit deskripsi pada halaman detail untuk kunci KMS di Konsol Manajemen AWS atau gunakan [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)operasi.

1. (Opsional) Ketik kunci tanda dan nilai tanda opsional. Untuk menambahkan lebih dari satu tag ke tombol KMS, pilih **Tambah tag**.
**catatan**  
Menandai atau melepas tag kunci KMS dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat [ABAC untuk AWS KMS](abac.md) dan [Gunakan tag untuk mengontrol akses ke tombol KMS](tag-authorization.md).

   Saat Anda menambahkan tag ke AWS sumber daya Anda, AWS buat laporan alokasi biaya dengan penggunaan dan biaya yang dikumpulkan berdasarkan tag. Tag juga dapat digunakan untuk mengontrol akses ke kunci KMS. Untuk informasi tentang menandai kunci KMS, lihat [Tag di AWS KMS](tagging-keys.md) dan. [ABAC untuk AWS KMS](abac.md) 

1. Pilih **Berikutnya**.

1. Pilih pengguna IAM dan peran yang dapat mengelola kunci KMS.
**Catatan**  
Kebijakan kunci ini memberikan kontrol Akun AWS penuh atas kunci KMS ini. Ini memungkinkan administrator akun untuk menggunakan kebijakan IAM untuk memberikan izin kepada prinsipal lain untuk mengelola kunci KMS. Lihat perinciannya di [Kebijakan kunci default](key-policy-default.md).  
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensil jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.  
 AWS KMS Konsol menambahkan administrator kunci ke kebijakan kunci di bawah pengenal `"Allow access for Key Administrators"` pernyataan. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

1. (Opsional) Untuk mencegah pengguna dan peran IAM yang dipilih menghapus kunci KMS ini, di bagian **Penghapusan kunci** di bagian bawah halaman, kosongkan kotak centang **Izinkan administrator kunci untuk menghapus kunci** ini.

1. Pilih **Berikutnya**.

1. Pilih pengguna IAM dan peran yang dapat menggunakan kunci dalam operasi [kriptografi](kms-cryptography.md#cryptographic-operations)
**Catatan**  
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensil jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.  
 AWS KMS Konsol menambahkan pengguna kunci ke kebijakan kunci di bawah pengidentifikasi pernyataan `"Allow use of the key"` dan`"Allow attachment of persistent resources"`. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

1. (Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, di Akun AWS bagian **Lain** di bagian bawah halaman, pilih **Tambahkan yang lain Akun AWS** dan masukkan nomor Akun AWS identifikasi akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.
**catatan**  
Untuk mengizinkan prinsipal di akun eksternal menggunakan kunci KMS, Administrator akun eksternal harus membuat kebijakan IAM yang memberikan izin ini. Untuk informasi selengkapnya, lihat [Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS](key-policy-modifying-external-accounts.md).

1. Pilih **Berikutnya**.

1. Tinjau pernyataan kebijakan utama untuk kunci tersebut. Untuk membuat perubahan pada kebijakan utama, pilih **Edit**.

1. Pilih **Berikutnya**.

1. Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.

1. Pilih **Selesai** untuk membuat kunci KMS.

## Menggunakan AWS KMS API
<a name="create-keys-api"></a>

Anda dapat menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi untuk membuat semua AWS KMS keys jenis. Contoh-contoh ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/). Untuk contoh dalam beberapa bahasa pemrograman, lihat [Gunakan `CreateKey` dengan AWS SDK atau CLI](example_kms_CreateKey_section.md).

**penting**  
Jangan sertakan informasi rahasia atau sensitif di `Tags` bidang `Description` atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

Operasi berikut membuat kunci enkripsi simetris dalam satu Wilayah yang didukung oleh materi kunci yang dihasilkan oleh AWS KMS. Operasi ini tidak memiliki parameter yang diperlukan. Namun, Anda mungkin juga ingin menggunakan parameter `Policy` untuk menentukan kebijakan kunci. Anda dapat mengubah kebijakan kunci ([PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)) dan menambahkan elemen opsional, seperti [deskripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) dan [tag](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) kapan saja. Anda juga dapat membuat [kunci asimetris, kunci](asymm-create-key.md#create-asymmetric-keys-api) [multi-wilayah, kunci](create-primary-keys.md) dengan [bahan kunci impor](importing-keys-create-cmk.md#importing-keys-create-cmk-api), dan kunci di toko [kunci khusus](create-cmk-keystore.md#create-cmk-keystore-api). Untuk membuat kunci data untuk enkripsi sisi klien, gunakan operasi. [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)

`CreateKey`Operasi tidak memungkinkan Anda menentukan alias, tetapi Anda dapat menggunakan [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operasi untuk membuat alias untuk kunci KMS baru Anda.

Berikut ini adalah contoh panggilan ke operasi `CreateKey` tanpa parameter. Perintah ini menggunakan semua nilai default. Ini menciptakan kunci KMS enkripsi simetris dengan bahan kunci yang dihasilkan oleh. AWS KMS

```
$ aws kms create-key
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "MultiRegion": false
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
    }
}
```

Jika Anda tidak menentukan kebijakan kunci untuk kunci KMS baru, [kebijakan kunci default](key-policy-default.md) yang `CreateKey` berlaku berbeda dari kebijakan kunci default yang diterapkan konsol saat Anda menggunakannya untuk membuat kunci KMS baru. 

Misalnya, panggilan ke [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)operasi ini mengembalikan kebijakan kunci yang `CreateKey` berlaku. Ini memberikan Akun AWS akses ke kunci KMS dan memungkinkannya untuk membuat kebijakan AWS Identity and Access Management (IAM) untuk kunci KMS. Untuk informasi rinci tentang kebijakan IAM dan kebijakan utama untuk kunci KMS, lihat [Akses dan izin kunci KMS](control-access.md)

```
$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text
```

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id" : "key-default-1",
  "Statement" : [ {
    "Sid" : "EnableIAMUserPermissions",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : "kms:*",
    "Resource" : "*"
  } ]
}
```

------

# Buat kunci KMS asimetris
<a name="asymm-create-key"></a>

[Anda dapat membuat [kunci KMS asimetris](symmetric-asymmetric.md) di AWS KMS konsol, dengan menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API, atau dengan menggunakan template. AWS::KMS::Key CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) Kunci KMS asimetris mewakili key pair publik dan pribadi yang dapat digunakan untuk enkripsi, penandatanganan, atau menurunkan rahasia bersama. Kunci privat tetap ada di dalam AWS KMS. Untuk mengunduh kunci publik untuk digunakan di luar AWS KMS, lihat[Unduh kunci publik](download-public-key.md).

Saat Anda membuat kunci KMS asimetris, Anda harus memilih spesifikasi kunci. Seringkali spesifikasi kunci yang Anda pilih ditentukan oleh persyaratan peraturan, keamanan, atau bisnis. Mungkin juga dipengaruhi oleh ukuran pesan yang harus Anda enkripsi atau tanda tangani. Secara umum, kunci enkripsi yang lebih panjang lebih tahan terhadap serangan brutal. Untuk penjelasan rinci tentang semua spesifikasi utama yang didukung, lihat[Referensi spesifikasi kunci](symm-asymm-choose-key-spec.md).

AWS layanan yang terintegrasi dengan AWS KMS tidak mendukung kunci KMS asimetris. Jika Anda ingin membuat kunci KMS yang mengenkripsi data yang Anda simpan atau kelola dalam suatu AWS layanan, [buat kunci KMS enkripsi simetris](create-symmetric-cmk.md). 

Untuk informasi tentang izin yang diperlukan untuk membuat kunci KMS, lihat. [Izin untuk membuat kunci KMS](create-keys.md#create-key-permissions)

## Menggunakan AWS KMS konsol
<a name="create-asymmetric-keys-console"></a>

Anda dapat menggunakan tombol Konsol Manajemen AWS untuk membuat asimetris AWS KMS keys (tombol KMS). Setiap kunci KMS asimetris mewakili public dan private key pair.

**penting**  
Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.

1. Pilih **Buat kunci**.

1. **Untuk membuat kunci KMS asimetris, dalam **Key type,** pilih Asymmetric.**

1. Untuk membuat kunci KMS asimetris untuk enkripsi kunci publik, dalam **penggunaan Kunci**, pilih **Enkripsi dan dekripsi**. 

   **Untuk membuat kunci KMS asimetris untuk menandatangani pesan dan memverifikasi tanda tangan, dalam **Penggunaan kunci**, pilih Masuk dan verifikasi.**

   **Untuk membuat kunci KMS asimetris untuk mendapatkan rahasia bersama, dalam **penggunaan Kunci**, pilih Perjanjian kunci.**

   Untuk bantuan memilih nilai penggunaan kunci, lihat [Memilih jenis kunci KMS apa yang akan dibuat](create-keys.md#symm-asymm-choose).

1. Pilih spesifikasi (**Spesifikasi kunci**) untuk kunci KMS asimetris Anda. 

1. Pilih **Berikutnya**.

1. Ketik [alias](kms-alias.md) untuk kunci KMS. Nama alias tidak dapat dimulai dengan **aws/**. **aws/**Awalan dicadangkan oleh Amazon Web Services untuk mewakili Kunci yang dikelola AWS di akun Anda.

   *Alias* adalah nama ramah yang dapat Anda gunakan untuk mengidentifikasi kunci KMS di konsol dan beberapa. AWS KMS APIs Kami menyarankan Anda memilih alias yang menunjukkan jenis data yang Anda rencanakan untuk dilindungi atau aplikasi yang Anda rencanakan untuk digunakan dengan kunci KMS. 

   Alias diperlukan saat Anda membuat kunci KMS di file. Konsol Manajemen AWS Anda tidak dapat menentukan alias ketika Anda menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi, tetapi Anda dapat menggunakan konsol atau [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operasi untuk membuat alias untuk kunci KMS yang ada. Lihat perinciannya di [Alias di AWS KMS](kms-alias.md).

1. (Opsional) Ketik deskripsi untuk kunci KMS.

   Masukkan deskripsi yang menjelaskan jenis data yang Anda rencanakan untuk dilindungi atau aplikasi yang Anda rencanakan untuk digunakan dengan kunci KMS.

   Anda dapat menambahkan deskripsi sekarang atau memperbaruinya kapan saja kecuali [status kuncinya](key-state.md) adalah `Pending Deletion` atau`Pending Replica Deletion`. Untuk menambah, mengubah, atau menghapus deskripsi kunci terkelola pelanggan yang ada, edit deskripsi pada halaman detail untuk kunci KMS di Konsol Manajemen AWS atau gunakan [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)operasi.

1. (Opsional) Ketik kunci tanda dan nilai tanda opsional. Untuk menambahkan lebih dari satu tag ke tombol KMS, pilih **Tambah tag**.

   Saat Anda menambahkan tag ke AWS sumber daya Anda, AWS buat laporan alokasi biaya dengan penggunaan dan biaya yang dikumpulkan berdasarkan tag. Tag juga dapat digunakan untuk mengontrol akses ke kunci KMS. Untuk informasi tentang menandai kunci KMS, lihat [Tag di AWS KMS](tagging-keys.md) dan. [ABAC untuk AWS KMS](abac.md) 

1. Pilih **Berikutnya**.

1. Pilih pengguna IAM dan peran yang dapat mengelola kunci KMS.
**Catatan**  
Kebijakan kunci ini memberikan kontrol Akun AWS penuh atas kunci KMS ini. Ini memungkinkan administrator akun untuk menggunakan kebijakan IAM untuk memberikan izin kepada prinsipal lain untuk mengelola kunci KMS. Lihat perinciannya di [Kebijakan kunci default](key-policy-default.md).  
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensil jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.  
 AWS KMS Konsol menambahkan administrator kunci ke kebijakan kunci di bawah pengenal `"Allow access for Key Administrators"` pernyataan. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

1. (Opsional) Untuk mencegah pengguna dan peran IAM yang dipilih menghapus kunci KMS ini, di bagian **Penghapusan kunci** di bagian bawah halaman, kosongkan kotak centang **Izinkan administrator kunci untuk menghapus kunci** ini.

1. Pilih **Berikutnya**.

1. Pilih pengguna IAM dan peran yang dapat menggunakan kunci KMS untuk operasi [kriptografi](kms-cryptography.md#cryptographic-operations).
**Catatan**  
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensil jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.  
 AWS KMS Konsol menambahkan pengguna kunci ke kebijakan kunci di bawah pengidentifikasi pernyataan `"Allow use of the key"` dan`"Allow attachment of persistent resources"`. Memodifikasi pengidentifikasi pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

1. (Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, dalam bagian **Lainnya Akun AWS** di bawah halaman, pilih **Tambahkan Akun AWS lain** dan masukkan nomor identifikasi Akun AWS akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.
**catatan**  
Untuk mengizinkan prinsipal di akun eksternal menggunakan kunci KMS, administrator akun eksternal harus membuat kebijakan IAM yang memberikan izin ini. Untuk informasi selengkapnya, lihat [Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS](key-policy-modifying-external-accounts.md).

1. Pilih **Berikutnya**.

1. Tinjau pernyataan kebijakan utama untuk kunci tersebut. Untuk membuat perubahan pada kebijakan utama, pilih **Edit**.

1. Pilih **Berikutnya**.

1. Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.

1. Pilih **Selesai** untuk membuat kunci KMS.

## Menggunakan AWS KMS API
<a name="create-asymmetric-keys-api"></a>

Anda dapat menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi untuk membuat asimetris AWS KMS key. Contoh-contoh ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Saat Anda membuat kunci KMS asimetris, Anda harus menentukan `KeySpec` parameter, yang menentukan jenis kunci yang Anda buat. Juga, Anda harus menentukan `KeyUsage` nilai ENCRYPT\$1DECRYPT, SIGN\$1VERIFY, atau KEY\$1AGREEMENT. Anda tidak dapat mengubah properti ini setelah kunci KMS dibuat.

`CreateKey`Operasi tidak memungkinkan Anda menentukan alias, tetapi Anda dapat menggunakan [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operasi untuk membuat alias untuk kunci KMS baru Anda.

**penting**  
Jangan sertakan informasi rahasia atau sensitif di `Tags` bidang `Description` atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

**Buat key pair KMS asimetris untuk enkripsi publik**  
Contoh berikut menggunakan `CreateKey` operasi untuk membuat kunci KMS asimetris dari kunci RSA 4096-bit yang dirancang untuk enkripsi kunci publik.

```
$ aws kms create-key --key-spec RSA_4096 --key-usage ENCRYPT_DECRYPT
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1569973196.214,
        "MultiRegion": false,
        "KeySpec": "RSA_4096",
        "CustomerMasterKeySpec": "RSA_4096",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "EncryptionAlgorithms": [
            "RSAES_OAEP_SHA_1",
            "RSAES_OAEP_SHA_256"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}
```

**Buat key pair KMS asimetris untuk penandatanganan dan verifikasi**  
Contoh perintah berikut membuat kunci KMS asimetris yang mewakili sepasang kunci ECC yang digunakan untuk penandatanganan dan verifikasi. Anda tidak dapat membuat pasangan kunci kurva elips untuk enkripsi dan dekripsi.

```
$ aws kms create-key --key-spec ECC_NIST_P521 --key-usage SIGN_VERIFY
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1570824817.837,
        "Origin": "AWS_KMS",
        "SigningAlgorithms": [
            "ECDSA_SHA_512"
        ],
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "AWSAccountId": "111122223333",
        "KeySpec": "ECC_NIST_P521",
        "CustomerMasterKeySpec": "ECC_NIST_P521",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Enabled": true,
        "MultiRegion": false,
        "KeyUsage": "SIGN_VERIFY"
    }
}
```

**Buat key pair KMS asimetris untuk mendapatkan rahasia bersama**  
Contoh perintah berikut membuat kunci KMS asimetris yang mewakili sepasang kunci ECDH yang digunakan untuk menurunkan rahasia bersama. Anda tidak dapat membuat pasangan kunci kurva elips untuk enkripsi dan dekripsi.

