Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Buat kunci HMAC KMS

PDF
RSS
Mode fokus
Buat kunci HMAC KMS - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Anda dapat membuat kunci HMAC KMS di AWS KMS konsol, dengan menggunakan CreateKeyAPI, atau dengan menggunakan AWS::KMS::Key AWS CloudFormation template.

Saat Anda membuat kunci HMAC KMS, Anda harus memilih spesifikasi kunci. AWS KMS mendukung beberapa spesifikasi kunci untuk kunci HMAC KMS. Spesifikasi kunci yang Anda pilih mungkin ditentukan oleh peraturan, keamanan, atau persyaratan bisnis. Secara umum, kunci yang lebih panjang lebih tahan terhadap serangan brute-force.

Untuk informasi tentang izin yang diperlukan untuk membuat kunci KMS, lihat. Izin untuk membuat kunci KMS

Anda dapat menggunakan tombol AWS Management Console untuk membuat kunci HMAC KMS. Kunci HMAC KMS adalah kunci simetris dengan penggunaan kunci Hasilkan dan verifikasi MAC. Anda juga dapat membuat kunci HMAC Multi-wilayah.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Kunci yang dikelola pelanggan.

  4. Pilih Buat kunci.

  5. Untuk Tipe Kunci, pilih Simetris.

    Kunci HMAC KMS simetris. Anda menggunakan kunci yang sama untuk menghasilkan dan memverifikasi tag HMAC.

  6. Untuk penggunaan Kunci, pilih Hasilkan dan verifikasi MAC.

    Menghasilkan dan memverifikasi MAC adalah satu-satunya penggunaan kunci yang valid untuk kunci HMAC KMS.

    catatan

    Penggunaan kunci ditampilkan untuk kunci simetris hanya jika kunci HMAC KMS didukung di Wilayah yang Anda pilih.

  7. Pilih spesifikasi (Spesifikasi kunci) untuk kunci HMAC KMS Anda.

    Spesifikasi kunci yang Anda pilih dapat ditentukan oleh peraturan, keamanan, atau persyaratan bisnis. Secara umum, kunci yang lebih panjang lebih aman.

  8. Untuk membuat kunci HMAC utama Multi-wilayah, di Opsi lanjutan, pilih kunci Multi-Region. Properti bersama yang Anda tentukan untuk kunci KMS ini, seperti jenis kunci dan penggunaan kunci, akan dibagikan dengan kunci replika.

    Anda tidak dapat menggunakan prosedur ini untuk membuat kunci replika. Untuk membuat kunci HMAC replika Multi-wilayah, ikuti petunjuk untuk membuat kunci replika.

  9. Pilih Berikutnya.

  10. Masukkan alias untuk tombol KMS. Nama alias tidak dapat dimulai dengan aws/. aws/Awalan dicadangkan oleh Amazon Web Services untuk mewakili Kunci yang dikelola AWS di akun Anda.

    Kami menyarankan Anda menggunakan alias yang mengidentifikasi kunci KMS sebagai kunci HMAC, seperti. HMAC/test-key Ini akan memudahkan Anda untuk mengidentifikasi kunci HMAC Anda di AWS KMS konsol tempat Anda dapat mengurutkan dan memfilter kunci berdasarkan tag dan alias, tetapi tidak berdasarkan spesifikasi kunci atau penggunaan kunci.

    Alias diperlukan saat Anda membuat kunci KMS di file. AWS Management Console Anda tidak dapat menentukan alias ketika Anda menggunakan CreateKeyoperasi, tetapi Anda dapat menggunakan konsol atau CreateAliasoperasi untuk membuat alias untuk kunci KMS yang ada. Untuk detailnya, lihat Alias di AWS KMS.

  11. (Opsional) Masukkan deskripsi untuk tombol KMS.

    Masukkan deskripsi yang menjelaskan jenis data yang Anda rencanakan untuk dilindungi atau aplikasi yang Anda rencanakan untuk digunakan dengan kunci KMS.

    Anda dapat menambahkan deskripsi sekarang atau memperbaruinya kapan saja kecuali status kuncinya adalah Pending Deletion atauPending Replica Deletion. Untuk menambah, mengubah, atau menghapus deskripsi kunci terkelola pelanggan yang ada, edit deskripsi pada halaman detail untuk kunci KMS di AWS Management Console dalam AWS Management Console atau menggunakan UpdateKeyDescriptionoperasi.

  12. (Opsional) Masukkan kunci tag dan nilai tag opsional. Untuk menambahkan lebih dari satu tag ke tombol KMS, pilih Tambah tag.

