Menciptakan AWS KMS sumber daya dengan AWS CloudFormation - AWS Key Management Service
AWS KMS sumber daya dalam AWS CloudFormation templatePelajari lebih lanjut tentang AWS CloudFormation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menciptakan AWS KMS sumber daya dengan AWS CloudFormation

AWS Key Management Service terintegrasi dengan AWS CloudFormation, layanan yang membantu Anda memodelkan dan mengatur AWS sumber daya Anda sehingga Anda dapat menghabiskan lebih sedikit waktu untuk membuat dan mengelola sumber daya dan infrastruktur Anda. Anda membuat template yang menjelaskan kunci dan alias KMS, dan AWS CloudFormation ketentuan serta mengonfigurasi sumber daya tersebut untuk Anda. Untuk informasi tentang AWS KMS dukungan CloudFormation, lihat referensi jenis sumber daya KMS di Panduan AWS CloudFormation Pengguna.

Ketika Anda menggunakan AWS CloudFormation, Anda dapat menggunakan kembali template Anda untuk mengatur AWS KMS sumber daya Anda secara konsisten dan berulang kali. Jelaskan sumber daya Anda sekali, lalu sediakan sumber daya yang sama berulang-ulang di beberapa Akun AWS dan Wilayah.

Untuk menyediakan dan mengonfigurasi sumber daya untuk AWS KMS dan AWS layanan lainnya, Anda harus memahami AWS CloudFormation templat. Templat adalah file teks dengan format JSON atau YAML. Template ini menjelaskan sumber daya yang ingin Anda sediakan di AWS CloudFormation tumpukan Anda. Jika Anda tidak terbiasa dengan JSON atau YAMM, Anda dapat menggunakan AWS CloudFormation Designer untuk membantu Anda memulai dengan template. AWS CloudFormation Untuk informasi selengkapnya, lihat Apa itu AWS CloudFormation Designer? di Panduan Pengguna AWS CloudFormation .

Daerah

AWS KMS CloudFormation sumber daya didukung di semua Wilayah yang AWS CloudFormation didukung.

AWS KMS sumber daya dalam AWS CloudFormation template

AWS KMS mendukung AWS CloudFormation sumber daya berikut.

  • Sumber AWS::KMS::Keydaya menentukan kunci KMS di. AWS Key Management Service Anda dapat menggunakan sumber daya ini untuk membuat kunci KMS enkripsi simetris, kunci KMS asimetris untuk enkripsi atau penandatanganan, dan kunci KMS HMAC simetris. Anda dapat menggunakan AWS::KMS::Key untuk membuat kunci utama Multi-wilayah dari semua jenis yang didukung. Untuk mereplikasi kunci Multi-region, gunakan sumber daya. AWS::KMS::ReplicaKey

  • AWS::KMS::Aliasmembuat alias dan mengaitkannya dengan kunci KMS. Kunci KMS dapat didefinisikan dalam template, atau dibuat oleh mekanisme lain.

  • AWS::KMS::ReplicaKey membuat kunci replika multi-Wilayah. Untuk membuat bukti kunci primer multi-Wilayah, gunakan sumber daya AWS::KMS::Key. Anda tidak dapat menggunakan sumber daya ini untuk mereplikasi kunci Multi-wilayah dengan materi kunci yang diimpor. Untuk detail tentang kunci multi-Wilayah, lihat Kunci Multi-Region di AWS KMS.

penting

Jika Anda mengubah nilaiKeyUsage,KeySpec, atau MultiRegion properti kunci KMS yang ada, kunci KMS yang ada dijadwalkan untuk dihapus dan kunci KMS baru dibuat dengan nilai yang ditentukan.

Sementara dijadwalkan untuk dihapus, kunci KMS yang ada menjadi tidak dapat digunakan. Jika Anda tidak membatalkan penghapusan terjadwal dari kunci KMS yang ada di luar AWS CloudFormation, semua data yang dienkripsi di bawah kunci KMS yang ada menjadi tidak dapat dipulihkan ketika kunci KMS dihapus.

Kunci KMS yang dibuat template adalah sumber daya aktual di Anda Akun AWS. Prinsipal resmi dapat menggunakan dan mengelola kunci KMS yang dibuat template, baik dengan menggunakan template, AWS KMS konsol, atau API. AWS KMS Saat Anda menghapus kunci KMS dari template Anda, kunci KMS dijadwalkan untuk dihapus menggunakan masa tunggu yang Anda tentukan sebelumnya.

Misalnya, Anda dapat menggunakan AWS CloudFormation templat untuk membuat kunci KMS pengujian dengan kebijakan kunci, spesifikasi kunci, penggunaan kunci, alias, dan tag yang Anda inginkan. Anda dapat menjalankannya melalui serangkaian pengujian Anda, meninjau hasil Anda, lalu menggunakan templat untuk menjadwalkan kunci pengujian untuk penghapusan. Kemudian, Anda dapat menjalankan templat lagi untuk membuat kunci pengujian dengan properti yang sama.

Atau Anda dapat menggunakan AWS CloudFormation template untuk menentukan konfigurasi kunci KMS tertentu yang memenuhi aturan bisnis dan standar keamanan Anda. Kemudian Anda dapat menggunakan template itu kapan saja Anda perlu membuat kunci KMS. Anda tidak perlu khawatir tentang kunci yang salah konfigurasi. Jika konfigurasi pilihan Anda berubah, Anda dapat menggunakan template Anda untuk memperbarui kunci KMS Anda. Misalnya, template memudahkan untuk mengaktifkan rotasi tombol otomatis secara terprogram pada semua tombol KMS yang didefinisikan oleh template.

Untuk informasi selengkapnya tentang AWS KMS sumber daya, termasuk contoh, lihat referensi tipe sumber daya KMS di Panduan AWS CloudFormation Pengguna.

Pelajari lebih lanjut tentang AWS CloudFormation

Untuk mempelajari selengkapnya AWS CloudFormation, lihat sumber daya berikut: