Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Buat kunci utama Multi-wilayah

PDF
RSS
Mode fokus
Buat kunci utama Multi-wilayah - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Anda dapat membuat kunci utama Multi-region di AWS KMS konsol atau dengan menggunakan AWS KMS API. Anda dapat membuat kunci utama di Wilayah AWS mana saja yang AWS KMS mendukung kunci Multi-wilayah.

Untuk membuat kunci primer Multi-wilayah, prinsipal memerlukan izin yang sama dengan yang mereka perlukan untuk membuat kunci KMS apa pun, termasuk CreateKey izin kms: dalam kebijakan IAM. Kepala sekolah juga membutuhkan iam: CreateServiceLinkedRole izin. Anda dapat menggunakan kms: MultiRegionKeyType condition key untuk mengizinkan atau menolak izin untuk membuat kunci utama Multi-region.

catatan

Saat membuat kunci utama Multi-wilayah, pertimbangkan dengan cermat pengguna dan peran IAM yang Anda pilih untuk dikelola dan gunakan kunci tersebut. Kebijakan IAM dapat memberikan izin kepada pengguna dan peran IAM lainnya untuk mengelola kunci KMS.

Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.

Untuk membuat kunci utama Multi-region di AWS KMS konsol, gunakan proses yang sama yang akan Anda gunakan untuk membuat kunci KMS apa pun.. Anda memilih kunci multi-Wilayah di Opsi lanjutan. Untuk instruksi selengkapnya, lihat Buat kunci KMS.

penting

Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Kunci yang dikelola pelanggan.

  4. Pilih Buat kunci.

  5. Pilih jenis kunci simetris atau asimetris. Tombol simetris adalah default.

    Anda dapat membuat kunci simetris dan asimetris multi-wilayah, termasuk kunci KMS HMAC Multi-wilayah, yang simetris.

  6. Pilih penggunaan kunci Anda. Enkripsi dan dekripsi adalah default.

    Untuk bantuan, lihatBuat kunci KMS,Buat kunci KMS asimetris, atauBuat kunci HMAC KMS.

  7. Perluas Opsi lanjutan.

  8. Di bawah Key material origin, untuk AWS KMS menghasilkan materi kunci yang akan dibagikan kunci utama dan replika Anda, pilih KMS. Jika Anda mengimpor materi kunci ke kunci primer dan replika, pilih Eksternal (Impor bahan kunci).

  9. Di bawah Regionalitas, pilih Multi-Region key.

    Anda tidak dapat mengubah pengaturan ini setelah Anda membuat kunci KMS.

  10. Ketik alias untuk kunci utama.

    Alias bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika alias yang sama atau alias yang berbeda. AWS KMS tidak menyinkronkan alias kunci Multi-wilayah.

    catatan

    Menambahkan, menghapus, atau memperbarui alias dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat ABAC untuk AWS KMS dan Gunakan alias untuk mengontrol akses ke tombol KMS.

  11. (Opsional) Ketik deskripsi kunci utama.

    Deskripsi bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika deskripsi yang sama atau deskripsi yang berbeda. AWS KMS tidak menyinkronkan deskripsi kunci kunci Multi-region.

  12. (Opsional) Ketik kunci tanda dan nilai tanda opsional. Untuk menetapkan lebih dari satu tag ke kunci utama, pilih Tambah tag.

    Tag bukanlah properti bersama dari kunci multi-Wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika tag yang sama atau tag yang berbeda. AWS KMS tidak menyinkronkan tag tombol Multi-wilayah. Anda dapat mengubah tag pada tombol KMS kapan saja.

    catatan

    Menandai atau melepas tag kunci KMS dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat ABAC untuk AWS KMS dan Gunakan tag untuk mengontrol akses ke tombol KMS.

  13. Pilih pengguna IAM dan peran yang dapat mengelola kunci utama.

    Catatan

    • Langkah ini memulai proses pembuatan kebijakan kunci untuk kunci utama. Kebijakan utama bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika kebijakan kunci yang sama atau kebijakan kunci yang berbeda. AWS KMS tidak menyinkronkan kebijakan kunci kunci Multi-region. Anda dapat mengubah kebijakan kunci kunci KMS kapan saja.

    • Saat membuat kunci primer Multi-wilayah, pertimbangkan untuk menggunakan kebijakan kunci default yang dihasilkan oleh konsol. Jika Anda mengubah kebijakan ini, konsol tidak akan memberikan langkah-langkah untuk memilih administrator kunci dan pengguna saat membuat kunci replika, juga tidak akan menambahkan pernyataan kebijakan terkait. Akibatnya, Anda harus menambahkan ini secara manual.