    Pertimbangkan untuk menambahkan tag yang mengidentifikasi kunci sebagai kunci HMAC, seperti. Type=HMAC Ini akan memudahkan Anda untuk mengidentifikasi kunci HMAC Anda di AWS KMS konsol tempat Anda dapat mengurutkan dan memfilter kunci berdasarkan tag dan alias, tetapi tidak berdasarkan spesifikasi kunci atau penggunaan kunci.

    Saat menambahkan tag ke AWS sumber daya, buat AWS laporan alokasi biaya dengan penggunaan dan biaya yang dikumpulkan berdasarkan tag. Tag juga dapat digunakan untuk mengontrol akses ke kunci KMS. Untuk informasi tentang menandai kunci KMS, lihat Tag di AWS KMS dan. ABAC untuk AWS KMS

  13. Pilih Berikutnya.

  14. Pilih pengguna IAM dan peran yang dapat mengelola kunci KMS.

    Catatan

    Kebijakan kunci ini memberikan kontrol Akun AWS penuh atas kunci KMS ini. Ini memungkinkan administrator akun untuk menggunakan kebijakan IAM untuk memberikan izin kepada prinsipal lain untuk mengelola kunci KMS. Untuk detailnya, lihat Kebijakan kunci default.

    Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.

    AWS KMS Konsol menambahkan administrator kunci ke kebijakan kunci di bawah pengenal "Allow access for Key Administrators" pernyataan. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

  15. (Opsional) Untuk mencegah pengguna dan peran IAM yang dipilih menghapus kunci KMS ini, di bagian Penghapusan kunci di bagian bawah halaman, kosongkan kotak centang Izinkan administrator kunci untuk menghapus kunci ini.

  16. Pilih Berikutnya.

  17. Pilih pengguna IAM dan peran yang dapat menggunakan kunci KMS untuk operasi kriptografi.

    Catatan

    Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.

    AWS KMS Konsol menambahkan pengguna kunci ke kebijakan kunci di bawah pengidentifikasi pernyataan "Allow use of the key" dan"Allow attachment of persistent resources". Memodifikasi pengidentifikasi pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

  18. (Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, dalam bagian Lainnya Akun AWS di bawah halaman, pilih Tambahkan Akun AWS lain dan masukkan nomor identifikasi Akun AWS akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.

    catatan

    Untuk mengizinkan prinsipal di akun eksternal menggunakan kunci KMS, Administrator akun eksternal harus membuat kebijakan IAM yang memberikan izin ini. Untuk informasi selengkapnya, lihat Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS.

  19. Pilih Berikutnya.

  20. Tinjau pernyataan kebijakan utama untuk kunci tersebut. Untuk membuat perubahan pada kebijakan utama, pilih Edit.

  21. Pilih Berikutnya.

  22. Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.

  23. Pilih Selesai untuk membuat kunci HMAC KMS.

Anda dapat menggunakan tombol AWS Management Console untuk membuat kunci HMAC KMS. Kunci HMAC KMS adalah kunci simetris dengan penggunaan kunci Hasilkan dan verifikasi MAC. Anda juga dapat membuat kunci HMAC Multi-wilayah.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Kunci yang dikelola pelanggan.

  4. Pilih Buat kunci.

  5. Untuk Tipe Kunci, pilih Simetris.

    Kunci HMAC KMS simetris. Anda menggunakan kunci yang sama untuk menghasilkan dan memverifikasi tag HMAC.

  6. Untuk penggunaan Kunci, pilih Hasilkan dan verifikasi MAC.

    Menghasilkan dan memverifikasi MAC adalah satu-satunya penggunaan kunci yang valid untuk kunci HMAC KMS.

    catatan

    Penggunaan kunci ditampilkan untuk kunci simetris hanya jika kunci HMAC KMS didukung di Wilayah yang Anda pilih.

  7. Pilih spesifikasi (Spesifikasi kunci) untuk kunci HMAC KMS Anda.

    Spesifikasi kunci yang Anda pilih dapat ditentukan oleh peraturan, keamanan, atau persyaratan bisnis. Secara umum, kunci yang lebih panjang lebih aman.

  8. Untuk membuat kunci HMAC utama Multi-wilayah, di Opsi lanjutan, pilih kunci Multi-Region. Properti bersama yang Anda tentukan untuk kunci KMS ini, seperti jenis kunci dan penggunaan kunci, akan dibagikan dengan kunci replika.

