Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Buat kunci KMS enkripsi simetris
<a name="create-symmetric-cmk"></a>

Topik ini menjelaskan cara membuat kunci KMS dasar, kunci [KMS enkripsi simetris](symm-asymm-choose-key-spec.md#symmetric-cmks) untuk satu Wilayah dengan materi kunci dari. AWS KMS Anda dapat menggunakan kunci KMS ini untuk melindungi sumber daya Anda di file Layanan AWS.

[Anda dapat membuat kunci KMS enkripsi simetris di AWS KMS konsol, dengan menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API, atau dengan menggunakan template. AWS::KMS::Key CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) 

Spesifikasi kunci default, [SYMMETRIC\_DEFAULT](symm-asymm-choose-key-spec.md#symmetric-cmks), adalah spesifikasi kunci untuk kunci KMS enkripsi simetris. Ketika Anda memilih jenis kunci **simetris** dan **Enkripsi dan dekripsi** penggunaan kunci di AWS KMS konsol, itu memilih spesifikasi kunci. `SYMMETRIC_DEFAULT` Dalam [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi, jika Anda tidak menentukan `KeySpec` nilai, SYMMETRIC\_DEFAULT dipilih. Jika Anda tidak memiliki alasan untuk menggunakan spesifikasi kunci yang berbeda, SYMMETRIC\_DEFAULT adalah pilihan yang tepat.

Untuk informasi tentang kuota yang berlaku untuk kunci KMS, lihat. [Kuota](limits.md)

## Menggunakan AWS KMS konsol
<a name="create-keys-console"></a>

Anda dapat menggunakan Konsol Manajemen AWS untuk membuat AWS KMS keys (kunci KMS).

**penting**  
Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.

1. Pilih **Buat kunci**.

1. **Untuk membuat kunci KMS enkripsi simetris, untuk **Key type** pilih Symmetric.**

1. Dalam **Penggunaan kunci**, opsi **Enkripsi dan dekripsi** dipilih untuk Anda.

1. Pilih **Berikutnya**.

1. Ketik alias untuk kunci KMS. Nama alias tidak dapat dimulai dengan **aws/**. **aws/**Awalan dicadangkan oleh Amazon Web Services untuk mewakili Kunci yang dikelola AWS di akun Anda.
**catatan**  
Menambahkan, menghapus, atau memperbarui alias dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat [ABAC untuk AWS KMS](abac.md) dan [Gunakan alias untuk mengontrol akses ke tombol KMS](alias-authorization.md).

    Alias adalah nama tampilan yang dapat Anda gunakan untuk mengidentifikasi kunci KMS. Kami menyarankan Anda memilih alias yang menunjukkan jenis data yang Anda rencanakan untuk dilindungi atau aplikasi yang Anda rencanakan untuk digunakan dengan kunci KMS. 

    

    Alias diperlukan saat Anda membuat kunci KMS di file. Konsol Manajemen AWS Mereka opsional saat Anda menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi. 

1. (Opsional) Ketik deskripsi untuk kunci KMS.

   Anda dapat menambahkan deskripsi sekarang atau memperbaruinya kapan saja kecuali [status kuncinya](key-state.md) adalah `Pending Deletion` atau`Pending Replica Deletion`. Untuk menambah, mengubah, atau menghapus deskripsi kunci terkelola pelanggan yang ada, edit deskripsi pada halaman detail untuk kunci KMS di Konsol Manajemen AWS atau gunakan [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)operasi.

1. (Opsional) Ketik kunci tanda dan nilai tanda opsional. Untuk menambahkan lebih dari satu tag ke tombol KMS, pilih **Tambah tag**.
**catatan**  
Menandai atau melepas tag kunci KMS dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat [ABAC untuk AWS KMS](abac.md) dan [Gunakan tag untuk mengontrol akses ke tombol KMS](tag-authorization.md).

   Saat Anda menambahkan tag ke AWS sumber daya Anda, AWS buat laporan alokasi biaya dengan penggunaan dan biaya yang dikumpulkan berdasarkan tag. Tag juga dapat digunakan untuk mengontrol akses ke kunci KMS. Untuk informasi tentang menandai kunci KMS, lihat [Tag di AWS KMS](tagging-keys.md) dan. [ABAC untuk AWS KMS](abac.md) 

1. Pilih **Berikutnya**.

1. Pilih pengguna IAM dan peran yang dapat mengelola kunci KMS.
**Catatan**  
Kebijakan kunci ini memberikan kontrol Akun AWS penuh atas kunci KMS ini. Ini memungkinkan administrator akun untuk menggunakan kebijakan IAM untuk memberikan izin kepada prinsipal lain untuk mengelola kunci KMS. Lihat perinciannya di [Kebijakan kunci default](key-policy-default.md).  
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensil jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.  
 AWS KMS Konsol menambahkan administrator kunci ke kebijakan kunci di bawah pengenal `"Allow access for Key Administrators"` pernyataan. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

1. (Opsional) Untuk mencegah pengguna dan peran IAM yang dipilih menghapus kunci KMS ini, di bagian **Penghapusan kunci** di bagian bawah halaman, kosongkan kotak centang **Izinkan administrator kunci untuk menghapus kunci** ini.