```
$ aws kms create-key --key-spec ECC_NIST_P256 --key-usage KEY_AGREEMENT
{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": "2023-12-27T19:10:15.063000+00:00",
        "Enabled": true,
        "Description": "",
        "KeyUsage": "KEY_AGREEMENT",
        "KeyState": "Enabled",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "ECC_NIST_P256",
        "KeySpec": "ECC_NIST_P256",
        "KeyAgreementAlgorithms": [
            "ECDH"
        ],
        "MultiRegion": false
    }
}
```

# Buat kunci HMAC KMS
<a name="hmac-create-key"></a>

[Anda dapat membuat kunci HMAC KMS di AWS KMS konsol, dengan menggunakan [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API, atau dengan menggunakan template. AWS::KMS::Key CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html)

Saat Anda membuat kunci HMAC KMS, Anda harus memilih spesifikasi kunci. AWS KMS mendukung beberapa [spesifikasi kunci untuk kunci HMAC KMS](symm-asymm-choose-key-spec.md#hmac-key-specs). Spesifikasi kunci yang Anda pilih mungkin ditentukan oleh peraturan, keamanan, atau persyaratan bisnis. Secara umum, kunci yang lebih panjang lebih tahan terhadap serangan brute-force.

Untuk informasi tentang izin yang diperlukan untuk membuat kunci KMS, lihat. [Izin untuk membuat kunci KMS](create-keys.md#create-key-permissions)

## Menggunakan AWS KMS konsol
<a name="create-hmac-key-console"></a>

Anda dapat menggunakan tombol Konsol Manajemen AWS untuk membuat kunci HMAC KMS. Kunci HMAC KMS adalah kunci simetris dengan penggunaan kunci **Hasilkan dan** verifikasi MAC. Anda juga dapat membuat kunci HMAC Multi-wilayah. 

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.

1. Pilih **Buat kunci**.

1. Untuk **Tipe Kunci**, pilih **Simetris**.

   Kunci HMAC KMS simetris. Anda menggunakan kunci yang sama untuk menghasilkan dan memverifikasi tag HMAC.

1. Untuk **penggunaan Kunci**, pilih **Hasilkan dan verifikasi MAC**.

   Menghasilkan dan memverifikasi MAC adalah satu-satunya penggunaan kunci yang valid untuk kunci HMAC KMS.
**catatan**  
**Penggunaan kunci** ditampilkan untuk kunci simetris hanya jika kunci HMAC KMS didukung di Wilayah yang Anda pilih.

1. Pilih spesifikasi (**Spesifikasi kunci**) untuk kunci HMAC KMS Anda. 

   Spesifikasi kunci yang Anda pilih dapat ditentukan oleh peraturan, keamanan, atau persyaratan bisnis. Secara umum, kunci yang lebih panjang lebih aman.

1. Untuk membuat kunci HMAC *utama* [Multi-wilayah](multi-region-keys-overview.md), di **Opsi lanjutan**, pilih kunci **Multi-Region**. [Properti bersama](multi-region-keys-overview.md#mrk-sync-properties) yang Anda tentukan untuk kunci KMS ini, seperti jenis kunci dan penggunaan kunci, akan dibagikan dengan kunci replika.

   Anda tidak dapat menggunakan prosedur ini untuk membuat kunci replika. Untuk membuat kunci HMAC *replika* Multi-wilayah, ikuti [petunjuk untuk membuat kunci replika](multi-region-keys-replicate.md).

1. Pilih **Berikutnya**.

1. Masukkan [alias](kms-alias.md) untuk tombol KMS. Nama alias tidak dapat dimulai dengan **aws/**. **aws/**Awalan dicadangkan oleh Amazon Web Services untuk mewakili Kunci yang dikelola AWS di akun Anda.

   Kami menyarankan Anda menggunakan alias yang mengidentifikasi kunci KMS sebagai kunci HMAC, seperti. `HMAC/test-key` Ini akan memudahkan Anda untuk mengidentifikasi kunci HMAC Anda di AWS KMS konsol tempat Anda dapat mengurutkan dan memfilter kunci berdasarkan tag dan alias, tetapi tidak berdasarkan spesifikasi kunci atau penggunaan kunci.

   Alias diperlukan saat Anda membuat kunci KMS di file. Konsol Manajemen AWS Anda tidak dapat menentukan alias ketika Anda menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi, tetapi Anda dapat menggunakan konsol atau [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operasi untuk membuat alias untuk kunci KMS yang ada. Lihat perinciannya di [Alias di AWS KMS](kms-alias.md).

1. (Opsional) Masukkan deskripsi untuk tombol KMS.

   Masukkan deskripsi yang menjelaskan jenis data yang Anda rencanakan untuk dilindungi atau aplikasi yang Anda rencanakan untuk digunakan dengan kunci KMS.

   Anda dapat menambahkan deskripsi sekarang atau memperbaruinya kapan saja kecuali [status kuncinya](key-state.md) adalah `Pending Deletion` atau`Pending Replica Deletion`. Untuk menambah, mengubah, atau menghapus deskripsi kunci terkelola pelanggan yang ada, edit deskripsi pada halaman detail untuk kunci KMS di Konsol Manajemen AWS dalam Konsol Manajemen AWS atau menggunakan [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)operasi.

1. (Opsional) Masukkan kunci tag dan nilai tag opsional. Untuk menambahkan lebih dari satu tag ke tombol KMS, pilih **Tambah tag**.

   Pertimbangkan untuk menambahkan tag yang mengidentifikasi kunci sebagai kunci HMAC, seperti. `Type=HMAC` Ini akan memudahkan Anda untuk mengidentifikasi kunci HMAC Anda di AWS KMS konsol tempat Anda dapat mengurutkan dan memfilter kunci berdasarkan tag dan alias, tetapi tidak berdasarkan spesifikasi kunci atau penggunaan kunci.

   Saat Anda menambahkan tag ke AWS sumber daya Anda, AWS buat laporan alokasi biaya dengan penggunaan dan biaya yang dikumpulkan berdasarkan tag. Tag juga dapat digunakan untuk mengontrol akses ke kunci KMS. Untuk informasi tentang menandai kunci KMS, lihat [Tag di AWS KMS](tagging-keys.md) dan. [ABAC untuk AWS KMS](abac.md) 

1. Pilih **Berikutnya**.

1. Pilih pengguna IAM dan peran yang dapat mengelola kunci KMS.
**Catatan**  
Kebijakan kunci ini memberikan kontrol Akun AWS penuh atas kunci KMS ini. Ini memungkinkan administrator akun untuk menggunakan kebijakan IAM untuk memberikan izin kepada prinsipal lain untuk mengelola kunci KMS. Lihat perinciannya di [Kebijakan kunci default](key-policy-default.md).  
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.  
 AWS KMS Konsol menambahkan administrator kunci ke kebijakan kunci di bawah pengenal `"Allow access for Key Administrators"` pernyataan. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

1. (Opsional) Untuk mencegah pengguna dan peran IAM yang dipilih menghapus kunci KMS ini, di bagian **Penghapusan kunci** di bagian bawah halaman, kosongkan kotak centang **Izinkan administrator kunci untuk menghapus kunci** ini.

1. Pilih **Berikutnya**.

1. Pilih pengguna IAM dan peran yang dapat menggunakan kunci KMS untuk operasi [kriptografi](kms-cryptography.md#cryptographic-operations).
**Catatan**  
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.  
 AWS KMS Konsol menambahkan pengguna kunci ke kebijakan kunci di bawah pengidentifikasi pernyataan `"Allow use of the key"` dan`"Allow attachment of persistent resources"`. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

1. (Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, dalam bagian **Lainnya Akun AWS** di bawah halaman, pilih **Tambahkan Akun AWS lain** dan masukkan nomor identifikasi Akun AWS akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.
**catatan**  
Untuk mengizinkan prinsipal di akun eksternal menggunakan kunci KMS, Administrator akun eksternal harus membuat kebijakan IAM yang memberikan izin ini. Untuk informasi selengkapnya, lihat [Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS](key-policy-modifying-external-accounts.md).

1. Pilih **Berikutnya**.

1. Tinjau pernyataan kebijakan utama untuk kunci tersebut. Untuk membuat perubahan pada kebijakan utama, pilih **Edit**.

1. Pilih **Berikutnya**.

1. Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.

1. Pilih **Selesai** untuk membuat kunci HMAC KMS.

## Menggunakan AWS KMS API
<a name="create-keys-api"></a>

Anda dapat menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi untuk membuat kunci HMAC KMS. Contoh-contoh ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Saat Anda membuat kunci HMAC KMS, Anda harus menentukan `KeySpec` parameter, yang menentukan jenis kunci KMS. Selain itu, Anda harus menentukan `KeyUsage` nilai GENERATE\$1VERIFY\$1MAC, meskipun itu satu-satunya nilai penggunaan kunci yang valid untuk kunci HMAC. Untuk membuat kunci [Multi-region](multi-region-keys-overview.md) HMAC KMS, tambahkan `MultiRegion` parameter dengan nilai. `true` Anda tidak dapat mengubah properti ini setelah kunci KMS dibuat. 

`CreateKey`Operasi tidak memungkinkan Anda menentukan alias, tetapi Anda dapat menggunakan [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operasi untuk membuat alias untuk kunci KMS baru Anda. Kami menyarankan Anda menggunakan alias yang mengidentifikasi kunci KMS sebagai kunci HMAC, seperti. `HMAC/test-key` Ini akan memudahkan Anda untuk mengidentifikasi kunci HMAC Anda di AWS KMS konsol tempat Anda dapat mengurutkan dan memfilter kunci berdasarkan alias, tetapi tidak berdasarkan spesifikasi kunci atau penggunaan kunci.

Jika Anda mencoba untuk membuat kunci HMAC KMS Wilayah AWS di mana kunci HMAC tidak didukung, operasi mengembalikan `CreateKey` `UnsupportedOperationException`

Contoh berikut menggunakan `CreateKey` operasi untuk membuat kunci KMS HMAC 512-bit.

```
$ aws kms create-key --key-spec HMAC_512 --key-usage GENERATE_VERIFY_MAC
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1669973196.214,
        "MultiRegion": false,
        "KeySpec": "HMAC_512",
        "CustomerMasterKeySpec": "HMAC_512",
        "KeyUsage": "GENERATE_VERIFY_MAC",
        "MacAlgorithms": [
            "HMAC_SHA_512"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}
```

# Buat kunci utama Multi-wilayah
<a name="create-primary-keys"></a>

Anda dapat membuat [kunci utama Multi-region](multi-region-keys-overview.md#mrk-primary-key) di AWS KMS konsol atau dengan menggunakan AWS KMS API. Anda dapat membuat kunci utama di Wilayah AWS mana saja yang AWS KMS mendukung kunci Multi-wilayah.

Untuk membuat kunci primer Multi-wilayah, prinsipal memerlukan [izin yang sama dengan yang](create-keys.md#create-key-permissions) mereka perlukan untuk membuat kunci KMS apa pun, termasuk CreateKey izin [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) dalam kebijakan IAM. Kepala sekolah juga membutuhkan [iam: CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) izin. Anda dapat menggunakan [kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type) condition key untuk mengizinkan atau menolak izin untuk membuat kunci utama Multi-region.

**catatan**  
Saat membuat kunci utama Multi-wilayah, pertimbangkan dengan cermat pengguna dan peran IAM yang Anda pilih untuk dikelola dan gunakan kunci tersebut. Kebijakan IAM dapat memberikan izin kepada pengguna dan peran IAM lainnya untuk mengelola kunci KMS.  
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.

## Menggunakan AWS KMS konsol
<a name="create-primary-console"></a>

Untuk membuat kunci utama Multi-region di AWS KMS konsol, gunakan proses yang sama yang akan Anda gunakan untuk membuat kunci KMS apa pun.. Anda memilih kunci multi-Wilayah di **Opsi lanjutan**. Untuk instruksi selengkapnya, lihat [Buat kunci KMS](create-keys.md).

**penting**  
Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.

1. Pilih **Buat kunci**.

1. Pilih jenis kunci [simetris atau asimetris](symmetric-asymmetric.md). Tombol simetris adalah default.

   Anda dapat membuat kunci simetris dan asimetris multi-wilayah, termasuk kunci KMS HMAC Multi-wilayah, yang simetris. 

1. Pilih penggunaan kunci Anda. **Enkripsi dan dekripsi adalah default**.

   Untuk bantuan, lihat[Buat kunci KMS](create-keys.md),[Buat kunci KMS asimetris](asymm-create-key.md), atau[Buat kunci HMAC KMS](hmac-create-key.md).

1. Perluas **Opsi lanjutan**.

1. Di bawah **Key material origin**, untuk AWS KMS menghasilkan materi kunci yang akan dibagikan kunci utama dan replika Anda, pilih **KMS**. Jika Anda [mengimpor materi kunci ke kunci](importing-keys-create-cmk.md) primer dan replika, pilih **Eksternal (Impor bahan kunci**). 

1. Di bawah **Regionalitas**, pilih **Multi-Region** key.

   Anda tidak dapat mengubah pengaturan ini setelah Anda membuat kunci KMS. 

1. Ketik [alias](kms-alias.md) untuk kunci utama. 

   Alias bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika alias yang sama atau alias yang berbeda. AWS KMS tidak menyinkronkan alias kunci Multi-wilayah.
**catatan**  
Menambahkan, menghapus, atau memperbarui alias dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat [ABAC untuk AWS KMS](abac.md) dan [Gunakan alias untuk mengontrol akses ke tombol KMS](alias-authorization.md).

1. (Opsional) Ketik deskripsi kunci utama.

   Deskripsi bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika deskripsi yang sama atau deskripsi yang berbeda. AWS KMS tidak menyinkronkan deskripsi kunci kunci Multi-region.

1. (Opsional) Ketik kunci tanda dan nilai tanda opsional. Untuk menetapkan lebih dari satu tag ke kunci utama, pilih **Tambah tag**.

   Tag bukanlah properti bersama dari kunci multi-Wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika tag yang sama atau tag yang berbeda. AWS KMS tidak menyinkronkan tag kunci Multi-wilayah. Anda dapat mengubah tag pada tombol KMS kapan saja.
**catatan**  
Menandai atau melepas tag kunci KMS dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat [ABAC untuk AWS KMS](abac.md) dan [Gunakan tag untuk mengontrol akses ke tombol KMS](tag-authorization.md).

1. Pilih pengguna IAM dan peran yang dapat mengelola kunci utama.
**Catatan**  
Langkah ini memulai proses pembuatan [kebijakan kunci](key-policies.md) untuk kunci utama. Kebijakan utama bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika kebijakan kunci yang sama atau kebijakan kunci yang berbeda. AWS KMS tidak menyinkronkan kebijakan kunci kunci Multi-region. Anda dapat mengubah kebijakan kunci KMS kapan saja.
Saat membuat kunci primer Multi-wilayah, pertimbangkan untuk menggunakan [kebijakan kunci default](key-policy-default.md) yang dihasilkan oleh konsol. Jika Anda mengubah kebijakan ini, konsol tidak akan memberikan langkah-langkah untuk memilih administrator kunci dan pengguna saat membuat kunci replika, juga tidak akan menambahkan pernyataan kebijakan terkait. Akibatnya, Anda harus menambahkan ini secara manual.
 AWS KMS Konsol menambahkan administrator kunci ke kebijakan kunci di bawah pengenal `"Allow access for Key Administrators"` pernyataan. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

1. (Opsional) Untuk mencegah pengguna dan peran IAM yang dipilih menghapus kunci KMS ini, di bagian **Penghapusan kunci** di bagian bawah halaman, kosongkan kotak centang **Izinkan administrator kunci untuk menghapus kunci** ini.

1. Pilih **Berikutnya**.

1. Pilih pengguna IAM dan peran yang dapat menggunakan kunci KMS untuk operasi [kriptografi](kms-cryptography.md#cryptographic-operations).
**Catatan**  
 AWS KMS Konsol menambahkan pengguna kunci ke kebijakan kunci di bawah pengidentifikasi pernyataan `"Allow use of the key"` dan`"Allow attachment of persistent resources"`. Memodifikasi pengidentifikasi pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

1. (Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, dalam bagian **Lainnya Akun AWS** di bawah halaman, pilih **Tambahkan Akun AWS lain** dan masukkan nomor identifikasi Akun AWS akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.
**catatan**  
Untuk mengizinkan prinsipal di akun eksternal menggunakan kunci KMS, Administrator akun eksternal harus membuat kebijakan IAM yang memberikan izin ini. Untuk informasi selengkapnya, lihat [Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS](key-policy-modifying-external-accounts.md).

1. Pilih **Berikutnya**.

1. Tinjau pernyataan kebijakan utama untuk kunci tersebut. Untuk membuat perubahan pada kebijakan utama, pilih **Edit**.

1. Pilih **Berikutnya**.

1. Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.

1. Pilih **Selesai** untuk membuat kunci utama Multi-wilayah.

## Menggunakan AWS KMS API
<a name="create-primary-api"></a>

Untuk membuat kunci primer Multi-wilayah, gunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi. Gunakan parameter `MultiRegion` dengan nilai `True`.

Misalnya, perintah berikut membuat kunci utama Multi-region di pemanggil ( Wilayah AWS us-east-1). Ia menerima nilai default untuk semua properti lainnya, termasuk kebijakan kunci. Nilai default untuk kunci primer Multi-region sama dengan nilai default untuk semua kunci KMS lainnya, termasuk kebijakan [kunci default](key-policy-default.md). Prosedur ini menciptakan kunci enkripsi simetris, kunci KMS default. 

Tanggapan meliputi elemen `MultiRegion` dan elemen `MultiRegionConfiguration` dengan sub-elemen khas dan nilai untuk kunci primer multi-Wilayah tanpa kunci replika. [ID kunci](concepts.md#key-id-key-id) dari kunci multi-wilayah selalu dimulai dengan `mrk-`.

**penting**  
Jangan sertakan informasi rahasia atau sensitif di `Tags` bidang `Description` atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

