Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Buat kunci utama Multi-wilayah
<a name="create-primary-keys"></a>

Anda dapat membuat [kunci utama Multi-region](multi-region-keys-overview.md#mrk-primary-key) di AWS KMS konsol atau dengan menggunakan AWS KMS API. Anda dapat membuat kunci utama di Wilayah AWS mana saja yang AWS KMS mendukung kunci Multi-wilayah.

Untuk membuat kunci primer Multi-wilayah, prinsipal memerlukan [izin yang sama dengan yang](create-keys.md#create-key-permissions) mereka perlukan untuk membuat kunci KMS apa pun, termasuk CreateKey izin [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) dalam kebijakan IAM. Kepala sekolah juga membutuhkan [iam: CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) izin. Anda dapat menggunakan [kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type) condition key untuk mengizinkan atau menolak izin untuk membuat kunci utama Multi-region.

**catatan**  
Saat membuat kunci utama Multi-wilayah, pertimbangkan dengan cermat pengguna dan peran IAM yang Anda pilih untuk dikelola dan gunakan kunci tersebut. Kebijakan IAM dapat memberikan izin kepada pengguna dan peran IAM lainnya untuk mengelola kunci KMS.  
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.

## Menggunakan AWS KMS konsol
<a name="create-primary-console"></a>

Untuk membuat kunci utama Multi-region di AWS KMS konsol, gunakan proses yang sama yang akan Anda gunakan untuk membuat kunci KMS apa pun.. Anda memilih kunci multi-Wilayah di **Opsi lanjutan**. Untuk instruksi selengkapnya, lihat [Buat kunci KMS](create-keys.md).

**penting**  
Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.

1. Pilih **Buat kunci**.

1. Pilih jenis kunci [simetris atau asimetris](symmetric-asymmetric.md). Tombol simetris adalah default.

   Anda dapat membuat kunci simetris dan asimetris multi-wilayah, termasuk kunci KMS HMAC Multi-wilayah, yang simetris. 

1. Pilih penggunaan kunci Anda. **Enkripsi dan dekripsi adalah default**.

   Untuk bantuan, lihat[Buat kunci KMS](create-keys.md),[Buat kunci KMS asimetris](asymm-create-key.md), atau[Buat kunci HMAC KMS](hmac-create-key.md).

1. Perluas **Opsi lanjutan**.

1. Di bawah **Key material origin**, untuk AWS KMS menghasilkan materi kunci yang akan dibagikan kunci utama dan replika Anda, pilih **KMS**. Jika Anda [mengimpor materi kunci ke kunci](importing-keys-create-cmk.md) primer dan replika, pilih **Eksternal (Impor bahan kunci**). 

1. Di bawah **Regionalitas**, pilih **Multi-Region** key.

   Anda tidak dapat mengubah pengaturan ini setelah Anda membuat kunci KMS. 

1. Ketik [alias](kms-alias.md) untuk kunci utama. 

   Alias bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika alias yang sama atau alias yang berbeda. AWS KMS tidak menyinkronkan alias kunci Multi-wilayah.
**catatan**  
Menambahkan, menghapus, atau memperbarui alias dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat [ABAC untuk AWS KMS](abac.md) dan [Gunakan alias untuk mengontrol akses ke tombol KMS](alias-authorization.md).

1. (Opsional) Ketik deskripsi kunci utama.

   Deskripsi bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika deskripsi yang sama atau deskripsi yang berbeda. AWS KMS tidak menyinkronkan deskripsi kunci kunci Multi-region.

1. (Opsional) Ketik kunci tanda dan nilai tanda opsional. Untuk menetapkan lebih dari satu tag ke kunci utama, pilih **Tambah tag**.

   Tag bukanlah properti bersama dari kunci multi-Wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika tag yang sama atau tag yang berbeda. AWS KMS tidak menyinkronkan tag kunci Multi-wilayah. Anda dapat mengubah tag pada tombol KMS kapan saja.
**catatan**  
Menandai atau melepas tag kunci KMS dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat [ABAC untuk AWS KMS](abac.md) dan [Gunakan tag untuk mengontrol akses ke tombol KMS](tag-authorization.md).