1. Pilih **Berikutnya**.

1. Pilih pengguna IAM dan peran yang dapat menggunakan kunci dalam operasi [kriptografi](kms-cryptography.md#cryptographic-operations)
**Catatan**  
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensil jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.  
 AWS KMS Konsol menambahkan pengguna kunci ke kebijakan kunci di bawah pengidentifikasi pernyataan `"Allow use of the key"` dan`"Allow attachment of persistent resources"`. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

1. (Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, di Akun AWS bagian **Lain** di bagian bawah halaman, pilih **Tambahkan yang lain Akun AWS** dan masukkan nomor Akun AWS identifikasi akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.
**catatan**  
Untuk mengizinkan prinsipal di akun eksternal menggunakan kunci KMS, Administrator akun eksternal harus membuat kebijakan IAM yang memberikan izin ini. Untuk informasi selengkapnya, lihat [Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS](key-policy-modifying-external-accounts.md).

1. Pilih **Berikutnya**.

1. Tinjau pernyataan kebijakan utama untuk kunci tersebut. Untuk membuat perubahan pada kebijakan utama, pilih **Edit**.

1. Pilih **Berikutnya**.

1. Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.

1. Pilih **Selesai** untuk membuat kunci KMS.

## Menggunakan AWS KMS API
<a name="create-keys-api"></a>

Anda dapat menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi untuk membuat semua AWS KMS keys jenis. Contoh-contoh ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/). Untuk contoh dalam beberapa bahasa pemrograman, lihat [Gunakan `CreateKey` dengan AWS SDK atau CLI](example_kms_CreateKey_section.md).

**penting**  
Jangan sertakan informasi rahasia atau sensitif di `Tags` bidang `Description` atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

Operasi berikut membuat kunci enkripsi simetris dalam satu Wilayah yang didukung oleh materi kunci yang dihasilkan oleh AWS KMS. Operasi ini tidak memiliki parameter yang diperlukan. Namun, Anda mungkin juga ingin menggunakan parameter `Policy` untuk menentukan kebijakan kunci. Anda dapat mengubah kebijakan kunci ([PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)) dan menambahkan elemen opsional, seperti [deskripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) dan [tag](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) kapan saja. Anda juga dapat membuat [kunci asimetris, kunci](asymm-create-key.md#create-asymmetric-keys-api) [multi-wilayah, kunci](create-primary-keys.md) dengan [bahan kunci impor](importing-keys-create-cmk.md#importing-keys-create-cmk-api), dan kunci di toko [kunci khusus](create-cmk-keystore.md#create-cmk-keystore-api). Untuk membuat kunci data untuk enkripsi sisi klien, gunakan operasi. [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)

`CreateKey`Operasi tidak memungkinkan Anda menentukan alias, tetapi Anda dapat menggunakan [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operasi untuk membuat alias untuk kunci KMS baru Anda.

Berikut ini adalah contoh panggilan ke operasi `CreateKey` tanpa parameter. Perintah ini menggunakan semua nilai default. Ini menciptakan kunci KMS enkripsi simetris dengan bahan kunci yang dihasilkan oleh. AWS KMS

```
$ aws kms create-key
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "MultiRegion": false
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
    }
}
```

Jika Anda tidak menentukan kebijakan kunci untuk kunci KMS baru, [kebijakan kunci default](key-policy-default.md) yang `CreateKey` berlaku berbeda dari kebijakan kunci default yang diterapkan konsol saat Anda menggunakannya untuk membuat kunci KMS baru. 

Misalnya, panggilan ke [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)operasi ini mengembalikan kebijakan kunci yang `CreateKey` berlaku. Ini memberikan Akun AWS akses ke kunci KMS dan memungkinkannya untuk membuat kebijakan AWS Identity and Access Management (IAM) untuk kunci KMS. Untuk informasi rinci tentang kebijakan IAM dan kebijakan utama untuk kunci KMS, lihat [Akses dan izin kunci KMS](control-access.md)

```
$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text
```

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id" : "key-default-1",
  "Statement" : [ {
    "Sid" : "EnableIAMUserPermissions",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::{{111122223333}}:root"
    },
    "Action" : "kms:*",
    "Resource" : "*"
  } ]
}
```

------