```
$ aws kms create-key --multi-region
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1606329032.475,
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": { 
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [ ]
      }
    }
}
```

# Buat kunci replika Multi-wilayah
<a name="multi-region-keys-replicate"></a>

[Anda dapat membuat [kunci replika Multi-region](multi-region-keys-overview.md#mrk-primary-key) di AWS KMS konsol, dengan menggunakan [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)operasi, atau dengan menggunakan template. AWS::KMS::ReplicaKey CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-replicakey.html) Anda tidak dapat menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi untuk membuat kunci replika.

[Anda dapat menggunakan prosedur ini untuk mereplikasi kunci utama Multi-region, termasuk kunci KMS [enkripsi simetris, kunci KMS](symm-asymm-choose-key-spec.md#symmetric-cmks)[asimetris, atau kunci KMS HMAC](symmetric-asymmetric.md).](hmac.md)

Ketika operasi ini selesai, kunci replika baru memiliki [status kunci](key-state.md) sementara dari `Creating`. Status kunci ini berubah menjadi `Enabled` (atau `PendingImport` jika Anda membuat kunci Multi-wilayah dengan [materi kunci yang diimpor](importing-keys.md)) setelah beberapa detik saat proses pembuatan kunci replika baru selesai. Sementara status kunci adalah `Creating`, Anda dapat mengelola kunci, tetapi Anda belum bisa menggunakannya dalam operasi kriptografi. Jika Anda membuat dan menggunakan kunci replika secara terprogram, coba lagi `KMSInvalidStateException` atau panggil [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)untuk memeriksa `KeyState` nilainya sebelum menggunakannya. 

Jika Anda salah menghapus kunci replika, Anda dapat menggunakan prosedur ini untuk membuatnya kembali. Jika Anda mereplikasi kunci utama yang sama di Wilayah yang sama, kunci replika baru yang Anda buat akan memiliki [properti bersama](multi-region-keys-overview.md#mrk-sync-properties) yang sama dengan kunci replika asli.

**penting**  
Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

Untuk menggunakan AWS CloudFormation template untuk membuat kunci replika, lihat [AWS::KMS::ReplicaKey](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-replicakey.html)di *Panduan AWS CloudFormation Pengguna*.

## Langkah 1: Pilih Wilayah replika
<a name="replica-region"></a>

Anda biasanya memilih untuk mereplikasi kunci Multi-wilayah menjadi Wilayah AWS berdasarkan model bisnis dan persyaratan peraturan Anda. Misalnya, Anda mungkin mereplikasi kunci ke Wilayah di mana Anda menyimpan sumber daya Anda. Atau, untuk memenuhi persyaratan pemulihan bencana, Anda mungkin mereplikasi kunci ke Wilayah yang jauh secara geografis. 

Berikut ini adalah AWS KMS persyaratan untuk Wilayah replika. Jika Wilayah yang Anda pilih tidak sesuai dengan persyaratan ini, upaya untuk mereplikasi kunci gagal.
+ **Satu kunci multi-wilayah terkait per Wilayah** — Anda tidak dapat membuat kunci replika di Wilayah yang sama dengan kunci primernya, atau di Wilayah yang sama dengan replika kunci primer lainnya.

  Jika Anda mencoba mereplikasi kunci utama di Wilayah yang sudah memiliki replika kunci utama itu, upaya gagal. Jika kunci replika saat ini di Wilayah berada dalam [status `PendingDeletion` kunci](key-state.md), Anda dapat [membatalkan penghapusan kunci replika](deleting-keys-scheduling-key-deletion.md) atau menunggu hingga kunci replika dihapus.
+ **Beberapa kunci multi-wilayah yang tidak terkait di Wilayah yang sama** — Anda dapat memiliki beberapa kunci multi-Wilah yang tidak terkait di Wilayah yang sama. Misalnya, Anda dapat memiliki dua kunci primer multi-Wilayah di Wilayah `us-east-1`. Masing-masing kunci primer dapat memiliki kunci replika di Wilayah `us-west-2`.
+ **Wilayah di partisi yang sama** — Kunci replika Wilayah harus berada di [partisi AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) yang sama dengan kunci primer Wilayah.
+ **Wilayah harus diaktifkan** — Jika Wilayah [dinonaktifkan secara default](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable), Anda tidak dapat membuat sumber daya apa pun di Wilayah tersebut sampai Wilayah diaktifkan untuk Akun AWS Anda. 

## Langkah 2: Buat kunci replika
<a name="create-replica-keys"></a>

**catatan**  
Saat membuat kunci replika, pertimbangkan dengan cermat pengguna dan peran IAM yang Anda pilih untuk dikelola dan gunakan tombol replika. Kebijakan IAM dapat memberikan izin kepada pengguna dan peran IAM lainnya untuk mengelola kunci KMS.  
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.

### Menggunakan AWS KMS konsol
<a name="replicate-console"></a>

Di AWS KMS konsol, Anda dapat membuat satu atau banyak replika kunci utama Multi-wilayah dalam operasi yang sama. 

Prosedur ini mirip dengan membuat kunci KMS wilayah tunggal standar di konsol. Namun, karena kunci replika didasarkan pada kunci primer, Anda tidak memilih nilai untuk [properti bersama](multi-region-keys-overview.md#mrk-sync-properties), seperti spesifikasi kunci (simetris atau asimetris), penggunaan kunci, atau asal kunci. 

Anda menentukan properti yang tidak dibagi, termasuk alias, tanda, deskripsi, dan kebijakan kunci. Sebagai kenyamanan, konsol tersebut menampilkan nilai properti saat ini dari kunci primer, namun Anda dapat mengubahnya. Bahkan jika Anda menyimpan nilai kunci primer, AWS KMS tidak menjaga nilai-nilai ini disinkronkan.

**penting**  
Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.

1. Pilih ID kunci atau alias dari [kunci primer multi-Wilayah](multi-region-keys-overview.md#mrk-primary-key). Ini membuka halaman detail kunci untuk kunci KMS.

   Untuk mengidentifikasi kunci primer multi-Wilayah, gunakan ikon alat di sudut kanan atas untuk menambahkan kolom **Regionalitas** ke tabel.

1. Pilih tab **Regionalitas**.

1. Pada bagian **Kunci multi-Wilayah yang terkait**, pilih **Buat kunci replika baru**.

   Bagian **Kunci multi-Wilayah yang terkait** menampilkan wilayah kunci primer dan kunci replika. Anda dapat menggunakan tampilan ini untuk membantu Anda memilih Wilayah untuk kunci replika baru Anda.

1. Pilih satu atau lebih Wilayah AWS. Prosedur ini membuat kunci replika di masing-masing Wilayah yang Anda pilih. 

   Menu hanya mencakup Wilayah di AWS partisi yang sama dengan kunci utama. Wilayah yang sudah memiliki kunci multi-Wilayah terkait ditampilkan, tetapi tidak dapat dipilih. Anda mungkin tidak memiliki izin untuk mereplikasi kunci ke semua Wilayah pada menu.

   Setelah selesai memilih Wilayah, tutup menu. Wilayah yang Anda pilih akan ditampilkan. Untuk membatalkan replikasi ke Wilayah, pilih **X** di samping nama Wilayah.

1. Ketik [alias](kms-alias.md) untuk kunci replika. 

   Konsol tersebut menampilkan salah satu alias kunci primer saat ini, namun Anda dapat mengubahnya. Anda dapat memberikan kunci utama Multi-wilayah dan replika alias yang sama atau alias yang berbeda. Alias bukan [properti bersama kunci](multi-region-keys-overview.md#mrk-sync-properties) Multi-wilayah. AWS KMS tidak menyinkronkan alias kunci Multi-wilayah.

   Menambahkan, menghapus, atau memperbarui alias dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat [ABAC untuk AWS KMS](abac.md) dan [Gunakan alias untuk mengontrol akses ke tombol KMS](alias-authorization.md).

1. (Opsional) Ketik deskripsi kunci replika.

   Konsol tersebut menampilkan deskripsi kunci primer saat ini, namun Anda dapat mengubahnya. Deskripsi bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika deskripsi yang sama atau deskripsi yang berbeda. AWS KMS tidak menyinkronkan deskripsi kunci kunci Multi-region.

1. (Opsional) Ketik kunci tanda dan nilai tanda opsional. Untuk menetapkan lebih dari satu tag ke kunci replika, pilih **Tambah** tag.

   Konsol tersebut menampilkan tanda yang saat ini terlampir pada kunci primer, tetapi Anda dapat mengubahnya. Tag bukanlah properti bersama dari kunci multi-Wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika tag yang sama atau tag yang berbeda. AWS KMS tidak menyinkronkan tag kunci Multi-wilayah. 

   Menandai atau melepas tag kunci KMS dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat [ABAC untuk AWS KMS](abac.md) dan [Gunakan tag untuk mengontrol akses ke tombol KMS](tag-authorization.md).

1. Pilih pengguna IAM dan peran yang dapat mengelola kunci replika.
**Catatan**  
 Jika Anda mengubah kebijakan kunci default saat membuat kunci primer Multi-wilayah, konsol tidak akan meminta Anda untuk memilih administrator kunci atau pengguna kunci (langkah 11-15) selama pembuatan kunci replika. Dalam hal ini, Anda harus menambahkan izin yang diperlukan secara manual untuk administrator kunci dan pengguna ke kebijakan kunci dengan memilih **Edit** di langkah **kebijakan kunci Edit** (Langkah 17).
Langkah ini memulai proses pembuatan [kebijakan kunci](key-policies.md) untuk kunci replika. Konsol tersebut menampilkan kebijakan kunci primer saat ini, namun Anda dapat mengubahnya. Kebijakan utama bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika kebijakan kunci yang sama atau kebijakan kunci yang berbeda. AWS KMS tidak menyinkronkan kebijakan utama. Anda dapat mengubah kebijakan kunci kunci KMS kapan saja.
 AWS KMS Konsol menambahkan administrator kunci ke kebijakan kunci di bawah pengenal `"Allow access for Key Administrators"` pernyataan. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

1. (Opsional) Untuk mencegah pengguna dan peran IAM yang dipilih menghapus kunci KMS ini, di bagian **Penghapusan kunci** di bagian bawah halaman, kosongkan kotak centang **Izinkan administrator kunci untuk menghapus kunci** ini.

1. Pilih **Berikutnya**.

1. Pilih pengguna IAM dan peran yang dapat menggunakan kunci KMS untuk operasi [kriptografi](kms-cryptography.md#cryptographic-operations).
**Catatan**  
 AWS KMS Konsol menambahkan pengguna kunci ke kebijakan kunci di bawah pengidentifikasi pernyataan `"Allow use of the key"` dan`"Allow attachment of persistent resources"`. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

1. (Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, dalam bagian **Lainnya Akun AWS** di bawah halaman, pilih **Tambahkan Akun AWS lain** dan masukkan nomor identifikasi Akun AWS akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.
**catatan**  
Untuk mengizinkan prinsipal di akun eksternal menggunakan kunci KMS, Administrator akun eksternal harus membuat kebijakan IAM yang memberikan izin ini. Untuk informasi selengkapnya, lihat [Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS](key-policy-modifying-external-accounts.md).

1. Pilih **Berikutnya**.

1. Tinjau pernyataan kebijakan utama untuk kunci tersebut. Untuk membuat perubahan pada kebijakan utama, pilih **Edit**.

1. Pilih **Berikutnya**.

1. Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.

1. Pilih **Selesai** untuk membuat kunci replika Multi-wilayah.

### Menggunakan AWS KMS API
<a name="replicate-api"></a>

Untuk membuat kunci replika Multi-wilayah, gunakan operasi. [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) Anda tidak dapat menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi untuk membuat kunci replika. Operasi ini menciptakan satu kunci replika pada satu waktu. Wilayah yang Anda tentukan harus mematuhi [Persyaratan wilayah](#replica-region) untuk kunci replika.

Ketika Anda menggunakan operasi `ReplicateKey`, Anda tidak menentukan nilai untuk [properti bersama](multi-region-keys-overview.md#mrk-sync-properties) kunci multi-Wilayah apa pun. Nilai properti bersama disalin dari kunci primer dan terus disinkronkan. Namun, Anda dapat menentukan nilai untuk properti yang tidak dibagi. Jika tidak, AWS KMS menerapkan nilai default standar untuk kunci KMS, bukan nilai kunci primer.

**catatan**  
Jika Anda tidak menentukan nilai untuk`Description`,`KeyPolicy`, atau `Tags` parameter, AWS KMS membuat kunci replika dengan deskripsi string kosong, [kebijakan kunci default](key-policy-default.md), dan tidak ada tag.  
Jangan sertakan informasi rahasia atau sensitif di `Tags` bidang `Description` atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

Misalnya, perintah berikut membuat kunci replika multi-Wilayah di Wilayah Asia Pacific (Sydney) (ap-southeast-2). Kunci replika ini dimodelkan pada kunci primer di Wilayah US East (N. Virginia) (us-east-1), yang diidentifikasi oleh nilai parameter `KeyId`. Contoh ini menerima nilai default untuk semua properti lainnya, termasuk kebijakan kunci.

Tanggapan menjelaskan kunci replika baru. Ini mencakup bidang untuk properti bersama, seperti`KeyId`,, `KeySpec``KeyUsage`, dan key material origin (`Origin`). Ini juga mencakup properti yang independen dari kunci primer, seperti `Description`, kebijakan kunci (`ReplicaKeyPolicy`), dan tanda (`ReplicaTags`). 

Tanggapan juga mencakup ARN kunci dan wilayah kunci primer serta semua kunci replikanya, termasuk salah satu yang baru saja dibuat di Wilayah ap-southeast-2. Dalam contoh ini, elemen `ReplicaKey` menunjukkan bahwa kunci primer ini sudah direplikasi di Wilayah Eropa (Irlandia) (eu-west-1).

```
$ aws kms replicate-key \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
    --replica-region ap-southeast-2
{
    "ReplicaKeyMetadata": {
        "MultiRegion": true,
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "REPLICA",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [
                {
                    "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "ap-southeast-2"
                },
                {
                    "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "eu-west-1"
                }
            ]
        },
        "AWSAccountId": "111122223333",
        "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1607472987.918,
        "Description": "",
        "Enabled": true,
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    },
    "ReplicaKeyPolicy": "{\n  \"Version\" : \"2012-10-17\",\n  \"Id\" : \"key-default-1\",...,
    "ReplicaTags": []
}
```

# Buat kunci KMS dengan materi kunci yang diimpor
<a name="importing-keys-conceptual"></a>

Materi kunci yang diimpor memungkinkan Anda melindungi AWS sumber daya Anda di bawah kunci kriptografi yang Anda hasilkan. Gambaran umum berikut menjelaskan cara mengimpor material kunci Anda ke dalam AWS KMS. Untuk detail selengkapnya tentang setiap langkah dalam proses, lihat topik yang sesuai.

1. [Buat kunci KMS tanpa bahan kunci](importing-keys-create-cmk.md) - Asal harus`EXTERNAL`. Asal kunci `EXTERNAL` menunjukkan bahwa kunci dirancang untuk bahan kunci impor dan AWS KMS mencegah menghasilkan bahan kunci untuk kunci KMS. Pada langkah selanjutnya Anda akan mengimpor materi kunci Anda sendiri ke dalam kunci KMS ini.

   Materi kunci yang Anda impor harus kompatibel dengan spesifikasi kunci AWS KMS kunci terkait. Untuk informasi selengkapnya tentang kompatibilitas, lihat[Persyaratan untuk bahan kunci impor](#importing-keys-material-requirements).

1. [Unduh kunci publik pembungkus dan token impor](importing-keys-get-public-key-and-token.md) — Setelah menyelesaikan langkah 1, unduh kunci publik pembungkus dan token impor. Barang-barang ini melindungi materi utama Anda saat diimpor AWS KMS.

   Pada langkah ini, Anda memilih jenis (“spesifikasi kunci”) dari kunci pembungkus RSA dan algoritma pembungkus yang akan Anda gunakan untuk mengenkripsi data Anda dalam perjalanan. AWS KMS Anda dapat memilih spesifikasi kunci pembungkus dan algoritma kunci pembungkus yang berbeda setiap kali Anda mengimpor atau mengimpor ulang materi kunci yang sama. 

1. [Enkripsi materi kunci](importing-keys-encrypt-key-material.md) — Gunakan kunci publik pembungkus yang Anda unduh di langkah 2 untuk mengenkripsi materi kunci yang Anda buat di sistem Anda sendiri.

1. [Mengimpor materi kunci](importing-keys-import-key-material.md) — Unggah material kunci terenkripsi yang Anda buat pada langkah 3 dan token impor yang Anda unduh di langkah 2.

   Pada tahap ini, Anda dapat [mengatur waktu kedaluwarsa opsional](importing-keys-import-key-material.md#importing-keys-expiration). Ketika materi kunci yang diimpor kedaluwarsa, AWS KMS menghapusnya, dan kunci KMS menjadi tidak dapat digunakan. Untuk terus menggunakan kunci KMS, Anda harus mengimpor ulang materi kunci yang **sama**.

   Ketika operasi impor selesai dengan sukses, status kunci kunci KMS berubah dari `PendingImport` ke. `Enabled` Anda sekarang dapat menggunakan kunci KMS dalam operasi kriptografi.

AWS KMS merekam entri di AWS CloudTrail log Anda saat Anda [membuat kunci KMS, mengunduh kunci](ct-createkey.md) [publik pembungkus dan token impor](ct-getparametersforimport.md), dan [mengimpor materi kunci](ct-importkeymaterial.md). AWS KMS juga mencatat entri saat Anda menghapus materi kunci yang diimpor atau saat AWS KMS [menghapus materi kunci yang kedaluwarsa](ct-deleteexpiredkeymaterial.md). 

## Izin untuk mengimpor material kunci
<a name="importing-keys-permissions"></a>

Untuk membuat dan mengelola kunci KMS dengan materi kunci yang diimpor, pengguna memerlukan izin untuk operasi dalam proses ini. Anda dapat memberikan`kms:GetParametersForImport`,`kms:ImportKeyMaterial`, dan `kms:DeleteImportedKeyMaterial` izin dalam kebijakan kunci saat membuat kunci KMS. Di AWS KMS konsol, izin ini ditambahkan secara otomatis untuk administrator kunci saat Anda membuat kunci dengan asal materi kunci **eksternal**.

Untuk membuat kunci KMS dengan bahan kunci yang diimpor, prinsipal memerlukan izin berikut.
+ [kms: CreateKey](customer-managed-policies.md#iam-policy-example-create-key) (kebijakan IAM)
  + Untuk membatasi izin ini ke kunci KMS dengan materi kunci impor, gunakan kondisi KeyOrigin kebijakan [kms:](conditions-kms.md#conditions-kms-key-origin) dengan nilai. `EXTERNAL`

    ```
    {
      "Sid": "CreateKMSKeysWithoutKeyMaterial",
      "Effect": "Allow",
      "Resource": "*",
      "Action": "kms:CreateKey",
      "Condition": {
        "StringEquals": {
          "kms:KeyOrigin": "EXTERNAL"
        }
      }
    }
    ```
+ [kms: GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) (Kebijakan utama atau kebijakan IAM)
  + Untuk membatasi izin ini pada permintaan yang menggunakan algoritme pembungkus tertentu dan spesifikasi kunci pembungkus, gunakan kondisi kebijakan [kms: WrappingAlgorithm dan [kms](conditions-kms.md#conditions-kms-wrapping-key-spec):](conditions-kms.md#conditions-kms-wrapping-algorithm). WrappingKeySpec 
+ [kms: ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html) (Kebijakan utama atau kebijakan IAM)
  + [Untuk mengizinkan atau melarang materi utama yang kedaluwarsa dan mengontrol tanggal kedaluwarsa, gunakan ketentuan kebijakan [kms: ExpirationModel dan kms:](conditions-kms.md#conditions-kms-expiration-model). ValidTo](conditions-kms.md#conditions-kms-valid-to)

Untuk mengimpor kembali materi kunci yang diimpor, prinsipal membutuhkan izin [kms: GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) dan [kms](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html):. ImportKeyMaterial

Untuk menghapus materi kunci yang diimpor, prinsipal membutuhkan DeleteImportedKeyMaterial izin [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html).

Misalnya, untuk memberikan `KMSAdminRole` izin contoh untuk mengelola semua aspek kunci KMS dengan materi kunci impor, sertakan pernyataan kebijakan kunci seperti berikut dalam kebijakan kunci KMS.