    • AWS KMS Konsol menambahkan administrator kunci ke kebijakan kunci di bawah pengenal "Allow access for Key Administrators" pernyataan. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

  14. (Opsional) Untuk mencegah pengguna dan peran IAM yang dipilih menghapus kunci KMS ini, di bagian Penghapusan kunci di bagian bawah halaman, kosongkan kotak centang Izinkan administrator kunci untuk menghapus kunci ini.

  15. Pilih Berikutnya.

  16. Pilih pengguna IAM dan peran yang dapat menggunakan kunci KMS untuk operasi kriptografi.

    Catatan

    AWS KMS Konsol menambahkan pengguna kunci ke kebijakan kunci di bawah pengidentifikasi pernyataan "Allow use of the key" dan"Allow attachment of persistent resources". Memodifikasi pengidentifikasi pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

  17. (Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, dalam bagian Lainnya Akun AWS di bawah halaman, pilih Tambahkan Akun AWS lain dan masukkan nomor identifikasi Akun AWS akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.

    catatan

    Untuk mengizinkan prinsipal di akun eksternal menggunakan kunci KMS, Administrator akun eksternal harus membuat kebijakan IAM yang memberikan izin ini. Untuk informasi selengkapnya, lihat Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS.

  18. Pilih Berikutnya.

  19. Tinjau pernyataan kebijakan utama untuk kunci tersebut. Untuk membuat perubahan pada kebijakan utama, pilih Edit.

  20. Pilih Berikutnya.

  21. Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.

  22. Pilih Selesai untuk membuat kunci utama Multi-wilayah.

Untuk membuat kunci utama Multi-region di AWS KMS konsol, gunakan proses yang sama yang akan Anda gunakan untuk membuat kunci KMS apa pun.. Anda memilih kunci multi-Wilayah di Opsi lanjutan. Untuk instruksi selengkapnya, lihat Buat kunci KMS.

penting

Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Kunci yang dikelola pelanggan.

  4. Pilih Buat kunci.

  5. Pilih jenis kunci simetris atau asimetris. Tombol simetris adalah default.

    Anda dapat membuat kunci simetris dan asimetris multi-wilayah, termasuk kunci KMS HMAC Multi-wilayah, yang simetris.

  6. Pilih penggunaan kunci Anda. Enkripsi dan dekripsi adalah default.

    Untuk bantuan, lihatBuat kunci KMS,Buat kunci KMS asimetris, atauBuat kunci HMAC KMS.

  7. Perluas Opsi lanjutan.

  8. Di bawah Key material origin, untuk AWS KMS menghasilkan materi kunci yang akan dibagikan kunci utama dan replika Anda, pilih KMS. Jika Anda mengimpor materi kunci ke kunci primer dan replika, pilih Eksternal (Impor bahan kunci).

  9. Di bawah Regionalitas, pilih Multi-Region key.

    Anda tidak dapat mengubah pengaturan ini setelah Anda membuat kunci KMS.

  10. Ketik alias untuk kunci utama.

    Alias bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika alias yang sama atau alias yang berbeda. AWS KMS tidak menyinkronkan alias kunci Multi-wilayah.

    catatan

    Menambahkan, menghapus, atau memperbarui alias dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat ABAC untuk AWS KMS dan Gunakan alias untuk mengontrol akses ke tombol KMS.

  11. (Opsional) Ketik deskripsi kunci utama.

    Deskripsi bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika deskripsi yang sama atau deskripsi yang berbeda. AWS KMS tidak menyinkronkan deskripsi kunci kunci Multi-region.

  12. (Opsional) Ketik kunci tanda dan nilai tanda opsional. Untuk menetapkan lebih dari satu tag ke kunci utama, pilih Tambah tag.

    Tag bukanlah properti bersama dari kunci multi-Wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika tag yang sama atau tag yang berbeda. AWS KMS tidak menyinkronkan tag tombol Multi-wilayah. Anda dapat mengubah tag pada tombol KMS kapan saja.

    catatan

    Menandai atau melepas tag kunci KMS dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat ABAC untuk AWS KMS dan Gunakan tag untuk mengontrol akses ke tombol KMS.