1. Pilih pengguna IAM dan peran yang dapat mengelola kunci utama.
**Catatan**  
Langkah ini memulai proses pembuatan [kebijakan kunci](key-policies.md) untuk kunci utama. Kebijakan utama bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika kebijakan kunci yang sama atau kebijakan kunci yang berbeda. AWS KMS tidak menyinkronkan kebijakan kunci kunci Multi-region. Anda dapat mengubah kebijakan kunci KMS kapan saja.
Saat membuat kunci primer Multi-wilayah, pertimbangkan untuk menggunakan [kebijakan kunci default](key-policy-default.md) yang dihasilkan oleh konsol. Jika Anda mengubah kebijakan ini, konsol tidak akan memberikan langkah-langkah untuk memilih administrator kunci dan pengguna saat membuat kunci replika, juga tidak akan menambahkan pernyataan kebijakan terkait. Akibatnya, Anda harus menambahkan ini secara manual.
 AWS KMS Konsol menambahkan administrator kunci ke kebijakan kunci di bawah pengenal `"Allow access for Key Administrators"` pernyataan. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

1. (Opsional) Untuk mencegah pengguna dan peran IAM yang dipilih menghapus kunci KMS ini, di bagian **Penghapusan kunci** di bagian bawah halaman, kosongkan kotak centang **Izinkan administrator kunci untuk menghapus kunci** ini.

1. Pilih **Berikutnya**.

1. Pilih pengguna IAM dan peran yang dapat menggunakan kunci KMS untuk operasi [kriptografi](kms-cryptography.md#cryptographic-operations).
**Catatan**  
 AWS KMS Konsol menambahkan pengguna kunci ke kebijakan kunci di bawah pengidentifikasi pernyataan `"Allow use of the key"` dan`"Allow attachment of persistent resources"`. Memodifikasi pengidentifikasi pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

1. (Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, dalam bagian **Lainnya Akun AWS** di bawah halaman, pilih **Tambahkan Akun AWS lain** dan masukkan nomor identifikasi Akun AWS akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.
**catatan**  
Untuk mengizinkan prinsipal di akun eksternal menggunakan kunci KMS, Administrator akun eksternal harus membuat kebijakan IAM yang memberikan izin ini. Untuk informasi selengkapnya, lihat [Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS](key-policy-modifying-external-accounts.md).

1. Pilih **Berikutnya**.

1. Tinjau pernyataan kebijakan utama untuk kunci tersebut. Untuk membuat perubahan pada kebijakan utama, pilih **Edit**.

1. Pilih **Berikutnya**.

1. Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.

1. Pilih **Selesai** untuk membuat kunci utama Multi-wilayah.

## Menggunakan AWS KMS API
<a name="create-primary-api"></a>

Untuk membuat kunci primer Multi-wilayah, gunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi. Gunakan parameter `MultiRegion` dengan nilai `True`.

Misalnya, perintah berikut membuat kunci utama Multi-region di pemanggil ( Wilayah AWS us-east-1). Ia menerima nilai default untuk semua properti lainnya, termasuk kebijakan kunci. Nilai default untuk kunci primer Multi-region sama dengan nilai default untuk semua kunci KMS lainnya, termasuk kebijakan [kunci default](key-policy-default.md). Prosedur ini menciptakan kunci enkripsi simetris, kunci KMS default. 

Tanggapan meliputi elemen `MultiRegion` dan elemen `MultiRegionConfiguration` dengan sub-elemen khas dan nilai untuk kunci primer multi-Wilayah tanpa kunci replika. [ID kunci](concepts.md#key-id-key-id) dari kunci multi-wilayah selalu dimulai dengan `mrk-`.

**penting**  
Jangan sertakan informasi rahasia atau sensitif di `Tags` bidang `Description` atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

```
$ aws kms create-key --multi-region
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1606329032.475,
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": { 
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [ ]
      }
    }
}
```