```
{
  "Sid": "Manage KMS keys with imported key material",
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole"
  },
  "Action": [
    "kms:GetParametersForImport",
    "kms:ImportKeyMaterial",
    "kms:DeleteImportedKeyMaterial"
  ]  
}
```

## Persyaratan untuk bahan kunci impor
<a name="importing-keys-material-requirements"></a>

Materi kunci yang Anda impor harus kompatibel dengan [spesifikasi kunci kunci](create-keys.md#key-spec) KMS terkait. Untuk pasangan kunci asimetris, impor hanya kunci pribadi dari pasangan. AWS KMS kunci publik berasal dari kunci privat.

AWS KMS mendukung spesifikasi kunci berikut untuk kunci KMS dengan bahan kunci yang diimpor.
+ **Kunci enkripsi simetris**
  + **Spesifikasi kunci:**
    + SYMMETRIC\$1DEFAULT.
  + **Persyaratan:**
    + 256-bit (32 byte) data biner.
    + Di Wilayah Tiongkok, itu harus berupa 128-bit (16 byte) data biner.
+ **Kunci HMAC**
  + **Spesifikasi utama:**
    + HMAC\$1224
    + HMAC\$1256
    + HMAC\$1384
    + HMAC\$1512
  + **Persyaratan:**
    + Materi kunci HMAC harus sesuai dengan [RFC](https://datatracker.ietf.org/doc/html/rfc2104) 2104.
    + Panjang kunci harus setidaknya panjang yang sama yang ditentukan oleh spesifikasi kunci. Panjang kunci maksimum adalah 1024-bit.
    + Jika materi kunci Anda melebihi 1024 bit, Anda dapat melakukan hash materi kunci dan mengimpor output hash. Algoritma hashing harus sesuai dengan spesifikasi kunci HMAC KMS yang Anda buat.
  + **Contoh:**
    + Untuk mengimpor 2048 bit material kunci ke dalam kunci HMAC\$1256, pertama-tama hitung hash SHA-256 dari bahan kunci 2048-bit, lalu impor output hash 256-bit yang dihasilkan ke kunci KMS.
  + **Panjang kunci yang valid:**
    + HMAC\$1224:224—1024 bit
    + HMAC\$1256:256—1024 bit
    + HMAC\$1384:384—1024 bit
    + HMAC\$1512:512—1024 bit
+ **Kunci pribadi asimetris RSA**
  + **Spesifikasi utama:**
    + RSA\$12048
    + RSA\$13072
    + RSA\$14096
  + **Persyaratan:**
    + [Kunci pribadi asimetris RSA yang Anda impor harus menjadi bagian dari key pair yang sesuai dengan RFC 3447.](https://datatracker.ietf.org/doc/html/rfc3447/)
    + **Modulus:** 2048 bit, 3072 bit atau 4096 bit
    + **Jumlah bilangan prima:** 2 (kunci RSA multi-prime tidak didukung)
    + [Materi kunci asimetris harus dikodekan BER atau dikodekan DER dalam format Public-Key Cryptography Standards (PKCS) \$18 yang sesuai dengan RFC 5208.](https://datatracker.ietf.org/doc/html/rfc5208)
+ **Kunci pribadi asimetris kurva elips**
  + **Spesifikasi utama:**
    + ECC\$1NIST\$1P256 (secp256r1)
    + ECC\$1NIST\$1P384 (secp384r1)
    + ECC\$1NIST\$1P521 (secp521r1)
    + ECC\$1SECG\$1P256K1 (secp256k1)
    + EDWARDS25519 ECC\$1NIST\$1 (ed25519)
  + **Persyaratan:**
    + [Kunci pribadi asimetris ECC yang Anda impor harus menjadi bagian dari key pair yang sesuai dengan RFC 5915.](https://datatracker.ietf.org/doc/html/rfc5915/)
    + **Kurva:** NIST P-256, NIST P-384, NIST P-521, SecP256K1, NIST Ed25519.
    + **Parameter:** Kurva bernama saja (kunci ECC dengan parameter eksplisit ditolak).
    + **Koordinat titik publik:** Dapat dikompresi, tidak dikompresi, atau proyektif.
    + [Materi kunci asimetris harus dikodekan BER atau dikodekan DER dalam format Public-Key Cryptography Standards (PKCS) \$18 yang sesuai dengan RFC 5208.](https://datatracker.ietf.org/doc/html/rfc5208)
+ **Kunci ML-DSA**
  + **Spesifikasi utama:**
    + ML\$1DSA\$144
    + ML\$1DSA\$165
    + ML\$1DSA\$187
**penting**  
Mengimpor kunci ML-DSA tidak didukung.
+ **SM2 kunci pribadi asimetris** (hanya Wilayah Tiongkok)
  + **Persyaratan:**
    + Kunci pribadi SM2 asimetris yang Anda impor harus menjadi bagian dari key pair yang sesuai dengan 0003. GM/T 
    + **Kurva:** SM2.
    + **Parameter:** Kurva bernama saja (SM2 kunci dengan parameter eksplisit ditolak).
    + **Koordinat titik publik:** Dapat dikompresi, tidak dikompresi, atau proyektif.
    + [Materi kunci asimetris harus dikodekan BER atau dikodekan DER dalam format Public-Key Cryptography Standards (PKCS) \$18 yang sesuai dengan RFC 5208.](https://datatracker.ietf.org/doc/html/rfc5208)

# Langkah 1: Buat materi AWS KMS key tanpa kunci
<a name="importing-keys-create-cmk"></a>

Secara default, AWS KMS buat materi kunci untuk Anda saat Anda membuat kunci KMS. Untuk mengimpor materi kunci Anda sendiri, mulailah dengan membuat kunci KMS tanpa materi kunci. Kemudian impor bahan kunci. Untuk membuat kunci KMS tanpa bahan kunci, gunakan AWS KMS konsol atau [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi.

Untuk membuat kunci tanpa bahan kunci, tentukan [asal](create-keys.md#key-origin)`EXTERNAL`. Properti asal kunci KMS tidak dapat diubah. Setelah Anda membuatnya, Anda tidak dapat mengonversi kunci KMS yang dirancang untuk materi kunci yang diimpor menjadi kunci KMS dengan bahan kunci dari AWS KMS atau sumber lainnya.

[Status kunci](key-state.md) dari kunci KMS dengan `EXTERNAL` asal dan tidak ada bahan kunci adalah`PendingImport`. Kunci KMS dapat tetap dalam `PendingImport` keadaan tanpa batas waktu. Namun, Anda tidak dapat menggunakan kunci KMS dalam `PendingImport` keadaan dalam operasi kriptografi. Saat Anda mengimpor materi kunci, status kunci kunci KMS berubah menjadi`Enabled`, dan Anda dapat menggunakannya dalam operasi kriptografi.

AWS KMS merekam peristiwa di AWS CloudTrail log Anda saat Anda [membuat kunci KMS, mengunduh kunci](ct-createkey.md) [publik dan token impor](ct-getparametersforimport.md), dan [mengimpor materi kunci](ct-importkeymaterial.md). AWS KMS juga mencatat CloudTrail peristiwa saat Anda [menghapus materi kunci yang diimpor atau saat AWS KMS menghapus materi kunci](ct-deleteimportedkeymaterial.md) [yang kedaluwarsa](ct-deleteexpiredkeymaterial.md).

**Topics**
+ [Membuat kunci KMS tanpa bahan kunci (konsol)](#importing-keys-create-cmk-console)
+ [Membuat kunci KMS tanpa materi kunci (AWS KMS API)](#importing-keys-create-cmk-api)

## Membuat kunci KMS tanpa bahan kunci (konsol)
<a name="importing-keys-create-cmk-console"></a>

Anda hanya perlu membuat kunci KMS untuk materi kunci yang diimpor sekali. Anda dapat mengimpor dan mengimpor kembali materi kunci yang sama ke kunci KMS yang ada sesering yang Anda butuhkan, tetapi Anda tidak dapat mengimpor materi kunci yang berbeda ke dalam kunci KMS. Lihat perinciannya di [Langkah 2: Unduh kunci publik pembungkus dan token impor](importing-keys-get-public-key-and-token.md).

Untuk menemukan kunci KMS yang ada dengan materi kunci yang diimpor di tabel **kunci yang dikelola Pelanggan** Anda, gunakan ikon roda gigi di sudut kanan atas untuk menampilkan kolom **Asal** dalam daftar kunci KMS. Kunci yang diimpor memiliki nilai **Asal** **Eksternal (Bahan Kunci Impor)**.

Untuk membuat kunci KMS dengan materi kunci impor, mulailah dengan mengikuti [petunjuk untuk membuat kunci KMS dari jenis kunci pilihan Anda](create-keys.md), dengan pengecualian berikut.

Setelah memilih penggunaan kunci, lakukan hal berikut:

1. Perluas **Opsi lanjutan**.

1. Untuk **asal bahan utama**, pilih **Eksternal (Impor bahan kunci)**.

1. Pilih kotak centang di sebelah **Saya memahami implikasi keamanan dan daya tahan menggunakan kunci impor** untuk menunjukkan bahwa Anda memahami implikasi penggunaan bahan kunci impor. Untuk membaca tentang implikasi ini, lihat [Melindungi material kunci yang diimpor](import-keys-protect.md).

1. **Opsional: Untuk membuat kunci [KMS Multi-wilayah dengan bahan kunci](multi-region-keys-overview.md) yang diimpor, di bawah **Regionalitas pilih Multi-Region** key.**

1. Kembali ke instruksi dasar. Langkah-langkah yang tersisa dari prosedur dasar adalah sama untuk semua kunci KMS dari jenis itu. 

Ketika Anda memilih **Selesai**, Anda telah membuat kunci KMS tanpa materi kunci dan status ([status kunci](key-state.md)) dari **impor Tertunda**. 

Namun, alih-alih kembali ke tabel **kunci terkelola Pelanggan**, konsol menampilkan halaman tempat Anda dapat mengunduh kunci publik dan mengimpor token yang Anda perlukan untuk mengimpor materi kunci Anda. Anda dapat melanjutkan dengan langkah download sekarang, atau pilih **Cancel** untuk berhenti pada titik ini. Anda dapat kembali ke langkah pengunduhan ini kapan saja.

Selanjutnya: [Langkah 2: Unduh kunci publik pembungkus dan token impor](importing-keys-get-public-key-and-token.md).

## Membuat kunci KMS tanpa materi kunci (AWS KMS API)
<a name="importing-keys-create-cmk-api"></a>

Untuk menggunakan [AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) untuk membuat kunci KMS enkripsi simetris tanpa bahan kunci, kirim [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)permintaan dengan `Origin` parameter yang disetel ke. `EXTERNAL` Contoh berikut ini menunjukkan cara melakukan dengan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/).

```
$ aws kms create-key --origin EXTERNAL
```

Ketika perintah berhasil, Anda melihat output yang serupa dengan berikut ini. AWS KMS Kuncinya `Origin` adalah `EXTERNAL` dan `KeyState` itu adalah`PendingImport`.

**Tip**  
Jika perintah tidak berhasil, Anda mungkin melihat a `KMSInvalidStateException` atau a`NotFoundException`. Anda dapat mencoba kembali permintaan tersebut.

```
{
    "KeyMetadata": {
        "Origin": "EXTERNAL",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "Enabled": false,
        "MultiRegion": false,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "PendingImport",
        "CreationDate": 1568289600.0,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}
```

Salin `KeyId` nilai dari output perintah Anda untuk digunakan di langkah selanjutnya, dan kemudian lanjutkan ke[Langkah 2: Unduh kunci publik pembungkus dan token impor](importing-keys-get-public-key-and-token.md).

**catatan**  
Perintah ini menciptakan kunci KMS enkripsi simetris dengan `KeySpec` dari `SYMMETRIC_DEFAULT` dan `KeyUsage` dari. `ENCRYPT_DECRYPT` Anda dapat menggunakan parameter opsional `--key-spec` dan `--key-usage` untuk membuat kunci KMS asimetris atau HMAC. Untuk informasi lebih lanjut, lihat [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi.

# Langkah 2: Unduh kunci publik pembungkus dan token impor
<a name="importing-keys-get-public-key-and-token"></a>

Setelah Anda [membuat materi AWS KMS key tanpa kunci](importing-keys-create-cmk.md), unduh kunci publik pembungkus dan token impor untuk kunci KMS tersebut dengan menggunakan AWS KMS konsol atau API. [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) Kunci publik pembungkus dan token impor adalah set tak terpisahkan yang harus digunakan bersama.

Anda akan menggunakan kunci publik pembungkus untuk [mengenkripsi materi utama Anda untuk transportasi](importing-keys-encrypt-key-material.md). [Sebelum mengunduh RSA wrapping key pair, Anda memilih length (key spec) dari RSA wrapping key pair dan algoritma wrapping yang akan Anda gunakan untuk mengenkripsi material kunci impor Anda untuk diangkut pada langkah 3.](importing-keys-encrypt-key-material.md) AWS KMS juga mendukung spesifikasi kunci SM2 pembungkus (hanya Wilayah Tiongkok).

Setiap pembungkus kunci publik dan set token impor berlaku selama 24 jam. Jika Anda tidak menggunakannya untuk mengimpor materi kunci dalam waktu 24 jam setelah mengunduhnya, Anda harus mengunduh set baru. Anda dapat mengunduh kunci publik pembungkus baru dan mengimpor set token kapan saja. Ini memungkinkan Anda mengubah panjang kunci pembungkus RSA Anda (“spesifikasi kunci”) atau mengganti set yang hilang.

Anda juga dapat mengunduh kunci publik pembungkus dan set token impor untuk [mengimpor kembali materi kunci yang sama ke kunci](importing-keys-import-key-material.md#reimport-key-material) KMS. Anda dapat melakukan ini untuk mengatur atau mengubah waktu kedaluwarsa untuk materi kunci, atau untuk memulihkan materi kunci yang kedaluwarsa atau dihapus. Anda harus mengunduh dan mengenkripsi ulang materi kunci Anda setiap kali Anda mengimpornya. AWS KMS

**Penggunaan kunci publik pembungkus**  
Unduhan menyertakan kunci publik yang unik untuk Anda Akun AWS, juga disebut *kunci publik pembungkus*.  
Sebelum Anda mengimpor materi kunci, Anda mengenkripsi materi kunci dengan kunci pembungkus publik, dan kemudian mengunggah materi kunci terenkripsi ke. AWS KMS Saat AWS KMS menerima materi kunci terenkripsi Anda, ia mendekripsi materi kunci dengan kunci pribadi yang sesuai, kemudian mengenkripsi ulang materi kunci di bawah kunci simetris AES, semuanya dalam modul keamanan perangkat keras (HSM). AWS KMS 

**Penggunaan token impor**  
Unduhan menyertakan token impor dengan metadata yang memastikan bahwa materi kunci Anda diimpor dengan benar. Saat Anda mengunggah materi kunci terenkripsi AWS KMS, Anda harus mengunggah token impor yang sama dengan yang Anda unduh di langkah ini.

## Pilih spesifikasi kunci publik pembungkus
<a name="select-wrapping-key-spec"></a>

Untuk melindungi materi kunci Anda selama impor, Anda mengenkripsinya menggunakan kunci publik pembungkus yang Anda unduh AWS KMS, dan algoritme [pembungkus](#select-wrapping-algorithm) yang didukung. Anda memilih spesifikasi kunci sebelum mengunduh kunci publik pembungkus dan token impor. Semua pasangan kunci pembungkus dihasilkan dalam modul keamanan AWS KMS perangkat keras (HSMs). Kunci pribadi tidak pernah meninggalkan HSM dalam teks biasa.

**Spesifikasi kunci pembungkus RSA**  
*Spesifikasi kunci* dari kunci publik pembungkus menentukan panjang kunci dalam key pair RSA yang melindungi material kunci Anda selama pengangkutannya. AWS KMS Secara umum, kami sarankan menggunakan kunci publik pembungkus terpanjang yang praktis. Kami menawarkan beberapa spesifikasi kunci publik yang lengkap untuk mendukung berbagai manajer HSMs kunci.  
AWS KMS mendukung spesifikasi kunci berikut untuk kunci pembungkus RSA yang digunakan untuk mengimpor bahan kunci dari semua jenis, kecuali seperti yang disebutkan.   
+ RSA\$14096 (disarankan)
+ RSA\$13072
+ RSA\$12048
**catatan**  
Kombinasi berikut TIDAK didukung: bahan kunci ECC\$1NIST\$1P521, spesifikasi kunci pembungkus publik RSA\$12048, dan algoritma pembungkus RSAES\$1OAEP\$1SHA\$1\$1.  
Anda tidak dapat langsung membungkus materi kunci ECC\$1NIST\$1P521 dengan kunci pembungkus publik RSA\$12048. Gunakan kunci pembungkus yang lebih besar atau algoritma pembungkus RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1\$1.

**SM2 spesifikasi kunci pembungkus (hanya Wilayah Tiongkok)**  
AWS KMS mendukung spesifikasi kunci berikut untuk kunci SM2 pembungkus yang digunakan untuk mengimpor bahan kunci asimetris.  
+ SM2

## Pilih algoritme pembungkus
<a name="select-wrapping-algorithm"></a>

Untuk melindungi materi kunci Anda selama impor, Anda mengenkripsinya menggunakan kunci publik pembungkus yang diunduh dan algoritme pembungkus yang didukung. 

AWS KMS mendukung beberapa algoritma pembungkus RSA standar dan algoritma pembungkus hibrida dua langkah. Secara umum, sebaiknya gunakan algoritme pembungkus paling aman yang kompatibel dengan bahan kunci impor dan spesifikasi kunci [pembungkus](#select-wrapping-key-spec) Anda. Biasanya, Anda memilih algoritme yang didukung oleh modul keamanan perangkat keras (HSM) atau sistem manajemen kunci yang melindungi material kunci Anda.

Tabel berikut menunjukkan algoritma pembungkus yang didukung untuk setiap jenis bahan kunci dan kunci KMS. Algoritma tercantum dalam urutan preferensi.


| Material kunci | Algoritma dan spesifikasi pembungkus yang didukung | 
| --- | --- | 
| Kunci enkripsi simetris Kunci AES 256-bit    SM4 Kunci 128-bit (hanya Wilayah Tiongkok) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Kunci pribadi RSA asimetris  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Kunci pribadi kurva elips asimetris (ECC)   Anda tidak dapat menggunakan algoritma pembungkus RSAES\$1OAEP\$1SHA\$1\$1 dengan spesifikasi kunci pembungkus RSA\$12048 untuk membungkus materi kunci ECC\$1NIST\$1P521. |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Kunci SM2 pribadi asimetris (hanya Wilayah Tiongkok) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Kunci HMAC |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 

**catatan**  
Algoritma `RSA_AES_KEY_WRAP_SHA_256` dan `RSA_AES_KEY_WRAP_SHA_1` pembungkus tidak didukung di Wilayah Tiongkok.
+ `RSA_AES_KEY_WRAP_SHA_256`— Algoritma pembungkus hibrida dua langkah yang menggabungkan enkripsi materi kunci Anda dengan kunci simetris AES yang Anda hasilkan, dan kemudian mengenkripsi kunci simetris AES dengan kunci pembungkus publik RSA yang diunduh dan algoritma pembungkus RSAES\$1OAEP\$1SHA\$1256.

  Algoritma `RSA_AES_KEY_WRAP_SHA_*` pembungkus diperlukan untuk membungkus materi kunci pribadi RSA, kecuali di Wilayah Tiongkok, di mana Anda harus menggunakan algoritma pembungkus. `SM2PKE`
+ `RSA_AES_KEY_WRAP_SHA_1`— Algoritma pembungkus hibrida dua langkah yang menggabungkan enkripsi materi kunci Anda dengan kunci simetris AES yang Anda hasilkan, dan kemudian mengenkripsi kunci simetris AES dengan kunci publik pembungkus RSA yang diunduh dan algoritma pembungkus RSAES\$1OAEP\$1SHA\$11.

  Algoritma `RSA_AES_KEY_WRAP_SHA_*` pembungkus diperlukan untuk membungkus materi kunci pribadi RSA, kecuali di Wilayah Tiongkok, di mana Anda harus menggunakan algoritma pembungkus. `SM2PKE`
+ `RSAES_OAEP_SHA_256`— Algoritma enkripsi RSA dengan Optimal Asymmetric Encryption Padding (OAEP) dengan fungsi hash SHA-256.
+ `RSAES_OAEP_SHA_1`— Algoritma enkripsi RSA dengan Optimal Asymmetric Encryption Padding (OAEP) dengan fungsi hash SHA-1.
+ `RSAES_PKCS1_V1_5`(Usang; per 10 Oktober 2023, AWS KMS tidak mendukung algoritma pembungkus RSAES\$1 PKCS1 \$1V1\$15) — Algoritma enkripsi RSA dengan format padding yang ditentukan dalam PKCS \$11 Versi 1.5.
+ `SM2PKE`(Hanya Wilayah Tiongkok) — Algoritma enkripsi berbasis kurva elips yang ditentukan oleh GM/T OSCCA pada 0003.4-2012.

**Topics**
+ [Pilih spesifikasi kunci publik pembungkus](#select-wrapping-key-spec)
+ [Pilih algoritme pembungkus](#select-wrapping-algorithm)
+ [Mengunduh kunci publik pembungkus dan token impor (konsol)](#importing-keys-get-public-key-and-token-console)
+ [Mengunduh kunci publik pembungkus dan token impor (AWS KMS API)](#importing-keys-get-public-key-and-token-api)

## Mengunduh kunci publik pembungkus dan token impor (konsol)
<a name="importing-keys-get-public-key-and-token-console"></a>

Anda dapat menggunakan AWS KMS konsol untuk mengunduh kunci publik pembungkus dan token impor.

1. Jika Anda baru saja menyelesaikan langkah-langkah untuk [membuat kunci KMS tanpa materi kunci](importing-keys-create-cmk.md#importing-keys-create-cmk-console) dan Anda berada di **tombol pembungkus Unduh dan halaman token impor**, lewati ke. [Step 10](#id-wrap-step)

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.
**Tip**  
Anda dapat mengimpor materi kunci hanya ke kunci KMS dengan **Origin** of **External (Import key material)**. Ini menunjukkan bahwa kunci KMS dibuat tanpa bahan kunci. Untuk menambahkan kolom **Asal** ke tabel Anda, di sudut kanan atas halaman, pilih ikon pengaturan (![\[Gear or cog icon representing settings or configuration options.\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/console-icon-settings-new.png)). Hidupkan **Asal**, lalu pilih **Konfirmasi**.

1. Pilih alias atau ID kunci kunci KMS yang menunggu impor.

1. Pilih tab **Konfigurasi kriptografi** dan lihat nilainya. Tab ada di bawah bagian **Konfigurasi umum**.

   Anda hanya dapat mengimpor materi kunci ke kunci KMS **Asal** **Eksternal (bahan Kunci Impor)**. Untuk informasi tentang membuat kunci KMS dengan materi kunci impor, lihat,[Mengimpor bahan kunci untuk AWS KMS kunci](importing-keys.md).

1. Pilih tab yang sesuai berdasarkan jenis kunci Anda. 
   + Untuk tombol asimetris dan HMAC, pilih tab **Bahan kunci**.
   + Untuk kunci enkripsi simetris, pilih tab **Bahan kunci dan rotasi.**

1. Pilih tindakan impor.
   + Untuk kunci asimetris dan HMAC, pilih **Impor bahan kunci**.
   + Untuk kunci enkripsi simetris, pilih salah satu dari berikut ini:
     + **Impor bahan kunci awal** (jika belum ada bahan kunci yang diimpor)
     + **Impor bahan kunci baru** (untuk menambahkan material baru untuk rotasi)
     + **Impor ulang materi kunci** (tersedia dari menu **Tindakan** di tabel bahan utama)
**catatan**  
Untuk kunci Multi-region, Anda harus terlebih dahulu mengimpor materi kunci baru ke kunci Region primer. Kemudian, impor bahan kunci yang sama ke setiap kunci Region replika.  
Untuk kunci Multi-wilayah utama, tabel **Bahan kunci** menyertakan kolom status **impor Replika** yang menampilkan status impor di semua wilayah replika (misalnya, “0 dari 3 yang diimpor”). Pilih nilai status impor replika untuk membuka modal yang menunjukkan status impor untuk setiap wilayah replika. Modal menyediakan tautan **materi kunci Impor** untuk wilayah replika di mana materi kunci baru belum diimpor.

1. Untuk **Pilih spesifikasi tombol pembungkus**, pilih konfigurasi untuk kunci KMS Anda. Setelah Anda membuat kunci ini, Anda tidak dapat mengubah spesifikasi kunci. 

1. <a name="id-wrap-step"></a>Untuk **Memilih algoritme pembungkus**, pilih opsi yang akan Anda gunakan untuk mengenkripsi material kunci Anda. Untuk informasi selengkapnya tentang opsi, lihat [Pilih Algoritme Pembungkus](#select-wrapping-algorithm).

1. Pilih **Download wrapping public key dan import token**, lalu simpan file. 

   Jika Anda memiliki opsi **Selanjutnya**, untuk melanjutkan proses sekarang, pilih **Selanjutnya**. Untuk melanjutkan nanti, pilih **Batalkan**. 

1. Dekompresi file `.zip` yang Anda simpan pada langkah sebelumnya (`Import_Parameters_<key_id>_<timestamp>`).

   Folder berisi file-file berikut:
   + Kunci publik pembungkus dalam file bernama`WrappingPublicKey.bin`.
   + Token impor dalam file bernama`ImportToken.bin`.
   + Sebuah file teks bernama README.txt. File ini berisi informasi tentang kunci publik pembungkus, algoritma pembungkus yang digunakan untuk mengenkripsi materi kunci Anda, dan tanggal dan waktu ketika kunci publik pembungkus dan token impor kedaluwarsa.

1. Untuk melanjutkan proses, lihat [mengenkripsi material kunci Anda](importing-keys-encrypt-key-material.md). 

## Mengunduh kunci publik pembungkus dan token impor (AWS KMS API)
<a name="importing-keys-get-public-key-and-token-api"></a>

Untuk mengunduh kunci publik dan token impor, gunakan [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)API. Tentukan kunci KMS yang akan dikaitkan dengan materi kunci yang diimpor. Kunci KMS ini harus memiliki nilai [Origin](create-keys.md#key-origin). `EXTERNAL`

**catatan**  
Anda tidak dapat mengimpor materi kunci untuk kunci KMS ML-DSA.

Contoh ini menentukan algoritma `RSA_AES_KEY_WRAP_SHA_256` pembungkus, spesifikasi kunci publik pembungkus RSA\$13072, dan ID kunci contoh. Ganti nilai contoh ini dengan nilai yang valid untuk unduhan Anda. Untuk ID kunci, Anda dapat menggunakan [ID kunci atau kunci](concepts.md#key-id-key-id) [ARN](concepts.md#key-id-key-ARN), tetapi Anda tidak dapat menggunakan [nama alias atau alias](concepts.md#key-id-alias-name) [ARN](concepts.md#key-id-alias-ARN) dalam operasi ini.