    Anda tidak dapat menggunakan prosedur ini untuk membuat kunci replika. Untuk membuat kunci HMAC replika Multi-wilayah, ikuti petunjuk untuk membuat kunci replika.

  9. Pilih Berikutnya.

  10. Masukkan alias untuk tombol KMS. Nama alias tidak dapat dimulai dengan aws/. aws/Awalan dicadangkan oleh Amazon Web Services untuk mewakili Kunci yang dikelola AWS di akun Anda.

    Kami menyarankan Anda menggunakan alias yang mengidentifikasi kunci KMS sebagai kunci HMAC, seperti. HMAC/test-key Ini akan memudahkan Anda untuk mengidentifikasi kunci HMAC Anda di AWS KMS konsol tempat Anda dapat mengurutkan dan memfilter kunci berdasarkan tag dan alias, tetapi tidak berdasarkan spesifikasi kunci atau penggunaan kunci.

    Alias diperlukan saat Anda membuat kunci KMS di file. AWS Management Console Anda tidak dapat menentukan alias ketika Anda menggunakan CreateKeyoperasi, tetapi Anda dapat menggunakan konsol atau CreateAliasoperasi untuk membuat alias untuk kunci KMS yang ada. Untuk detailnya, lihat Alias di AWS KMS.

  11. (Opsional) Masukkan deskripsi untuk tombol KMS.

    Masukkan deskripsi yang menjelaskan jenis data yang Anda rencanakan untuk dilindungi atau aplikasi yang Anda rencanakan untuk digunakan dengan kunci KMS.

    Anda dapat menambahkan deskripsi sekarang atau memperbaruinya kapan saja kecuali status kuncinya adalah Pending Deletion atauPending Replica Deletion. Untuk menambah, mengubah, atau menghapus deskripsi kunci terkelola pelanggan yang ada, edit deskripsi pada halaman detail untuk kunci KMS di AWS Management Console dalam AWS Management Console atau menggunakan UpdateKeyDescriptionoperasi.

  12. (Opsional) Masukkan kunci tag dan nilai tag opsional. Untuk menambahkan lebih dari satu tag ke tombol KMS, pilih Tambah tag.

    Pertimbangkan untuk menambahkan tag yang mengidentifikasi kunci sebagai kunci HMAC, seperti. Type=HMAC Ini akan memudahkan Anda untuk mengidentifikasi kunci HMAC Anda di AWS KMS konsol tempat Anda dapat mengurutkan dan memfilter kunci berdasarkan tag dan alias, tetapi tidak berdasarkan spesifikasi kunci atau penggunaan kunci.

    Saat menambahkan tag ke AWS sumber daya, buat AWS laporan alokasi biaya dengan penggunaan dan biaya yang dikumpulkan berdasarkan tag. Tag juga dapat digunakan untuk mengontrol akses ke kunci KMS. Untuk informasi tentang menandai kunci KMS, lihat Tag di AWS KMS dan. ABAC untuk AWS KMS

  13. Pilih Berikutnya.

  14. Pilih pengguna IAM dan peran yang dapat mengelola kunci KMS.

    Catatan

    Kebijakan kunci ini memberikan kontrol Akun AWS penuh atas kunci KMS ini. Ini memungkinkan administrator akun untuk menggunakan kebijakan IAM untuk memberikan izin kepada prinsipal lain untuk mengelola kunci KMS. Untuk detailnya, lihat Kebijakan kunci default.

    Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.

    AWS KMS Konsol menambahkan administrator kunci ke kebijakan kunci di bawah pengenal "Allow access for Key Administrators" pernyataan. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

  15. (Opsional) Untuk mencegah pengguna dan peran IAM yang dipilih menghapus kunci KMS ini, di bagian Penghapusan kunci di bagian bawah halaman, kosongkan kotak centang Izinkan administrator kunci untuk menghapus kunci ini.

  16. Pilih Berikutnya.

  17. Pilih pengguna IAM dan peran yang dapat menggunakan kunci KMS untuk operasi kriptografi.

    Catatan

    Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.

    AWS KMS Konsol menambahkan pengguna kunci ke kebijakan kunci di bawah pengidentifikasi pernyataan "Allow use of the key" dan"Allow attachment of persistent resources". Memodifikasi pengidentifikasi pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

  18. (Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, dalam bagian Lainnya Akun AWS di bawah halaman, pilih Tambahkan Akun AWS lain dan masukkan nomor identifikasi Akun AWS akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.

    catatan

    Untuk mengizinkan prinsipal di akun eksternal menggunakan kunci KMS, Administrator akun eksternal harus membuat kebijakan IAM yang memberikan izin ini. Untuk informasi selengkapnya, lihat Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS.

