Hasilkan kunci data - AWS Key Management Service
Membuat kunci dataBagaimana operasi kriptografi dengan kunci data bekerja

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Hasilkan kunci data

Kunci data adalah kunci simetris yang dapat Anda gunakan untuk mengenkripsi data, termasuk sejumlah besar data dan kunci enkripsi data lainnya. Tidak seperti kunci KMS simetris, yang tidak dapat diunduh, kunci data dikembalikan kepada Anda untuk digunakan di luar. AWS KMS

Saat AWS KMS menghasilkan kunci data, ia mengembalikan kunci data teks biasa untuk segera digunakan (opsional) dan salinan kunci data terenkripsi yang dapat Anda simpan dengan aman bersama data. Ketika Anda siap untuk mendekripsi data, pertama-tama Anda meminta AWS KMS untuk mendekripsi kunci data terenkripsi.

AWS KMS menghasilkan, mengenkripsi, dan mendekripsi kunci data. Namun, AWS KMS tidak menyimpan, mengelola, atau melacak kunci data Anda, atau melakukan operasi kriptografi dengan kunci data. Anda harus menggunakan dan mengelola kunci data di luar AWS KMS. Untuk bantuan menggunakan kunci data dengan aman, lihat. AWS Encryption SDK

Topik

Membuat kunci data

Untuk membuat kunci data, panggil GenerateDataKeyoperasi. AWS KMS menghasilkan kunci data. Kemudian mengenkripsi salinan kunci data di bawah kunci KMS enkripsi simetris yang Anda tentukan. Operasi mengembalikan salinan plaintext dari kunci data dan salinan kunci data yang dienkripsi di bawah kunci KMS. Gambar berikut menunjukkan operasi ini.

Menghasilkan kunci data

AWS KMS juga mendukung GenerateDataKeyWithoutPlaintextoperasi, yang mengembalikan hanya kunci data terenkripsi. Saat Anda perlu menggunakan kunci data, minta AWS KMS untuk mendekripsi.

Bagaimana operasi kriptografi dengan kunci data bekerja

Topik berikut menjelaskan bagaimana kunci data yang dihasilkan oleh pekerjaan GenerateDataKeyatau GenerateDataKeyWithoutPlaintextoperasi.

Mengenkripsi data dengan kunci data

AWS KMS tidak dapat menggunakan kunci data untuk mengenkripsi data. Tetapi Anda dapat menggunakan kunci data di luar AWS KMS, seperti dengan menggunakan OpenSSL atau pustaka kriptografi seperti. AWS Encryption SDK

Setelah menggunakan kunci data plaintext untuk mengenkripsi data, hapus kunci data dari memori sesegera mungkin. Anda dapat dengan aman menyimpan kunci data terenkripsi dengan data terenkripsi sehingga tersedia untuk mendekripsi data.

Enkripsi data pengguna di luar AWS KMS

Mendekripsi data dengan kunci data

Untuk mendekripsi data Anda, teruskan kunci data terenkripsi ke operasi Dekripsi. AWS KMS menggunakan kunci KMS Anda untuk mendekripsi kunci data dan kemudian mengembalikan kunci data plaintext. Gunakan kunci data plaintext untuk mendekripsi data Anda kemudian hapus kunci data plaintext dari memori sesegera mungkin.

Diagram berikut menunjukkan cara menggunakan operasi Decrypt untuk mendekripsi kunci data terenkripsi.

Mendekripsi kunci data