```
$ aws kms get-parameters-for-import \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --wrapping-algorithm RSA_AES_KEY_WRAP_SHA_256 \
    --wrapping-key-spec RSA_3072
```

Ketika perintah berhasil, Anda melihat output yang serupa dengan berikut ini:

```
{
    "ParametersValidTo": 1568290320.0,
    "PublicKey": "public key (base64 encoded)",
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "ImportToken": "import token (base64 encoded)"
}
```

Untuk menyiapkan data untuk langkah berikutnya, base64 memecahkan kode kunci publik dan token impor dan menyimpan nilai yang diterjemahkan dalam file.

Untuk base64 memecahkan kode kunci publik dan token impor:

1. Salin kunci publik yang dikodekan base64 (diwakili oleh *public key (base64 encoded)* dalam contoh output), tempelkan ke file baru, lalu simpan file tersebut. Berikan file nama deskriptif, seperti`PublicKey.b64`.

1. Gunakan [OpenSSL](https://openssl.org/) ke base64 mendekodekan isi file dan menyimpan data yang didekodekan ke file baru. Contoh berikut mendekodekan data dalam file yang Anda simpan di langkah sebelumnya (`PublicKey.b64`) dan menyimpan output ke file baru bernama `WrappingPublicKey.bin`.

   ```
   $ openssl enc -d -base64 -A -in PublicKey.b64 -out WrappingPublicKey.bin
   ```

1. Salin token impor yang dikodekan base64 (diwakili oleh *import token (base64 encoded)* dalam contoh output), tempelkan ke file baru, lalu simpan file tersebut. Berikan nama deskriptif pada file, misalnya `importtoken.b64`.

1. Gunakan [OpenSSL](https://openssl.org/) ke base64 mendekodekan isi file dan menyimpan data yang didekodekan ke file baru. Contoh berikut mendekodekan data dalam file yang Anda simpan di langkah sebelumnya (`ImportToken.b64`) dan menyimpan output ke file baru bernama `ImportToken.bin`.

   ```
   $ openssl enc -d -base64 -A -in importtoken.b64 -out ImportToken.bin
   ```

Lanjut ke [Langkah 3: Enkripsi material kunci](importing-keys-encrypt-key-material.md).

# Langkah 3: Enkripsi material kunci
<a name="importing-keys-encrypt-key-material"></a>

Setelah Anda [mengunduh kunci publik dan token impor](importing-keys-get-public-key-and-token.md), enkripsi materi kunci Anda menggunakan kunci publik yang Anda unduh dan algoritme pembungkus yang Anda tentukan. Jika Anda perlu mengganti kunci publik atau token impor, atau mengubah algoritma pembungkus, Anda harus mengunduh kunci publik baru dan token impor. Untuk informasi tentang kunci publik dan algoritma pembungkus yang AWS KMS mendukung, lihat [Pilih spesifikasi kunci publik pembungkus](importing-keys-get-public-key-and-token.md#select-wrapping-key-spec) dan. [Pilih algoritme pembungkus](importing-keys-get-public-key-and-token.md#select-wrapping-algorithm)

Material kunci harus dalam format biner. Untuk detail informasi, lihat [Persyaratan untuk bahan kunci impor](importing-keys-conceptual.md#importing-keys-material-requirements).

**catatan**  
Untuk pasangan kunci asimetris, enkripsi dan impor hanya kunci pribadi. AWS KMS kunci publik berasal dari kunci privat.  
Kombinasi berikut TIDAK didukung: bahan kunci ECC\$1NIST\$1P521, spesifikasi kunci pembungkus publik RSA\$12048, dan algoritma pembungkus RSAES\$1OAEP\$1SHA\$1\$1.  
Anda tidak dapat langsung membungkus materi kunci ECC\$1NIST\$1P521 dengan kunci pembungkus publik RSA\$12048. Gunakan kunci pembungkus yang lebih besar atau algoritma pembungkus RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1\$1.  
Algoritma pembungkus RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 dan RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 tidak didukung di Wilayah Tiongkok.

Biasanya, Anda mengenkripsi material kunci Anda ketika Anda mengekspornya dari modul keamanan perangkat keras (HSM) atau sistem manajemen kunci. Untuk informasi tentang cara mengekspor material kunci dalam format biner, lihat dokumentasi untuk HSM atau sistem manajemen kunci Anda. Anda juga dapat merujuk ke bagian berikut yang memberikan bukti konsep demonstrasi menggunakan OpenSSL.

Saat Anda mengenkripsi materi kunci Anda, gunakan algoritme pembungkus yang sama dengan yang Anda tentukan saat [mengunduh kunci publik dan token impor](importing-keys-get-public-key-and-token.md). Untuk menemukan algoritma pembungkus yang Anda tentukan, lihat peristiwa CloudTrail log untuk [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)permintaan terkait.

## Hasilkan bahan utama untuk pengujian
<a name="importing-keys-example-key-material"></a>

Perintah OpenSSL berikut menghasilkan material kunci dari setiap jenis yang didukung untuk pengujian. Contoh-contoh ini disediakan hanya untuk pengujian dan proof-of-concept demonstrasi. Untuk sistem produksi, gunakan metode yang lebih aman untuk menghasilkan materi utama Anda, seperti modul keamanan perangkat keras atau sistem manajemen kunci.

Untuk mengonversi kunci pribadi pasangan kunci asimetris menjadi format yang dikodekan DER, salurkan perintah pembuatan material kunci ke perintah berikut. `openssl pkcs8` `topk8`Parameter mengarahkan OpenSSL untuk mengambil kunci pribadi sebagai input dan mengembalikan kunci berformat PKCS \$18. (Perilaku default adalah sebaliknya.) 

```
openssl pkcs8 -topk8 -outform der -nocrypt
```

Perintah berikut menghasilkan bahan kunci uji untuk setiap jenis kunci yang didukung.
+ Kunci enkripsi simetris (32 byte)

  Perintah ini menghasilkan kunci simetris 256-bit (string acak 32-byte) dan menyimpannya dalam file. `PlaintextKeyMaterial.bin` Anda tidak perlu menyandikan materi kunci ini. 

  ```
  openssl rand -out PlaintextKeyMaterial.bin 32
  ```

  Hanya di Wilayah Tiongkok, Anda harus menghasilkan kunci simetris 128-bit (string acak 16-byte).

  ```
  openssl rand -out PlaintextKeyMaterial.bin 16
  ```
+ Kunci HMAC

  Perintah ini menghasilkan string byte acak dari ukuran yang ditentukan. Anda tidak perlu menyandikan materi kunci ini. 

  Panjang kunci HMAC Anda harus sesuai dengan panjang yang ditentukan oleh spesifikasi kunci kunci KMS. Misalnya, jika kunci KMS adalah HMAC\$1384, Anda harus mengimpor kunci 384-bit (48-byte).

  ```
  openssl rand -out HMAC_224_PlaintextKey.bin 28
  
  openssl rand -out HMAC_256_PlaintextKey.bin 32
  
  openssl rand -out HMAC_384_PlaintextKey.bin 48
  
  openssl rand -out HMAC_512_PlaintextKey.bin 64
  ```
+ Kunci pribadi RSA

  ```
  openssl genpkey -algorithm rsa -pkeyopt rsa_keygen_bits:2048 | openssl pkcs8 -topk8 -outform der -nocrypt > RSA_2048_PrivateKey.der
  
  openssl genpkey -algorithm rsa -pkeyopt rsa_keygen_bits:3072 | openssl pkcs8 -topk8 -outform der -nocrypt > RSA_3072_PrivateKey.der
  
  openssl genpkey -algorithm rsa -pkeyopt rsa_keygen_bits:4096 | openssl pkcs8 -topk8 -outform der -nocrypt > RSA_4096_PrivateKey.der
  ```
+ Kunci pribadi ECC

  ```
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-256 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_NIST_P256_PrivateKey.der
  
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-384 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_NIST_P384_PrivateKey.der
  
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-521 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_NIST_P521_PrivateKey.der
  
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:secp256k1 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_SECG_P256K1_PrivateKey.der
  ```
+ SM2 kunci pribadi (hanya Wilayah Tiongkok)

  ```
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:sm2 | openssl pkcs8 -topk8 -outform der -nocrypt > SM2_PrivateKey.der
  ```

## Contoh mengenkripsi materi kunci dengan OpenSSL
<a name="importing-keys-encrypt-key-material-openssl"></a>

Contoh berikut menunjukkan cara menggunakan [OpenSSL](https://openssl.org/) untuk mengenkripsi materi kunci Anda dengan kunci publik yang Anda unduh. [Untuk mengenkripsi materi kunci Anda menggunakan kunci SM2 publik (khusus Wilayah Tiongkok), gunakan kelas tersebut`SM2OfflineOperationHelper`.](offline-operations.md#key-spec-sm-offline-helper) Untuk informasi selengkapnya tentang jenis bahan utama yang didukung oleh setiap algoritme pembungkus, lihat[Pilih algoritme pembungkus](importing-keys-get-public-key-and-token.md#select-wrapping-algorithm).

**penting**  
Contoh-contoh ini adalah bukti demonstrasi konsep saja. Untuk sistem produksi, gunakan metode yang lebih aman (seperti HSM komersial atau sistem manajemen kunci) untuk menghasilkan dan menyimpan material kunci Anda.  
Kombinasi berikut TIDAK didukung: bahan kunci ECC\$1NIST\$1P521, spesifikasi kunci pembungkus publik RSA\$12048, dan algoritma pembungkus RSAES\$1OAEP\$1SHA\$1\$1.  
Anda tidak dapat langsung membungkus materi kunci ECC\$1NIST\$1P521 dengan kunci pembungkus publik RSA\$12048. Gunakan kunci pembungkus yang lebih besar atau algoritma pembungkus RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1\$1.

------
#### [ RSAES\$1OAEP\$1SHA\$11 ]

AWS KMS mendukung RSAES\$1OAEP\$1SHA\$11 untuk kunci enkripsi simetris (SYMMETRIC\$1DEFAULT), kunci pribadi kurva elips (ECC), kunci pribadi, dan kunci HMAC. SM2 

RSAES\$1OAEP\$1SHA\$11 tidak didukung untuk kunci pribadi RSA. Selain itu, Anda tidak dapat menggunakan kunci pembungkus publik RSA\$12048 dengan algoritma pembungkus RSAES\$1OAEP\$1SHA\$1\$1 apa pun untuk membungkus kunci pribadi ECC\$1NIST\$1P521 (secp521r1). Anda harus menggunakan kunci pembungkus publik yang lebih besar atau algoritma pembungkus RSA\$1AES\$1KEY\$1WRAP.

Contoh berikut mengenkripsi materi kunci Anda dengan [kunci publik yang Anda unduh](importing-keys-get-public-key-and-token.md) dan algoritma pembungkus RSAES\$1OAEP\$1SHA\$11, dan menyimpannya dalam file. `EncryptedKeyMaterial.bin` 

Dalam contoh ini:
+ *`WrappingPublicKey.bin`*adalah file yang berisi kunci publik pembungkus yang diunduh. 
+ *`PlaintextKeyMaterial.bin`*adalah file yang berisi materi kunci yang Anda enkripsi, seperti`PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin` atau. `ECC_NIST_P521_PrivateKey.der`

```
$ openssl pkeyutl \
    -encrypt \
    -in PlaintextKeyMaterial.bin \
    -out EncryptedKeyMaterial.bin \
    -inkey WrappingPublicKey.bin \
    -keyform DER \
    -pubin \
    -pkeyopt rsa_padding_mode:oaep \
    -pkeyopt rsa_oaep_md:sha1
```

------
#### [ RSAES\$1OAEP\$1SHA\$1256 ]

AWS KMS mendukung RSAES\$1OAEP\$1SHA\$1256 untuk kunci enkripsi simetris (SYMMETRIC\$1DEFAULT), kunci pribadi kurva elips (ECC), kunci pribadi, dan kunci HMAC. SM2 

RSAES\$1OAEP\$1SHA\$1256 tidak didukung untuk kunci pribadi RSA. Selain itu, Anda tidak dapat menggunakan kunci pembungkus publik RSA\$12048 dengan algoritma pembungkus RSAES\$1OAEP\$1SHA\$1\$1 apa pun untuk membungkus kunci pribadi ECC\$1NIST\$1P521 (secp521r1). Anda harus menggunakan kunci publik yang lebih besar atau algoritma pembungkus RSA\$1AES\$1KEY\$1WRAP.

Contoh berikut mengenkripsi materi kunci dengan [kunci publik yang Anda unduh](importing-keys-get-public-key-and-token.md) dan algoritma pembungkus RSAES\$1OAEP\$1SHA\$1256, dan menyimpannya dalam file. `EncryptedKeyMaterial.bin` 

Dalam contoh ini:
+ *`WrappingPublicKey.bin`*adalah file yang berisi kunci pembungkus publik yang diunduh. Jika Anda mengunduh kunci publik dari konsol, file ini diberi nama `wrappingKey_KMS key_key_ID_timestamp` (misalnya,`wrappingKey_f44c4e20-f83c-48f4-adc6-a1ef38829760_0809092909`). 
+ *`PlaintextKeyMaterial.bin`*adalah file yang berisi materi kunci yang Anda enkripsi, seperti, `PlaintextKeyMaterial.bin``HMAC_384_PlaintextKey.bin`, atau. `ECC_NIST_P521_PrivateKey.der`