  19. Pilih Berikutnya.

  20. Tinjau pernyataan kebijakan utama untuk kunci tersebut. Untuk membuat perubahan pada kebijakan utama, pilih Edit.

  21. Pilih Berikutnya.

  22. Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.

  23. Pilih Selesai untuk membuat kunci HMAC KMS.

Anda dapat menggunakan CreateKeyoperasi untuk membuat kunci HMAC KMS. Contoh-contoh ini menggunakan AWS Command Line Interface (AWS CLI), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

Saat Anda membuat kunci HMAC KMS, Anda harus menentukan KeySpec parameter, yang menentukan jenis kunci KMS. Selain itu, Anda harus menentukan KeyUsage nilai GENERATE_VERIFY_MAC, meskipun itu satu-satunya nilai penggunaan kunci yang valid untuk kunci HMAC. Untuk membuat kunci Multi-region HMAC KMS, tambahkan MultiRegion parameter dengan nilai. true Anda tidak dapat mengubah properti ini setelah kunci KMS dibuat.

CreateKeyOperasi tidak memungkinkan Anda menentukan alias, tetapi Anda dapat menggunakan CreateAliasoperasi untuk membuat alias untuk kunci KMS baru Anda. Kami menyarankan Anda menggunakan alias yang mengidentifikasi kunci KMS sebagai kunci HMAC, seperti. HMAC/test-key Ini akan memudahkan Anda untuk mengidentifikasi kunci HMAC Anda di AWS KMS konsol tempat Anda dapat mengurutkan dan memfilter kunci berdasarkan alias, tetapi tidak berdasarkan spesifikasi kunci atau penggunaan kunci.

Jika Anda mencoba membuat kunci HMAC KMS Wilayah AWS di mana kunci HMAC tidak didukung, operasi mengembalikan CreateKey UnsupportedOperationException

Contoh berikut menggunakan CreateKey operasi untuk membuat kunci KMS HMAC 512-bit.

$ aws kms create-key --key-spec HMAC_512 --key-usage GENERATE_VERIFY_MAC
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1669973196.214,
        "MultiRegion": false,
        "KeySpec": "HMAC_512",
        "CustomerMasterKeySpec": "HMAC_512",
        "KeyUsage": "GENERATE_VERIFY_MAC",
        "MacAlgorithms": [
            "HMAC_SHA_512"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}

Anda dapat menggunakan CreateKeyoperasi untuk membuat kunci HMAC KMS. Contoh-contoh ini menggunakan AWS Command Line Interface (AWS CLI), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

Saat Anda membuat kunci HMAC KMS, Anda harus menentukan KeySpec parameter, yang menentukan jenis kunci KMS. Selain itu, Anda harus menentukan KeyUsage nilai GENERATE_VERIFY_MAC, meskipun itu satu-satunya nilai penggunaan kunci yang valid untuk kunci HMAC. Untuk membuat kunci Multi-region HMAC KMS, tambahkan MultiRegion parameter dengan nilai. true Anda tidak dapat mengubah properti ini setelah kunci KMS dibuat.

CreateKeyOperasi tidak memungkinkan Anda menentukan alias, tetapi Anda dapat menggunakan CreateAliasoperasi untuk membuat alias untuk kunci KMS baru Anda. Kami menyarankan Anda menggunakan alias yang mengidentifikasi kunci KMS sebagai kunci HMAC, seperti. HMAC/test-key Ini akan memudahkan Anda untuk mengidentifikasi kunci HMAC Anda di AWS KMS konsol tempat Anda dapat mengurutkan dan memfilter kunci berdasarkan alias, tetapi tidak berdasarkan spesifikasi kunci atau penggunaan kunci.

Jika Anda mencoba membuat kunci HMAC KMS Wilayah AWS di mana kunci HMAC tidak didukung, operasi mengembalikan CreateKey UnsupportedOperationException

Contoh berikut menggunakan CreateKey operasi untuk membuat kunci KMS HMAC 512-bit.

$ aws kms create-key --key-spec HMAC_512 --key-usage GENERATE_VERIFY_MAC
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1669973196.214,
        "MultiRegion": false,
        "KeySpec": "HMAC_512",
        "CustomerMasterKeySpec": "HMAC_512",
        "KeyUsage": "GENERATE_VERIFY_MAC",
        "MacAlgorithms": [
            "HMAC_SHA_512"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}
PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.