  13. Pilih pengguna IAM dan peran yang dapat mengelola kunci utama.

    Catatan

    • Langkah ini memulai proses pembuatan kebijakan kunci untuk kunci utama. Kebijakan utama bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika kebijakan kunci yang sama atau kebijakan kunci yang berbeda. AWS KMS tidak menyinkronkan kebijakan kunci kunci Multi-region. Anda dapat mengubah kebijakan kunci kunci KMS kapan saja.

    • Saat membuat kunci primer Multi-wilayah, pertimbangkan untuk menggunakan kebijakan kunci default yang dihasilkan oleh konsol. Jika Anda mengubah kebijakan ini, konsol tidak akan memberikan langkah-langkah untuk memilih administrator kunci dan pengguna saat membuat kunci replika, juga tidak akan menambahkan pernyataan kebijakan terkait. Akibatnya, Anda harus menambahkan ini secara manual.

    • AWS KMS Konsol menambahkan administrator kunci ke kebijakan kunci di bawah pengenal "Allow access for Key Administrators" pernyataan. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

  14. (Opsional) Untuk mencegah pengguna dan peran IAM yang dipilih menghapus kunci KMS ini, di bagian Penghapusan kunci di bagian bawah halaman, kosongkan kotak centang Izinkan administrator kunci untuk menghapus kunci ini.

  15. Pilih Berikutnya.

  16. Pilih pengguna IAM dan peran yang dapat menggunakan kunci KMS untuk operasi kriptografi.

    Catatan

    AWS KMS Konsol menambahkan pengguna kunci ke kebijakan kunci di bawah pengidentifikasi pernyataan "Allow use of the key" dan"Allow attachment of persistent resources". Memodifikasi pengidentifikasi pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

  17. (Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, dalam bagian Lainnya Akun AWS di bawah halaman, pilih Tambahkan Akun AWS lain dan masukkan nomor identifikasi Akun AWS akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.

    catatan

    Untuk mengizinkan prinsipal di akun eksternal menggunakan kunci KMS, Administrator akun eksternal harus membuat kebijakan IAM yang memberikan izin ini. Untuk informasi selengkapnya, lihat Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS.

  18. Pilih Berikutnya.

  19. Tinjau pernyataan kebijakan utama untuk kunci tersebut. Untuk membuat perubahan pada kebijakan utama, pilih Edit.

  20. Pilih Berikutnya.

  21. Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.

  22. Pilih Selesai untuk membuat kunci utama Multi-wilayah.

Untuk membuat kunci primer Multi-wilayah, gunakan CreateKeyoperasi. Gunakan parameter MultiRegion dengan nilai True.

Misalnya, perintah berikut membuat kunci utama Multi-region di pemanggil ( Wilayah AWS us-east-1). Ia menerima nilai default untuk semua properti lainnya, termasuk kebijakan kunci. Nilai default untuk kunci primer Multi-region sama dengan nilai default untuk semua kunci KMS lainnya, termasuk kebijakan kunci default. Prosedur ini menciptakan kunci enkripsi simetris, kunci KMS default.

Tanggapan meliputi elemen MultiRegion dan elemen MultiRegionConfiguration dengan sub-elemen khas dan nilai untuk kunci primer multi-Wilayah tanpa kunci replika. ID kunci dari kunci multi-wilayah selalu dimulai dengan mrk-.

penting

Jangan sertakan informasi rahasia atau sensitif di Tags bidang Description atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

$ aws kms create-key --multi-region
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1606329032.475,
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": { 
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [ ]
      }
    }
}

Untuk membuat kunci primer Multi-wilayah, gunakan CreateKeyoperasi. Gunakan parameter MultiRegion dengan nilai True.

Misalnya, perintah berikut membuat kunci utama Multi-region di pemanggil ( Wilayah AWS us-east-1). Ia menerima nilai default untuk semua properti lainnya, termasuk kebijakan kunci. Nilai default untuk kunci primer Multi-region sama dengan nilai default untuk semua kunci KMS lainnya, termasuk kebijakan kunci default. Prosedur ini menciptakan kunci enkripsi simetris, kunci KMS default.

Tanggapan meliputi elemen MultiRegion dan elemen MultiRegionConfiguration dengan sub-elemen khas dan nilai untuk kunci primer multi-Wilayah tanpa kunci replika. ID kunci dari kunci multi-wilayah selalu dimulai dengan mrk-.

penting

Jangan sertakan informasi rahasia atau sensitif di Tags bidang Description atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

$ aws kms create-key --multi-region
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1606329032.475,
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": { 
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [ ]
      }
    }
}
PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.