```
$ openssl pkeyutl \
    -encrypt \
    -in PlaintextKeyMaterial.bin \
    -out EncryptedKeyMaterial.bin \
    -inkey WrappingPublicKey.bin \
    -keyform DER \
    -pubin \
    -pkeyopt rsa_padding_mode:oaep \
    -pkeyopt rsa_oaep_md:sha256 \
    -pkeyopt rsa_mgf1_md:sha256
```

------
#### [ RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 ]

Algoritma pembungkus RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 melibatkan dua operasi enkripsi.

1. Enkripsi materi kunci Anda dengan kunci simetris AES yang Anda hasilkan dan algoritme enkripsi simetris AES.

1. Enkripsi kunci simetris AES yang Anda gunakan dengan kunci publik yang Anda unduh dan algoritma pembungkus RSAES\$1OAEP\$1SHA\$11.

Algoritma pembungkus RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 membutuhkan OpenSSL versi 3. *x* atau yang lebih baru.

1. 

**Hasilkan kunci enkripsi simetris AES 256-bit**

   Perintah ini menghasilkan kunci enkripsi simetris AES yang terdiri dari 256 bit acak, dan menyimpannya dalam file `aes-key.bin`

   ```
   # Generate a 32-byte AES symmetric encryption key
   $ openssl rand -out aes-key.bin 32
   ```

1. 

**Enkripsi materi kunci Anda dengan kunci enkripsi simetris AES**

   Perintah ini mengenkripsi materi kunci Anda dengan kunci enkripsi simetris AES dan menyimpan materi kunci terenkripsi dalam file. `key-material-wrapped.bin`

   Dalam contoh perintah ini:
   + *`PlaintextKeyMaterial.bin`*adalah file yang berisi materi utama yang Anda impor, seperti,`PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin``RSA_3072_PrivateKey.der`, atau`ECC_NIST_P521_PrivateKey.der`.
   + *`aes-key.bin`*adalah file yang berisi kunci enkripsi simetris AES 256-bit yang Anda buat di perintah sebelumnya.

   ```
   # Encrypt your key material with the AES symmetric encryption key
   $ openssl enc -id-aes256-wrap-pad \
           -K "$(xxd -p < aes-key.bin | tr -d '\n')" \
           -iv A65959A6 \
           -in PlaintextKeyMaterial.bin \
           -out key-material-wrapped.bin
   ```

1. 

**Enkripsi kunci enkripsi simetris AES Anda dengan kunci publik**

   Perintah ini mengenkripsi kunci enkripsi simetris AES Anda dengan kunci publik yang Anda unduh dan algoritma pembungkus RSAES\$1OAEP\$1SHA\$11, Der menyandikannya, dan menyimpannya dalam file. `aes-key-wrapped.bin` 

   Dalam contoh perintah ini:
   + *`WrappingPublicKey.bin`*adalah file yang berisi kunci pembungkus publik yang diunduh. Jika Anda mengunduh kunci publik dari konsol, file ini diberi nama `wrappingKey_KMS key_key_ID_timestamp` (misalnya, `wrappingKey_f44c4e20-f83c-48f4-adc6-a1ef38829760_0809092909`
   + *`aes-key.bin`*adalah file yang berisi kunci enkripsi simetris AES 256-bit yang Anda buat dalam perintah pertama dalam urutan contoh ini.

   ```
   # Encrypt your AES symmetric encryption key with the downloaded public key
   $ openssl pkeyutl \
       -encrypt \
       -in aes-key.bin \
       -out aes-key-wrapped.bin \
       -inkey WrappingPublicKey.bin \
       -keyform DER \
       -pubin \
       -pkeyopt rsa_padding_mode:oaep \
       -pkeyopt rsa_oaep_md:sha1 \
       -pkeyopt rsa_mgf1_md:sha1
   ```

1. 

**Hasilkan file yang akan diimpor**

   Gabungkan file dengan materi kunci terenkripsi dan file dengan kunci AES terenkripsi. Simpan dalam `EncryptedKeyMaterial.bin` file, yang merupakan file yang akan Anda impor di file[Langkah 4: Impor material kunci](importing-keys-import-key-material.md).

   Dalam contoh perintah ini:
   + *`key-material-wrapped.bin`*adalah file yang berisi materi kunci terenkripsi Anda.
   + *`aes-key-wrapped.bin`*adalah file yang berisi kunci enkripsi AES terenkripsi.

   ```
   # Combine the encrypted AES key and encrypted key material in a file
   $ cat aes-key-wrapped.bin key-material-wrapped.bin > EncryptedKeyMaterial.bin
   ```

------
#### [ RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 ]

Algoritma pembungkus RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 melibatkan dua operasi enkripsi.

1. Enkripsi materi kunci Anda dengan kunci simetris AES yang Anda hasilkan dan algoritme enkripsi simetris AES.

1. Enkripsi kunci simetris AES yang Anda gunakan dengan kunci publik yang Anda unduh dan algoritma pembungkus RSAES\$1OAEP\$1SHA\$1256.

Algoritma pembungkus RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 membutuhkan OpenSSL versi 3. *x* atau yang lebih baru.

1. 

**Hasilkan kunci enkripsi simetris AES 256-bit**

   Perintah ini menghasilkan kunci enkripsi simetris AES yang terdiri dari 256 bit acak, dan menyimpannya dalam file `aes-key.bin`

   ```
   # Generate a 32-byte AES symmetric encryption key
   $ openssl rand -out aes-key.bin 32
   ```

1. 

**Enkripsi materi kunci Anda dengan kunci enkripsi simetris AES**

   Perintah ini mengenkripsi materi kunci Anda dengan kunci enkripsi simetris AES dan menyimpan materi kunci terenkripsi dalam file. `key-material-wrapped.bin`

   Dalam contoh perintah ini:
   + *`PlaintextKeyMaterial.bin`*adalah file yang berisi materi utama yang Anda impor, seperti,`PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin``RSA_3072_PrivateKey.der`, atau`ECC_NIST_P521_PrivateKey.der`.
   + *`aes-key.bin`*adalah file yang berisi kunci enkripsi simetris AES 256-bit yang Anda buat di perintah sebelumnya.

   ```
   # Encrypt your key material with the AES symmetric encryption key
   $ openssl enc -id-aes256-wrap-pad \
           -K "$(xxd -p < aes-key.bin | tr -d '\n')" \
           -iv A65959A6 \
           -in PlaintextKeyMaterial.bin \
           -out key-material-wrapped.bin
   ```

1. 

**Enkripsi kunci enkripsi simetris AES Anda dengan kunci publik**

   Perintah ini mengenkripsi kunci enkripsi simetris AES Anda dengan kunci publik yang Anda unduh dan algoritma pembungkus RSAES\$1OAEP\$1SHA\$1256, Der menyandikannya, dan menyimpannya dalam file. `aes-key-wrapped.bin` 

   Dalam contoh perintah ini:
   + *`WrappingPublicKey.bin`*adalah file yang berisi kunci pembungkus publik yang diunduh. Jika Anda mengunduh kunci publik dari konsol, file ini diberi nama `wrappingKey_KMS key_key_ID_timestamp` (misalnya, `wrappingKey_f44c4e20-f83c-48f4-adc6-a1ef38829760_0809092909`
   + *`aes-key.bin`*adalah file yang berisi kunci enkripsi simetris AES 256-bit yang Anda buat dalam perintah pertama dalam urutan contoh ini.

   ```
   # Encrypt your AES symmetric encryption key with the downloaded public key
   $ openssl pkeyutl \
       -encrypt \
       -in aes-key.bin \
       -out aes-key-wrapped.bin \
       -inkey WrappingPublicKey.bin \
       -keyform DER \
       -pubin \
       -pkeyopt rsa_padding_mode:oaep \
       -pkeyopt rsa_oaep_md:sha256 \
       -pkeyopt rsa_mgf1_md:sha256
   ```

1. 

**Hasilkan file yang akan diimpor**

   Gabungkan file dengan materi kunci terenkripsi dan file dengan kunci AES terenkripsi. Simpan dalam `EncryptedKeyMaterial.bin` file, yang merupakan file yang akan Anda impor di file[Langkah 4: Impor material kunci](importing-keys-import-key-material.md).

   Dalam contoh perintah ini:
   + *`key-material-wrapped.bin`*adalah file yang berisi materi kunci terenkripsi Anda.
   + *`aes-key-wrapped.bin`*adalah file yang berisi kunci enkripsi AES terenkripsi.

   ```
   # Combine the encrypted AES key and encrypted key material in a file
   $ cat aes-key-wrapped.bin key-material-wrapped.bin > EncryptedKeyMaterial.bin
   ```

------

Lanjut ke [Langkah 4: Impor material kunci](importing-keys-import-key-material.md).

# Langkah 4: Impor material kunci
<a name="importing-keys-import-key-material"></a>

Setelah Anda [mengenkripsi materi kunci Anda](importing-keys-encrypt-key-material.md), Anda dapat mengimpor materi kunci untuk digunakan dengan file AWS KMS key. Untuk mengimpor material kunci, Anda mengunggah materi kunci terenkripsi dari [Langkah 3: Enkripsi material kunci](importing-keys-encrypt-key-material.md) dan token impor yang Anda unduh di [Langkah 2: Unduh kunci publik pembungkus dan token impor](importing-keys-get-public-key-and-token.md). Anda harus mengimpor materi kunci ke kunci KMS yang sama dengan yang Anda tentukan saat [mengunduh kunci publik dan token impor](importing-keys-get-public-key-and-token.md). Ketika materi kunci berhasil diimpor, [status kunci kunci](key-state.md) KMS berubah menjadi`Enabled`, dan Anda dapat menggunakan kunci KMS dalam operasi kriptografi.

Saat Anda mengimpor materi kunci, Anda dapat [mengatur waktu kedaluwarsa opsional](#importing-keys-expiration) untuk materi utama. Ketika materi kunci kedaluwarsa, AWS KMS menghapus materi kunci dan kunci KMS menjadi tidak dapat digunakan. Setelah mengimpor materi kunci, Anda tidak dapat mengatur, mengubah, atau membatalkan tanggal kedaluwarsa untuk impor saat ini. Untuk mengubah nilai-nilai ini, Anda harus [mengimpor ulang](#reimport-key-material) materi kunci yang sama.

Untuk semua kunci KMS dengan `EXTERNAL` asal, bahan kunci pertama yang diimpor ke dalamnya menjadi terkini dan secara permanen terkait dengannya. Kunci enkripsi simetris dengan dukungan `EXTERNAL` asal rotasi sesuai permintaan. Anda dapat mengaitkan beberapa materi utama dengan kunci impor yang mendukung rotasi sesuai permintaan. Proses untuk mengimpor bahan kunci baru berbeda untuk kunci Single-region dan Multi-region seperti yang dijelaskan di bagian [Impor materi kunci baru](#import-new-key-material). Anda harus mengatur `importType` parameter `NEW_KEY_MATERIAL` dengan [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)tindakan untuk mengaitkan materi kunci baru dengan kunci KMS. Nilai default dari `ImportType` parameter opsional adalah`EXISTING_KEY_MATERIAL`. Ketika Anda menghilangkan `ImportType` parameter atau menentukannya sebagai`EXISTING_KEY_MATERIAL`, Anda harus mengimpor bahan kunci yang sebelumnya dikaitkan dengan kunci KMS.

Untuk kunci asimetris, atau HMAC KMS dengan `EXTERNAL` asal, hanya satu bahan kunci yang dapat dikaitkan dengan kunci tersebut. AWS KMS akan menolak permintaan [ ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)API dengan `ImportType` parameter.

Ketika semua materi kunci yang secara permanen terkait dengan kunci KMS diimpor, kunci KMS tersedia untuk digunakan dalam operasi kriptografi. Jika salah satu dari materi utama ini dihapus atau dibiarkan kedaluwarsa, status kunci KMS berubah menjadi `PendingImport` dan kuncinya tidak dapat digunakan untuk operasi kriptografi.

Untuk mengimpor materi kunci, Anda dapat menggunakan [AWS KMS konsol](#importing-keys-import-key-material-console) atau [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)API. Anda dapat menggunakan API secara langsung dengan membuat permintaan HTTP, atau dengan menggunakan [AWS SDKs](https://aws.amazon.com/tools/#sdk), [AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/)atau [Alat AWS untuk PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/).

Saat Anda mengimpor materi kunci, [ImportKeyMaterialentri](ct-importkeymaterial.md) ditambahkan ke AWS CloudTrail log Anda untuk merekam `ImportKeyMaterial` operasi. CloudTrail Entri adalah sama apakah Anda menggunakan AWS KMS konsol atau AWS KMS API.

## Mengatur waktu kedaluwarsa (opsional)
<a name="importing-keys-expiration"></a>

Ketika Anda mengimpor materi kunci untuk kunci KMS Anda, Anda dapat menetapkan tanggal kedaluwarsa opsional dan waktu untuk materi kunci hingga 365 hari dari tanggal impor. Ketika materi kunci impor kedaluwarsa, AWS KMS menghapusnya. Tindakan ini mengubah [status kunci kunci](key-state.md#key-state-table) KMS`PendingImport`, yang mencegahnya digunakan dalam operasi kriptografi apa pun. Untuk menggunakan kunci KMS, Anda harus [mengimpor ulang salinan materi kunci asli](#reimport-key-material). 

Memastikan bahwa materi kunci impor sering kedaluwarsa dapat membantu Anda memenuhi persyaratan peraturan, tetapi menimbulkan risiko tambahan pada data yang dienkripsi di bawah kunci KMS. Sampai Anda mengimpor ulang salinan materi kunci asli, kunci KMS dengan materi kunci kedaluwarsa tidak dapat digunakan, dan data apa pun yang dienkripsi di bawah kunci KMS tidak dapat diakses. Jika Anda gagal mengimpor ulang materi kunci karena alasan apa pun, termasuk kehilangan salinan materi kunci asli, kunci KMS tidak dapat digunakan secara permanen, dan data yang dienkripsi di bawah kunci KMS tidak dapat dipulihkan. 

Untuk mengurangi risiko ini, pastikan salinan materi kunci impor Anda dapat diakses, dan rancang sistem untuk menghapus dan mengimpor kembali materi kunci sebelum kedaluwarsa dan mengganggu beban kerja Anda. AWS Kami menyarankan Anda [menyetel alarm](imported-key-material-expiration-alarm.md) untuk kedaluwarsa materi kunci impor Anda yang memberi Anda banyak waktu untuk mengimpor kembali materi kunci sebelum kedaluwarsa. Anda juga dapat menggunakan CloudTrail log untuk mengaudit operasi yang [mengimpor (dan mengimpor ulang) materi kunci dan menghapus materi kunci](ct-importkeymaterial.md) [yang diimpor, dan AWS KMS operasi untuk menghapus materi](ct-deleteimportedkeymaterial.md) [kunci yang kedaluwarsa](ct-deleteexpiredkeymaterial.md).

AWS KMS tidak dapat memulihkan, memulihkan, atau mereproduksi materi kunci yang dihapus. Alih-alih menetapkan waktu kedaluwarsa, Anda dapat [menghapus](importing-keys-delete-key-material.md) dan [mengimpor ulang](#reimport-key-material) materi kunci yang diimpor secara terprogram secara berkala, tetapi persyaratan untuk menyimpan salinan materi kunci asli adalah sama.

Anda menentukan apakah dan kapan materi kunci impor kedaluwarsa saat Anda mengimpor materi kunci. Namun Anda dapat mengaktifkan dan menonaktifkan kedaluwarsa, atau mengatur waktu kedaluwarsa baru dengan mengimpor ulang materi utama. Gunakan `ExpirationModel` parameter [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)untuk mengaktifkan expiration on (`KEY_MATERIAL_EXPIRES`) dan off (`KEY_MATERIAL_DOES_NOT_EXPIRE`) dan `ValidTo` parameter untuk mengatur waktu kedaluwarsa. Waktu maksimum adalah 365 hari dari data impor; tidak ada minimum, tetapi waktunya harus di masa depan.

## Tetapkan deskripsi bahan utama
<a name="set-key-material-description"></a>

Kunci enkripsi simetris dengan `EXTERNAL` asal dapat memiliki beberapa bahan utama yang terkait dengannya. Anda dapat menentukan deskripsi materi kunci opsional saat mengimpor materi kunci ke kunci tersebut. Deskripsi dapat digunakan untuk melacak di mana bahan kunci yang sesuai dipertahankan dengan tahan lama di luar AWS KMS. 

Untuk kunci Multi-wilayah, Anda dapat mengatur atau mengubah deskripsi materi kunci hanya pada kunci Wilayah utama. AWS KMS secara otomatis menyebarkan deskripsi material kunci ke kunci Region replika.

## Mengimpor materi kunci baru
<a name="import-new-key-material"></a>

Untuk melakukan rotasi sesuai permintaan pada kunci KMS enkripsi simetris dengan materi kunci yang diimpor, Anda harus terlebih dahulu mengimpor materi kunci baru, yang sebelumnya tidak terkait dengan kunci.
+ **Kunci Wilayah Tunggal**
  + Gunakan [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)operasi dengan `ImportType` parameter yang disetel `NEW_KEY_MATERIAL` untuk menyelesaikan tugas ini. Materi kunci ini tidak secara permanen terkait dengan kunci sampai Anda melakukan [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)operasi atau memutar kunci di Konsol Manajemen AWS. Sampai saat itu, bahan utama ini dalam `PENDING_ROTATION` keadaan. Kunci KMS dapat memiliki paling banyak satu materi kunci dalam `PENDING_ROTATION` keadaan kapan saja. Materi kunci dalam `PENDING_ROTATION` keadaan dapat dihapus tanpa memengaruhi kegunaan kunci dalam operasi kriptografi.
+ **Kunci Multi-Region**
  + Untuk mengimpor materi kunci ke kunci Multi-wilayah, Anda harus terlebih dahulu mengimpor materi kunci baru ke kunci Wilayah utama. Anda tidak dapat langsung mengimpor materi kunci baru ke kunci Region replika. Setelah mengimpor materi kunci baru ke kunci Region primer, Anda dapat mengimpor bahan kunci yang sama ke dalam kunci Region replika.
  + Gunakan [https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)operasi dengan `ImportType` parameter yang disetel ke **NEW\$1KEY\$1MATERIAL** kunci Region primer untuk menyelesaikan tugas ini. Untuk kunci Region replika, gunakan **EXISTING\$1KEY\$1MATERIAL** parameter `ImportType` untuk `ImportKeyMaterial` operasi.
  + Materi kunci untuk enkripsi simetris Kunci multi-wilayah harus diimpor ke semua kunci Region replika dan kunci Region primer sebelum status material utama berubah menjadi status. `PENDING_ROTATION` Sampai saat itu, keadaan materi kunci baru adalah`PENDING_MULTI_REGION_IMPORT_AND_ROTATION`. Kunci KMS dapat memiliki paling banyak satu materi kunci dalam `PENDING_ROTATION` atau `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` status kapan saja (lihat `KeyMaterialState` deskripsi di [RotationsListEntry](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotationsListEntry.html)). Materi kunci dalam `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` atau `PENDING_ROTATION` status tidak secara permanen terkait dengan kunci dan dapat dihapus tanpa memengaruhi kegunaan kunci dalam operasi kriptografi. 

## Impor ulang bahan kunci
<a name="reimport-key-material"></a>

Jika Anda mengelola kunci KMS dengan materi kunci impor, Anda mungkin perlu mengimpor ulang materi kunci. Anda dapat mengimpor ulang materi kunci untuk menggantikan materi kunci yang kedaluwarsa atau dihapus, atau untuk mengubah model kedaluwarsa atau tanggal kedaluwarsa materi kunci.

Anda dapat mengimpor ulang materi kunci kapan saja, pada jadwal apa pun yang memenuhi persyaratan keamanan Anda. Anda tidak perlu menunggu sampai materi kunci berada pada atau mendekati waktu kedaluwarsa.

Prosedur untuk mengimpor ulang materi kunci adalah prosedur yang sama yang Anda gunakan untuk mengimpor materi kunci pertama kali, dengan pengecualian berikut.
+ Gunakan kunci KMS yang ada, alih-alih membuat kunci KMS baru. Anda dapat melewatkan [Langkah 1](importing-keys-create-cmk.md) dari prosedur impor.
+ Saat Anda mengimpor ulang materi kunci, Anda dapat mengubah model kedaluwarsa dan tanggal kedaluwarsa. Untuk kunci enkripsi simetris, Anda juga dapat mengubah deskripsi materi utama.

  Untuk kunci Multi-wilayah, Anda dapat mengatur atau mengubah deskripsi materi kunci hanya pada kunci Wilayah utama. AWS KMS secara otomatis menyebarkan deskripsi material kunci ke kunci Region replika.

Setiap kali Anda mengimpor materi kunci ke kunci KMS, Anda perlu [mengunduh dan menggunakan kunci pembungkus baru dan token impor untuk kunci](importing-keys-get-public-key-and-token.md) KMS. Prosedur pembungkus tidak memengaruhi konten materi utama, sehingga Anda dapat menggunakan kunci publik pembungkus yang berbeda dan algoritme pembungkus yang berbeda untuk mengimpor materi kunci yang sama.

## Material kunci impor (konsol)
<a name="importing-keys-import-key-material-console"></a>

Anda dapat menggunakan bahan kunci Konsol Manajemen AWS untuk mengimpor.

1. Jika Anda berada di halaman **Unggah materi kunci yang dibungkus**, lewati ke[Step 10](#id-key-materials-step).

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.

1. Pilih ID kunci atau alias kunci KMS yang Anda unduh kunci publik dan token impor.

1. Pilih tab **Konfigurasi kriptografi** dan lihat nilainya. Tab ada di halaman detail untuk kunci KMS di bawah bagian **konfigurasi Umum**.

   Anda hanya dapat mengimpor materi kunci ke kunci KMS dengan **Origin** of **External (Import key material)**. Untuk informasi tentang membuat kunci KMS dengan materi kunci impor, lihat[Mengimpor bahan kunci untuk AWS KMS kunci](importing-keys.md).

1. Pilih tab yang sesuai berdasarkan jenis kunci Anda.
   + Untuk tombol asimetris dan HMAC, pilih tab **Bahan kunci**.
   + Untuk kunci enkripsi simetris, pilih tab **Bahan kunci dan rotasi.**

1. Pilih tindakan impor.
   + Untuk kunci asimetris dan HMAC, pilih **Impor bahan kunci**.
   + Untuk kunci enkripsi simetris, pilih salah satu dari berikut ini:
     + **Impor bahan kunci awal** (jika belum ada bahan kunci yang diimpor)
     + **Impor bahan kunci baru** (untuk menambahkan material baru untuk rotasi)
     + **Impor ulang materi kunci** (tersedia dari menu **Tindakan** di tabel bahan utama)
**catatan**  
Untuk kunci Multi-Region, Anda harus terlebih dahulu mengimpor materi kunci baru ke kunci Region primer. Kemudian, impor bahan kunci yang sama ke setiap kunci Region replika.  
Untuk kunci Multi-wilayah utama, tabel **Bahan kunci** menyertakan kolom status **impor Replika** yang menampilkan status impor di semua wilayah replika (misalnya, “0 dari 3 yang diimpor”). Pilih nilai status impor replika untuk membuka modal yang menunjukkan status impor untuk setiap wilayah replika. Modal menyediakan tautan **materi kunci Impor** untuk wilayah replika di mana materi kunci baru belum diimpor.

1. **Jika Anda mengunduh materi kunci, mengimpor token, dan mengenkripsi materi kunci, pilih Berikutnya.**
**catatan**  
Untuk kunci Multi-Region, Anda harus terlebih dahulu mengimpor materi kunci baru ke kunci Region primer. Kemudian Anda dapat mengimpor bahan kunci yang sama ke dalam kunci Region replika.

1. <a name="id-key-materials-step"></a>Di bagian **Materi kunci terenkripsi dan token impor**, lakukan hal berikut.

   1. Di bawah **Bahan kunci yang dibungkus**, pilih **Pilih file**. Kemudian unggah file yang berisi material kunci Anda yang dibungkus (dienkripsi). 

   1. Di bawah **Impor token**, **pilih Pilih file**. Unggah file yang berisi token impor yang Anda [unduh](importing-keys-get-public-key-and-token.md#importing-keys-get-public-key-and-token-console).

1. Di bagian **Opsi kedaluwarsa**, Anda menentukan apakah material kunci kedaluwarsa. Untuk menetapkan tanggal dan waktu kedaluwarsa, pilih **Material kunci kedaluwarsa**, dan gunakan kalender untuk memilih tanggal dan waktu. Anda dapat menentukan tanggal hingga 365 hari dari tanggal dan waktu saat ini.

1. Untuk kunci enkripsi simetris, Anda dapat secara opsional menentukan deskripsi untuk materi kunci yang diimpor. 

1. Pilih **Impor bahan kunci**.

## Impor bahan kunci (AWS KMS API)
<a name="importing-keys-import-key-material-api"></a>

Untuk mengimpor bahan utama, gunakan [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)operasi. Contoh berikut menggunakan [AWS CLI](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

Untuk menggunakan contoh ini:

1. Ganti `1234abcd-12ab-34cd-56ef-1234567890ab` dengan ID kunci kunci KMS yang Anda tentukan saat mengunduh kunci publik dan token impor. Untuk mengidentifikasi kunci KMS, gunakan [ID kunci](concepts.md#key-id-key-id) atau [kunci ARN](concepts.md#key-id-key-ARN). Anda tidak dapat menggunakan [nama alias](concepts.md#key-id-alias-name) atau [alias ARN](concepts.md#key-id-alias-ARN) untuk operasi ini.

1. Ganti `EncryptedKeyMaterial.bin` dengan nama file yang berisi material kunci terenkripsi.

1. Ganti `ImportToken.bin` dengan nama file yang berisi token impor.

1. Jika Anda ingin materi kunci yang diimpor kedaluwarsa, atur nilai `expiration-model` parameter ke nilai defaultnya`KEY_MATERIAL_EXPIRES`, atau hilangkan parameternya. `expiration-model` Kemudian, ganti nilai `valid-to` parameter dengan tanggal dan waktu yang Anda inginkan materi kunci kedaluwarsa. Tanggal dan waktu bisa sampai 365 hari dari waktu permintaan. 

   ```
   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_EXPIRES \
       --valid-to 2023-06-17T12:00:00-08:00
   ```

   Jika Anda tidak ingin materi kunci yang diimpor kedaluwarsa, atur nilai `expiration-model` parameter ke `KEY_MATERIAL_DOES_NOT_EXPIRE` dan hilangkan `valid-to` parameter dari perintah.

   ```
   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_DOES_NOT_EXPIRE
   ```

1. Jika Anda ingin mengimpor materi kunci baru, yang sebelumnya tidak terkait dengan kunci KMS, atur `ImportType` parameternya ke`NEW_KEY_MATERIAL`. Opsi ini hanya dapat digunakan dengan kunci enkripsi simetris. Untuk kunci ini, Anda juga dapat menggunakan `KeyMaterialDescription` parameter opsional untuk mengatur deskripsi untuk materi kunci yang diimpor dalam contoh baris perintah berikut: 

   ```
   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_EXPIRES \
       --valid-to 2023-06-17T12:00:00-08:00 \
       --import-type NEW_KEY_MATERIAL \
       --key-material-description "Q2 2025 Rotation"
   ```

1. Untuk kunci Multi-wilayah, Anda dapat mengatur atau mengubah deskripsi materi kunci hanya pada kunci Wilayah utama. AWS KMS secara otomatis menyebarkan deskripsi material kunci ke kunci Region replika.

**Tip**  
Jika perintah tidak berhasil, Anda mungkin melihat a `KMSInvalidStateException` atau a`NotFoundException`. Anda dapat mencoba kembali permintaan tersebut.

# Buat kunci KMS di toko AWS CloudHSM kunci
<a name="create-cmk-keystore"></a>

Setelah Anda membuat toko AWS CloudHSM kunci, Anda dapat membuat AWS KMS keys di toko kunci Anda. Mereka harus [enkripsi simetris kunci KMS](symm-asymm-choose-key-spec.md#symmetric-cmks) dengan bahan kunci yang AWS KMS menghasilkan. Anda tidak dapat membuat kunci [KMS asimetris, kunci](symmetric-asymmetric.md) KMS [HMAC atau kunci KMS](hmac.md) dengan [bahan kunci yang diimpor di toko kunci khusus](importing-keys.md). Selain itu, Anda tidak dapat menggunakan kunci KMS enkripsi simetris di toko kunci khusus untuk menghasilkan pasangan kunci data asimetris. KMS tidak dapat berkomunikasi IPv6 dengan toko-toko AWS CloudHSM utama.

Untuk membuat kunci KMS di penyimpanan AWS CloudHSM kunci, penyimpanan AWS CloudHSM kunci harus [terhubung ke AWS CloudHSM cluster terkait dan cluster](connect-keystore.md) harus berisi setidaknya dua aktif HSMs di Availability Zone yang berbeda. Untuk menemukan status koneksi dan jumlah HSMs, lihat [halaman toko AWS CloudHSM utama](view-keystore.md#view-keystore-console) di Konsol Manajemen AWS. Saat menggunakan operasi API, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi untuk memverifikasi bahwa penyimpanan AWS CloudHSM kunci terhubung. Untuk memverifikasi jumlah aktif HSMs di cluster dan Availability Zones mereka, gunakan AWS CloudHSM [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operasi.

Saat Anda membuat kunci KMS di toko AWS CloudHSM kunci Anda, AWS KMS buat kunci KMS. AWS KMS Tapi, itu menciptakan materi kunci untuk kunci KMS di AWS CloudHSM cluster terkait. Secara khusus AWS KMS , masuk ke cluster sebagai [`kmsuser`CU yang Anda buat](create-keystore.md#before-keystore). Kemudian ia menciptakan kunci simetris Advanced Encryption Standard (AES) 256-bit yang persisten, tidak dapat diekstraksi, di cluster. AWS KMS menetapkan nilai [atribut label kunci](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-attributes.html), yang hanya terlihat di cluster, ke Amazon Resource Name (ARN) dari kunci KMS.

Ketika perintah berhasil, [status kunci](key-state.md) dari kunci KMS baru adalah `Enabled` dan asalnya adalah. `AWS_CLOUDHSM` Anda tidak dapat mengubah asal kunci KMS apa pun setelah Anda membuatnya. Saat Anda melihat kunci KMS di penyimpanan AWS CloudHSM kunci di AWS KMS konsol atau dengan menggunakan [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operasi, Anda dapat melihat properti tipikal, seperti ID kunci, status kunci, dan tanggal pembuatannya. Tetapi Anda juga dapat melihat ID penyimpanan kunci kustom dan (secara opsional) ID klaster AWS CloudHSM . 

Jika upaya Anda untuk membuat kunci KMS di toko AWS CloudHSM kunci Anda gagal, gunakan pesan kesalahan untuk membantu Anda menentukan penyebabnya. Ini mungkin menunjukkan bahwa penyimpanan AWS CloudHSM kunci tidak terhubung (`CustomKeyStoreInvalidStateException`) atau AWS CloudHSM cluster terkait tidak memiliki dua aktif HSMs yang diperlukan untuk operasi ini (`CloudHsmClusterInvalidConfigurationException`). Untuk bantuan, lihat [Memecahkan masalah penyimpanan kunci kustom](fix-keystore.md).

Untuk contoh AWS CloudTrail log operasi yang membuat kunci KMS di toko AWS CloudHSM kunci, lihat[CreateKey](ct-createkey.md).

## Buat kunci KMS baru di toko kunci CloudHSM Anda
<a name="create-key-keystore"></a>

Anda dapat membuat kunci KMS enkripsi simetris di toko AWS CloudHSM kunci Anda di AWS KMS konsol atau dengan menggunakan operasi. [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)

### Menggunakan AWS KMS konsol
<a name="create-cmk-keystore-console"></a>

Gunakan prosedur berikut untuk membuat kunci KMS enkripsi simetris di toko AWS CloudHSM kunci. 

**catatan**  
Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.

1. Pilih **Buat kunci**.

1. Pilih **Simetris**.

1. Dalam **Penggunaan kunci**, opsi **Enkripsi dan dekripsi** dipilih untuk Anda. Jangan mengubahnya. 

1. Pilih **Opsi lanjutan**.

1. Untuk **asal bahan utama**, pilih **toko AWS CloudHSM kunci**.

   Anda tidak dapat membuat kunci Multi-wilayah di toko AWS CloudHSM kunci.

1. Pilih **Berikutnya**.

1. Pilih toko AWS CloudHSM kunci untuk kunci KMS baru Anda. Untuk membuat toko AWS CloudHSM kunci baru, pilih **Buat toko kunci khusus**.

   Toko AWS CloudHSM kunci yang Anda pilih harus memiliki status **Terhubung**. AWS CloudHSM Cluster yang terkait harus aktif dan berisi setidaknya dua aktif HSMs di Availability Zone yang berbeda. 

   Untuk bantuan menghubungkan toko AWS CloudHSM kunci, lihat[Putuskan sambungan toko AWS CloudHSM kunci](connect-keystore.md). Untuk bantuan menambahkan HSMs, lihat [Menambahkan HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm) di *Panduan AWS CloudHSM Pengguna*.

1. Pilih **Berikutnya**.

1. Ketik alias dan deskripsi opsional untuk kunci KMS.

1. (Opsional). Pada halaman **Tambah Tag**, tambahkan tag yang mengidentifikasi atau mengkategorikan kunci KMS Anda.

   Saat menambahkan tag ke AWS sumber daya, buat AWS laporan alokasi biaya dengan penggunaan dan biaya yang dikumpulkan berdasarkan tag. Tag juga dapat digunakan untuk mengontrol akses ke kunci KMS. Untuk informasi tentang menandai kunci KMS, lihat [Tag di AWS KMS](tagging-keys.md) dan. [ABAC untuk AWS KMS](abac.md) 

1. Pilih **Berikutnya**.

1. Di bagian **Administrator Kunci**, pilih pengguna IAM dan peran yang dapat mengelola kunci KMS. Untuk informasi selengkapnya, lihat [Mengizinkan administrator kunci mengelola kunci KMS](key-policy-default.md#key-policy-default-allow-administrators).
**Catatan**  
Kebijakan IAM dapat memberikan izin kepada pengguna dan peran IAM lainnya untuk menggunakan kunci KMS.  
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.  
 AWS KMS Konsol menambahkan administrator kunci ke kebijakan kunci di bawah pengenal `"Allow access for Key Administrators"` pernyataan. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

1. (Opsional) Untuk mencegah administrator kunci ini menghapus kunci KMS ini, kosongkan kotak di bagian bawah halaman untuk **Izinkan administrator kunci untuk menghapus kunci** ini.

1. Pilih **Berikutnya**.

1. Di bagian **Akun ini**, pilih pengguna IAM dan peran dalam hal ini Akun AWS yang dapat menggunakan kunci KMS dalam operasi [kriptografi](kms-cryptography.md#cryptographic-operations). Untuk informasi selengkapnya, lihat [Mengizinkan pengguna kunci menggunakan kunci KMS](key-policy-default.md#key-policy-default-allow-users).
**Catatan**  
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.  
 AWS KMS Konsol menambahkan pengguna kunci ke kebijakan kunci di bawah pengidentifikasi pernyataan `"Allow use of the key"` dan`"Allow attachment of persistent resources"`. Memodifikasi pengidentifikasi pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

1. (Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, di Akun AWS bagian **Lain** di bagian bawah halaman, pilih **Tambahkan yang lain Akun AWS** dan masukkan Akun AWS ID akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.
**catatan**  
Administrator dari pihak lain juga Akun AWS harus mengizinkan akses ke kunci KMS dengan membuat kebijakan IAM untuk pengguna mereka. Untuk informasi selengkapnya, lihat [Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS](key-policy-modifying-external-accounts.md).

1. Pilih **Berikutnya**.

1. Tinjau pernyataan kebijakan utama untuk kunci tersebut. Untuk membuat perubahan pada kebijakan utama, pilih **Edit**.

1. Pilih **Berikutnya**.

1. Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.

1. Setelah selesai, pilih **Selesai** untuk membuat kunci.

Ketika prosedur berhasil, tampilan menunjukkan kunci KMS baru di toko AWS CloudHSM kunci yang Anda pilih. Saat Anda memilih nama atau alias kunci KMS baru, tab **konfigurasi Kriptografi** pada halaman detailnya menampilkan asal kunci KMS (**AWS CloudHSM**), nama, ID, dan jenis penyimpanan kunci khusus, dan ID cluster. AWS CloudHSM Jika prosedur gagal, muncul pesan kesalahan yang menjelaskan kegagalan.

**Tip**  
Untuk mempermudah mengidentifikasi kunci KMS di toko kunci kustom, pada halaman **Kunci yang dikelola Pelanggan**, tambahkan kolom **ID penyimpanan kunci kustom** ke tampilan. Klik ikon roda gigi di kanan atas dan pilih **ID penyimpanan kunci kustom**. Lihat perinciannya di [Sesuaikan tampilan konsol Anda](viewing-console-customize.md).

### Menggunakan AWS KMS API
<a name="create-cmk-keystore-api"></a>

Untuk membuat AWS KMS key (kunci KMS) baru di toko AWS CloudHSM kunci Anda, gunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi. Gunakan parameter `CustomKeyStoreId` untuk mengidentifikasi penyimpanan kunci kustom Anda dan menentukan nilai `Origin` dari `AWS_CLOUDHSM`. 

Anda mungkin juga ingin menggunakan parameter `Policy` untuk menentukan kebijakan kunci. Anda dapat mengubah kebijakan kunci ([PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)) dan menambahkan elemen opsional, seperti [deskripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) dan [tag](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) kapan saja.

Contoh dalam bagian ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Contoh berikut dimulai dengan panggilan ke [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi untuk memverifikasi bahwa penyimpanan AWS CloudHSM kunci terhubung ke AWS CloudHSM cluster terkait. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah Anda. Untuk menggambarkan hanya penyimpanan AWS CloudHSM kunci tertentu, gunakan `CustomKeyStoreId` atau `CustomKeyStoreName` parameternya (tetapi tidak keduanya).

Sebelum menjalankan perintah ini, ganti contoh ID penyimpanan kunci kustom dengan ID yang valid.

**catatan**  
Jangan sertakan informasi rahasia atau sensitif di `Tags` bidang `Description` atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS CloudHSM key store",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}
```

Contoh perintah berikutnya menggunakan [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operasi untuk memverifikasi bahwa AWS CloudHSM cluster yang terkait dengan `ExampleKeyStore` (cluster-1a23b4cdefg) memiliki setidaknya dua aktif. HSMs Jika cluster memiliki kurang dari dua HSMs, `CreateKey` operasi gagal.

```
$ aws cloudhsmv2 describe-clusters
{
    "Clusters": [
        {
            "SubnetMapping": {
               ...
            },
            "CreateTimestamp": 1507133412.351,
            "ClusterId": "cluster-1a23b4cdefg",
            "SecurityGroup": "sg-865af2fb",
            "HsmType": "hsm1.medium",
            "VpcId": "vpc-1a2b3c4d",
            "BackupPolicy": "DEFAULT",
            "Certificates": {
                "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n"
            },
            "Hsms": [
                {
                    "AvailabilityZone": "us-west-2a",
                    "EniIp": "10.0.1.11",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-a6b10bd1",
                    "HsmId": "hsm-abcdefghijk",
                    "State": "ACTIVE"
                },
                {
                    "AvailabilityZone": "us-west-2b",
                    "EniIp": "10.0.0.2",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-b6b10bd2",
                    "HsmId": "hsm-zyxwvutsrqp",
                    "State": "ACTIVE"
                },
            ],
            "State": "ACTIVE"
        }
    ]
}
```

Perintah contoh ini menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi untuk membuat kunci KMS di toko AWS CloudHSM kunci. Untuk membuat kunci KMS di toko AWS CloudHSM kunci, Anda harus memberikan ID penyimpanan kunci kustom dari toko AWS CloudHSM kunci dan menentukan `Origin` nilai`AWS_CLOUDHSM`.

Responsnya IDs mencakup penyimpanan kunci khusus dan AWS CloudHSM cluster. 

Sebelum menjalankan perintah ini, ganti contoh ID penyimpanan kunci kustom dengan ID yang valid.

```
$ aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-id cks-1234567890abcdef0
{
  "KeyMetadata": {
    "AWSAccountId": "111122223333",
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "CreationDate": 1.499288695918E9,
    "Description": "Example key",
    "Enabled": true,
    "MultiRegion": false,
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",    
    "Origin": "AWS_CLOUDHSM"
    "CloudHsmClusterId": "cluster-1a23b4cdefg",
    "CustomKeyStoreId": "cks-1234567890abcdef0"
    "KeySpec": "SYMMETRIC_DEFAULT",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "EncryptionAlgorithms": [
        "SYMMETRIC_DEFAULT"
    ]
  }
}
```

# Buat kunci KMS di toko kunci eksternal
<a name="create-xks-keys"></a>

Setelah Anda [membuat](create-xks-keystore.md) dan [menghubungkan](xks-connect-disconnect.md) toko kunci eksternal Anda, Anda dapat membuat AWS KMS keys di toko kunci Anda. Mereka harus [enkripsi simetris kunci KMS](symm-asymm-choose-key-spec.md#symmetric-cmks) dengan nilai asal dari **External key store** ()`EXTERNAL_KEY_STORE`. Anda tidak dapat membuat kunci [KMS asimetris, kunci](symmetric-asymmetric.md) KMS [HMAC atau kunci KMS](hmac.md) dengan [bahan kunci yang diimpor di toko kunci khusus](importing-keys.md). Selain itu, Anda tidak dapat menggunakan kunci KMS enkripsi simetris di toko kunci khusus untuk menghasilkan pasangan kunci data asimetris.

Kunci KMS di toko kunci eksternal mungkin memiliki latensi, daya tahan, dan ketersediaan yang lebih buruk daripada kunci KMS standar karena tergantung pada komponen yang berada di luar. AWS Sebelum membuat atau menggunakan kunci KMS di toko kunci eksternal, verifikasi bahwa Anda memerlukan kunci dengan properti penyimpanan kunci eksternal.

**catatan**  
Beberapa manajer kunci eksternal menyediakan metode yang lebih sederhana untuk membuat kunci KMS di toko kunci eksternal. Untuk detailnya, lihat dokumentasi pengelola kunci eksternal Anda.

Untuk membuat kunci KMS di toko kunci eksternal Anda, Anda menentukan yang berikut ini:
+ ID toko kunci eksternal Anda.
+ [Asal bahan utama](create-keys.md#key-origin) dari toko kunci Eksternal (`EXTERNAL_KEY_STORE`).
+ ID [kunci eksternal](keystore-external.md#concept-external-key) yang ada di [pengelola kunci eksternal](keystore-external.md#concept-ekm) yang terkait dengan penyimpanan kunci eksternal Anda. Kunci eksternal ini berfungsi sebagai bahan utama untuk kunci KMS. Anda tidak dapat mengubah ID kunci eksternal setelah Anda membuat kunci KMS.

  AWS KMS menyediakan ID kunci eksternal ke proxy penyimpanan kunci eksternal Anda dalam permintaan untuk operasi enkripsi dan dekripsi. AWS KMS tidak dapat langsung mengakses manajer kunci eksternal Anda atau kunci kriptografinya.

Selain kunci eksternal, kunci KMS di toko kunci eksternal juga memiliki bahan AWS KMS utama. Semua data yang dienkripsi di bawah kunci KMS pertama kali dienkripsi AWS KMS menggunakan bahan kunci kunci dan kemudian oleh manajer AWS KMS kunci eksternal Anda menggunakan kunci eksternal Anda. Proses [enkripsi ganda](keystore-external.md#concept-double-encryption) ini memastikan bahwa ciphertext yang dilindungi oleh kunci KMS di penyimpanan kunci eksternal setidaknya sekuat ciphertext yang hanya dilindungi oleh. AWS KMS Lihat perinciannya di [Cara kerja toko kunci eksternal](keystore-external.md#xks-how-it-works).

Ketika `CreateKey` operasi berhasil, [status kunci](key-state.md) dari kunci KMS baru adalah. `Enabled` Ketika Anda [melihat kunci KMS di penyimpanan kunci eksternal](identify-key-types.md#view-xks-key), Anda dapat melihat properti tipikal, seperti ID kunci, [spesifikasi kunci](create-keys.md#key-spec), [penggunaan kunci](create-keys.md#key-usage), [status kunci](key-state.md), dan tanggal pembuatan. Tetapi Anda juga dapat melihat ID dan [status koneksi](xks-connect-disconnect.md#xks-connection-state) dari penyimpanan kunci eksternal dan ID kunci eksternal.

Jika upaya Anda untuk membuat kunci KMS di penyimpanan kunci eksternal gagal, gunakan pesan kesalahan untuk mengidentifikasi penyebabnya. Ini mungkin menunjukkan bahwa penyimpanan kunci eksternal tidak terhubung (`CustomKeyStoreInvalidStateException`), bahwa proxy penyimpanan kunci eksternal Anda tidak dapat menemukan kunci eksternal dengan ID kunci eksternal yang ditentukan (`XksKeyNotFoundException`), atau bahwa kunci eksternal sudah dikaitkan dengan kunci KMS di penyimpanan `XksKeyAlreadyInUseException` kunci eksternal yang sama.

Untuk contoh AWS CloudTrail log operasi yang membuat kunci KMS di penyimpanan kunci eksternal, lihat[CreateKey](ct-createkey.md).

**Topics**
+ [Persyaratan untuk kunci KMS di toko kunci eksternal](#xks-key-requirements)
+ [Buat kunci KMS baru di toko kunci eksternal Anda](#create-key-xks)

## Persyaratan untuk kunci KMS di toko kunci eksternal
<a name="xks-key-requirements"></a>

Untuk membuat kunci KMS di penyimpanan kunci eksternal, properti berikut diperlukan dari penyimpanan kunci eksternal, kunci KMS, dan kunci eksternal yang berfungsi sebagai bahan kunci kriptografi eksternal untuk kunci KMS.

**Persyaratan toko kunci eksternal**
+ Harus terhubung ke proxy penyimpanan kunci eksternal.

  Untuk melihat [status koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci eksternal Anda, lihat[Lihat toko kunci eksternal](view-xks-keystore.md). Untuk menghubungkan toko kunci eksternal Anda, lihat[Connect dan lepaskan penyimpanan kunci eksternal](xks-connect-disconnect.md). 

**Persyaratan utama KMS**

Anda tidak dapat mengubah properti ini setelah Anda membuat kunci KMS.
+ Spesifikasi kunci: SYMMETRIC\$1DEFAULT
+ Penggunaan kunci: ENCRYPT\$1DECRYPT
+ Asal bahan utama: EXTERNAL\$1KEY\$1STORE
+ Multi-Wilayah: SALAH

**Persyaratan kunci eksternal**
+ Kunci kriptografi AES 256-bit (256 bit acak). Kunci eksternal harus`AES_256`. `KeySpec`
+ Diaktifkan dan tersedia untuk digunakan. Kunci eksternal harus`ENABLED`. `Status`
+ Dikonfigurasi untuk enkripsi dan dekripsi. Kunci eksternal harus mencakup `ENCRYPT` dan`DECRYPT`. `KeyUsage`
+ Digunakan hanya dengan kunci KMS ini. Masing-masing `KMS key` di penyimpanan kunci eksternal harus dikaitkan dengan kunci eksternal yang berbeda.

  AWS KMS juga merekomendasikan agar kunci eksternal digunakan secara eksklusif untuk penyimpanan kunci eksternal. Pembatasan ini membuatnya lebih mudah untuk mengidentifikasi dan menyelesaikan masalah dengan kunci.
+ Dapat diakses oleh [proxy penyimpanan kunci eksternal](keystore-external.md#concept-xks-proxy) untuk penyimpanan kunci eksternal.

  Jika proxy penyimpanan kunci eksternal tidak dapat menemukan kunci menggunakan ID kunci eksternal yang ditentukan, `CreateKey` operasi gagal.
+ Dapat menangani lalu lintas yang diantisipasi yang Anda gunakan Layanan AWS menghasilkan. AWS KMS merekomendasikan agar kunci eksternal disiapkan untuk menangani hingga 1800 permintaan per detik.

## Buat kunci KMS baru di toko kunci eksternal Anda
<a name="create-key-xks"></a>

Anda dapat membuat kunci KMS baru di toko kunci eksternal Anda di AWS KMS konsol atau dengan menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi.

### Menggunakan AWS KMS konsol
<a name="create-xks-key-console"></a>

Ada dua cara untuk membuat kunci KMS di toko kunci eksternal.
+ Metode 1 (disarankan): Pilih penyimpanan kunci eksternal, lalu buat kunci KMS di toko kunci eksternal itu.
+ Metode 2: Buat kunci KMS, lalu tunjukkan bahwa itu ada di toko kunci eksternal.

Jika Anda menggunakan Metode 1, di mana Anda memilih penyimpanan kunci eksternal sebelum Anda membuat kunci Anda, AWS KMS memilih semua properti kunci KMS yang diperlukan untuk Anda dan mengisi ID penyimpanan kunci eksternal Anda. Metode ini menghindari kesalahan yang mungkin Anda buat saat membuat kunci KMS Anda.

**catatan**  
Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

**Metode 1 (disarankan): Mulai di toko kunci eksternal Anda**

Untuk menggunakan metode ini, pilih toko kunci eksternal Anda, lalu buat kunci KMS. AWS KMS Konsol memilih semua properti yang diperlukan untuk Anda dan mengisi ID penyimpanan kunci eksternal Anda. Metode ini menghindari banyak kesalahan yang mungkin Anda buat saat membuat kunci KMS Anda.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, Toko** **kunci eksternal**.

1. Pilih nama toko kunci eksternal Anda.

1. Di pojok kanan atas, pilih **Buat kunci KMS di toko kunci ini**.

   Jika toko kunci eksternal *tidak* terhubung, Anda akan diminta untuk menghubungkannya. Jika upaya koneksi gagal, Anda harus menyelesaikan masalah dan menghubungkan penyimpanan kunci eksternal sebelum Anda dapat membuat kunci KMS baru di dalamnya.

   Jika penyimpanan kunci eksternal terhubung, Anda diarahkan ke halaman **kunci yang dikelola Pelanggan** untuk membuat kunci. Nilai **konfigurasi Kunci** yang diperlukan sudah dipilih untuk Anda. Juga, ID penyimpanan kunci khusus dari toko kunci eksternal Anda diisi, meskipun Anda dapat mengubahnya.

1. Masukkan ID kunci dari [kunci eksternal](keystore-external.md#concept-external-key) di [pengelola kunci eksternal](keystore-external.md#concept-ekm) Anda. Kunci eksternal ini harus [memenuhi persyaratan](#xks-key-requirements) untuk digunakan dengan kunci KMS. Anda tidak dapat mengubah nilai ini setelah kunci dibuat.

   Jika kunci eksternal memiliki beberapa IDs, masukkan ID kunci yang digunakan proxy penyimpanan kunci eksternal untuk mengidentifikasi kunci eksternal. 

1. Konfirmasikan bahwa Anda bermaksud membuat kunci KMS di toko kunci eksternal yang ditentukan.

1. Pilih **Berikutnya**.

   Sisa dari prosedur ini sama dengan [membuat kunci KMS standar](create-keys.md). 

1. Ketik alias (wajib) dan deskripsi (opsional) untuk kunci KMS.

1. (Opsional). Pada halaman **Tambah Tag**, tambahkan tag yang mengidentifikasi atau mengkategorikan kunci KMS Anda.

   Saat Anda menambahkan tag ke AWS sumber daya Anda, AWS buat laporan alokasi biaya dengan penggunaan dan biaya yang dikumpulkan berdasarkan tag. Tag juga dapat digunakan untuk mengontrol akses ke kunci KMS. Untuk informasi tentang menandai kunci KMS, lihat [Tag di AWS KMS](tagging-keys.md) dan. [ABAC untuk AWS KMS](abac.md) 

1. Pilih **Berikutnya**.

1. Di bagian **Key Administrators**, pilih pengguna IAM dan peran yang dapat mengelola kunci KMS. Untuk informasi selengkapnya, lihat [Mengizinkan administrator kunci mengelola kunci KMS](key-policy-default.md#key-policy-default-allow-administrators).
**catatan**  
Kebijakan IAM dapat memberikan izin kepada pengguna dan peran IAM lainnya untuk menggunakan kunci KMS.  
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensyal jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.

1. (Opsional) Untuk mencegah administrator kunci ini menghapus kunci KMS ini, hapus kotak centang **Izinkan administrator kunci untuk menghapus kunci ini**.

   Menghapus kunci KMS adalah operasi destruktif dan ireversibel yang dapat membuat ciphertext tidak dapat dipulihkan. Anda tidak dapat membuat ulang kunci KMS simetris di penyimpanan kunci eksternal, bahkan jika Anda memiliki materi kunci eksternal. Namun, menghapus kunci KMS tidak berpengaruh pada kunci eksternal yang terkait. Untuk informasi tentang menghapus kunci KMS dari penyimpanan kunci eksternal, lihat [Pertimbangan khusus untuk](deleting-keys.md#special-considerations-delete) menghapus kunci.

1. Pilih **Berikutnya**.

1. Di bagian **Akun ini**, pilih pengguna IAM dan peran dalam hal ini Akun AWS yang dapat menggunakan kunci KMS dalam operasi [kriptografi](kms-cryptography.md#cryptographic-operations). Untuk informasi selengkapnya, lihat [Mengizinkan pengguna kunci menggunakan kunci KMS](key-policy-default.md#key-policy-default-allow-users).
**catatan**  
Kebijakan IAM dapat memberikan izin kepada pengguna dan peran IAM lainnya untuk menggunakan kunci KMS.  
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensyal jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.

1. (Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, di Akun AWS bagian **Lain** di bagian bawah halaman, pilih **Tambahkan yang lain Akun AWS** dan masukkan Akun AWS ID akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.
**catatan**  
Administrator dari pihak lain juga Akun AWS harus mengizinkan akses ke kunci KMS dengan membuat kebijakan IAM untuk pengguna mereka. Untuk informasi selengkapnya, lihat [Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS](key-policy-modifying-external-accounts.md).

1. Pilih **Selanjutnya**.

1. Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.

1. Setelah selesai, pilih **Selesai** untuk membuat kunci.

**Metode 2: Mulai di kunci yang dikelola Pelanggan**

Prosedur ini sama dengan prosedur untuk membuat kunci enkripsi simetris dengan bahan AWS KMS kunci. Namun, dalam prosedur ini, Anda menentukan ID penyimpanan kunci khusus dari penyimpanan kunci eksternal dan ID kunci dari kunci eksternal. Anda juga harus menentukan [nilai properti yang diperlukan](#xks-key-requirements) untuk kunci KMS di penyimpanan kunci eksternal, seperti spesifikasi kunci dan penggunaan kunci.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.

1. Pilih **Buat kunci**.

1. Pilih **Simetris**.

1. Dalam **Penggunaan kunci**, opsi **Enkripsi dan dekripsi** dipilih untuk Anda. Jangan mengubahnya. 

1. Pilih **Opsi lanjutan**.

1. Untuk **asal bahan utama**, pilih **Toko kunci eksternal**.

1. Konfirmasikan bahwa Anda bermaksud membuat kunci KMS di toko kunci eksternal yang ditentukan.

1. Pilih **Berikutnya**.

1. Pilih baris yang mewakili penyimpanan kunci eksternal untuk kunci KMS baru Anda. 

   Anda tidak dapat memilih toko kunci eksternal yang terputus. Untuk menghubungkan toko kunci yang terputus, pilih nama toko kunci, dan kemudian, dari **tindakan Key Store**, pilih, **Connect**. Lihat perinciannya di [Menggunakan AWS KMS konsol](about-xks-connecting.md#connect-xks-console).

1. Masukkan ID kunci dari [kunci eksternal](keystore-external.md#concept-external-key) di [pengelola kunci eksternal](keystore-external.md#concept-ekm) Anda. Kunci eksternal ini harus [memenuhi persyaratan](#xks-key-requirements) untuk digunakan dengan kunci KMS. Anda tidak dapat mengubah nilai ini setelah kunci dibuat.

   Jika kunci eksternal memiliki beberapa IDs, masukkan ID kunci yang digunakan proxy penyimpanan kunci eksternal untuk mengidentifikasi kunci eksternal. 

1. Pilih **Berikutnya**.

   Sisa dari prosedur ini sama dengan [membuat kunci KMS standar](create-keys.md). 

1. Ketik alias dan deskripsi opsional untuk kunci KMS.

1. (Opsional). Pada halaman **Tambah Tag**, tambahkan tag yang mengidentifikasi atau mengkategorikan kunci KMS Anda.

   Saat Anda menambahkan tag ke AWS sumber daya Anda, AWS buat laporan alokasi biaya dengan penggunaan dan biaya yang dikumpulkan berdasarkan tag. Tag juga dapat digunakan untuk mengontrol akses ke kunci KMS. Untuk informasi tentang menandai kunci KMS, lihat [Tag di AWS KMS](tagging-keys.md) dan. [ABAC untuk AWS KMS](abac.md) 

1. Pilih **Berikutnya**.

1. Di bagian **Key Administrators**, pilih pengguna IAM dan peran yang dapat mengelola kunci KMS. Untuk informasi selengkapnya, lihat [Mengizinkan administrator kunci mengelola kunci KMS](key-policy-default.md#key-policy-default-allow-administrators).
**catatan**  
Kebijakan IAM dapat memberikan izin kepada pengguna dan peran IAM lainnya untuk menggunakan kunci KMS.

1. (Opsional) Untuk mencegah administrator kunci ini menghapus kunci KMS ini, hapus kotak centang **Izinkan administrator kunci untuk menghapus kunci ini**.

   Menghapus kunci KMS adalah operasi destruktif dan ireversibel yang dapat membuat ciphertext tidak dapat dipulihkan. Anda tidak dapat membuat ulang kunci KMS simetris di penyimpanan kunci eksternal, bahkan jika Anda memiliki materi kunci eksternal. Namun, menghapus kunci KMS tidak berpengaruh pada kunci eksternal yang terkait. Untuk informasi tentang menghapus kunci KMS dari penyimpanan kunci eksternal, lihat. [Menghapus sebuah AWS KMS key](deleting-keys.md)

1. Pilih **Berikutnya**.

1. Di bagian **Akun ini**, pilih pengguna IAM dan peran dalam hal ini Akun AWS yang dapat menggunakan kunci KMS dalam operasi [kriptografi](kms-cryptography.md#cryptographic-operations). Untuk informasi selengkapnya, lihat [Mengizinkan pengguna kunci menggunakan kunci KMS](key-policy-default.md#key-policy-default-allow-users).
**catatan**  
Kebijakan IAM dapat memberikan izin kepada pengguna dan peran IAM lainnya untuk menggunakan kunci KMS.

1. (Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, di Akun AWS bagian **Lain** di bagian bawah halaman, pilih **Tambahkan yang lain Akun AWS** dan masukkan Akun AWS ID akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.
**catatan**  
Administrator dari pihak lain juga Akun AWS harus mengizinkan akses ke kunci KMS dengan membuat kebijakan IAM untuk pengguna mereka. Untuk informasi selengkapnya, lihat [Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS](key-policy-modifying-external-accounts.md).

1. Pilih **Selanjutnya**.

1. Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.

1. Setelah selesai, pilih **Selesai** untuk membuat kunci.

Ketika prosedur berhasil, tampilan menunjukkan kunci KMS baru di toko kunci eksternal yang Anda pilih. Ketika Anda memilih nama atau alias kunci KMS baru, tab **konfigurasi Kriptografi** pada halaman detailnya menampilkan asal kunci KMS (**penyimpanan kunci eksternal**), nama, ID, dan jenis penyimpanan kunci kustom, dan ID, penggunaan kunci, dan status kunci eksternal. Jika prosedur gagal, muncul pesan kesalahan yang menjelaskan kegagalan. Untuk, lihat[Memecahkan masalah toko kunci eksternal](xks-troubleshooting.md).

**Tip**  
Untuk mempermudah mengidentifikasi kunci KMS di toko kunci kustom, pada halaman **Kunci yang dikelola Pelanggan**, tambahkan kolom **ID penyimpanan kunci **Asal** dan Kustom** ke tampilan. Untuk mengubah bidang tabel, pilih ikon roda gigi di sudut kanan atas halaman. Lihat perinciannya di [Sesuaikan tampilan konsol Anda](viewing-console-customize.md).

### Menggunakan AWS KMS API
<a name="create-xks-key-api"></a>

Untuk membuat kunci KMS baru di toko kunci eksternal, gunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi. Parameter-parameter berikut diperlukan:
+ Nilai `Origin` haruslah `EXTERNAL_KEY_STORE`.
+ `CustomKeyStoreId`Parameter mengidentifikasi penyimpanan kunci eksternal Anda. Penyimpanan kunci eksternal yang ditentukan harus`CONNECTED`. [`ConnectionState`](xks-connect-disconnect.md#xks-connection-state) Untuk menemukan `CustomKeyStoreId` dan`ConnectionState`, gunakan `DescribeCustomKeyStores` operasi.
+ `XksKeyId`Parameter mengidentifikasi kunci eksternal. Kunci eksternal ini harus [memenuhi persyaratan](#xks-key-requirements) untuk asosiasi dengan kunci KMS. 

Anda juga dapat menggunakan salah satu parameter opsional `CreateKey` operasi, seperti menggunakan parameter `Policy` atau [Tag](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html).

**catatan**  
Jangan sertakan informasi rahasia atau sensitif di `Tags` bidang `Description` atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

Contoh dalam bagian ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Perintah contoh ini menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi untuk membuat kunci KMS di toko kunci eksternal. Respons mencakup properti kunci KMS, ID penyimpanan kunci eksternal, dan ID, penggunaan, dan status kunci eksternal.

Sebelum menjalankan perintah ini, ganti contoh ID penyimpanan kunci kustom dengan ID yang valid.

```
$ aws kms create-key --origin EXTERNAL_KEY_STORE --custom-key-store-id cks-1234567890abcdef0 --xks-key-id bb8562717f809024
{
  "KeyMetadata": {
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "AWSAccountId": "111122223333",
    "CreationDate": "2022-12-02T07:48:55-07:00",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "CustomKeyStoreId": "cks-1234567890abcdef0",
    "Description": "",
    "Enabled": true,
    "EncryptionAlgorithms": [
      "SYMMETRIC_DEFAULT"
    ],
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeySpec": "SYMMETRIC_DEFAULT",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "MultiRegion": false,
    "Origin": "EXTERNAL_KEY_STORE",
    "XksKeyConfiguration": {
      "Id": "bb8562717f809024"
    }
  }
}
```