Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Buat kunci HMAC KMS
<a name="hmac-create-key"></a>

[Anda dapat membuat kunci HMAC KMS di AWS KMS konsol, dengan menggunakan [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API, atau dengan menggunakan template. AWS::KMS::Key CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html)

Saat Anda membuat kunci HMAC KMS, Anda harus memilih spesifikasi kunci. AWS KMS mendukung beberapa [spesifikasi kunci untuk kunci HMAC KMS](symm-asymm-choose-key-spec.md#hmac-key-specs). Spesifikasi kunci yang Anda pilih mungkin ditentukan oleh peraturan, keamanan, atau persyaratan bisnis. Secara umum, kunci yang lebih panjang lebih tahan terhadap serangan brute-force.

Untuk informasi tentang izin yang diperlukan untuk membuat kunci KMS, lihat. [Izin untuk membuat kunci KMS](create-keys.md#create-key-permissions)

## Menggunakan AWS KMS konsol
<a name="create-hmac-key-console"></a>

Anda dapat menggunakan tombol Konsol Manajemen AWS untuk membuat kunci HMAC KMS. Kunci HMAC KMS adalah kunci simetris dengan penggunaan kunci **Hasilkan dan** verifikasi MAC. Anda juga dapat membuat kunci HMAC Multi-wilayah. 

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.

1. Pilih **Buat kunci**.

1. Untuk **Tipe Kunci**, pilih **Simetris**.

   Kunci HMAC KMS simetris. Anda menggunakan kunci yang sama untuk menghasilkan dan memverifikasi tag HMAC.

1. Untuk **penggunaan Kunci**, pilih **Hasilkan dan verifikasi MAC**.

   Menghasilkan dan memverifikasi MAC adalah satu-satunya penggunaan kunci yang valid untuk kunci HMAC KMS.
**catatan**  
**Penggunaan kunci** ditampilkan untuk kunci simetris hanya jika kunci HMAC KMS didukung di Wilayah yang Anda pilih.

1. Pilih spesifikasi (**Spesifikasi kunci**) untuk kunci HMAC KMS Anda. 

   Spesifikasi kunci yang Anda pilih dapat ditentukan oleh peraturan, keamanan, atau persyaratan bisnis. Secara umum, kunci yang lebih panjang lebih aman.

1. Untuk membuat kunci HMAC *utama* [Multi-wilayah](multi-region-keys-overview.md), di **Opsi lanjutan**, pilih kunci **Multi-Region**. [Properti bersama](multi-region-keys-overview.md#mrk-sync-properties) yang Anda tentukan untuk kunci KMS ini, seperti jenis kunci dan penggunaan kunci, akan dibagikan dengan kunci replika.

   Anda tidak dapat menggunakan prosedur ini untuk membuat kunci replika. Untuk membuat kunci HMAC *replika* Multi-wilayah, ikuti [petunjuk untuk membuat kunci replika](multi-region-keys-replicate.md).

1. Pilih **Berikutnya**.

1. Masukkan [alias](kms-alias.md) untuk tombol KMS. Nama alias tidak dapat dimulai dengan **aws/**. **aws/**Awalan dicadangkan oleh Amazon Web Services untuk mewakili Kunci yang dikelola AWS di akun Anda.

   Kami menyarankan Anda menggunakan alias yang mengidentifikasi kunci KMS sebagai kunci HMAC, seperti. `HMAC/test-key` Ini akan memudahkan Anda untuk mengidentifikasi kunci HMAC Anda di AWS KMS konsol tempat Anda dapat mengurutkan dan memfilter kunci berdasarkan tag dan alias, tetapi tidak berdasarkan spesifikasi kunci atau penggunaan kunci.

   Alias diperlukan saat Anda membuat kunci KMS di file. Konsol Manajemen AWS Anda tidak dapat menentukan alias ketika Anda menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi, tetapi Anda dapat menggunakan konsol atau [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operasi untuk membuat alias untuk kunci KMS yang ada. Lihat perinciannya di [Alias di AWS KMS](kms-alias.md).

1. (Opsional) Masukkan deskripsi untuk tombol KMS.

   Masukkan deskripsi yang menjelaskan jenis data yang Anda rencanakan untuk dilindungi atau aplikasi yang Anda rencanakan untuk digunakan dengan kunci KMS.

   Anda dapat menambahkan deskripsi sekarang atau memperbaruinya kapan saja kecuali [status kuncinya](key-state.md) adalah `Pending Deletion` atau`Pending Replica Deletion`. Untuk menambah, mengubah, atau menghapus deskripsi kunci terkelola pelanggan yang ada, edit deskripsi pada halaman detail untuk kunci KMS di Konsol Manajemen AWS dalam Konsol Manajemen AWS atau menggunakan [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)operasi.

1. (Opsional) Masukkan kunci tag dan nilai tag opsional. Untuk menambahkan lebih dari satu tag ke tombol KMS, pilih **Tambah tag**.

   Pertimbangkan untuk menambahkan tag yang mengidentifikasi kunci sebagai kunci HMAC, seperti. `Type=HMAC` Ini akan memudahkan Anda untuk mengidentifikasi kunci HMAC Anda di AWS KMS konsol tempat Anda dapat mengurutkan dan memfilter kunci berdasarkan tag dan alias, tetapi tidak berdasarkan spesifikasi kunci atau penggunaan kunci.

   Saat Anda menambahkan tag ke AWS sumber daya Anda, AWS buat laporan alokasi biaya dengan penggunaan dan biaya yang dikumpulkan berdasarkan tag. Tag juga dapat digunakan untuk mengontrol akses ke kunci KMS. Untuk informasi tentang menandai kunci KMS, lihat [Tag di AWS KMS](tagging-keys.md) dan. [ABAC untuk AWS KMS](abac.md) 

1. Pilih **Berikutnya**.

1. Pilih pengguna IAM dan peran yang dapat mengelola kunci KMS.
**Catatan**  
Kebijakan kunci ini memberikan kontrol Akun AWS penuh atas kunci KMS ini. Ini memungkinkan administrator akun untuk menggunakan kebijakan IAM untuk memberikan izin kepada prinsipal lain untuk mengelola kunci KMS. Lihat perinciannya di [Kebijakan kunci default](key-policy-default.md).  
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.  
 AWS KMS Konsol menambahkan administrator kunci ke kebijakan kunci di bawah pengenal `"Allow access for Key Administrators"` pernyataan. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

1. (Opsional) Untuk mencegah pengguna dan peran IAM yang dipilih menghapus kunci KMS ini, di bagian **Penghapusan kunci** di bagian bawah halaman, kosongkan kotak centang **Izinkan administrator kunci untuk menghapus kunci** ini.

1. Pilih **Berikutnya**.

1. Pilih pengguna IAM dan peran yang dapat menggunakan kunci KMS untuk operasi [kriptografi](kms-cryptography.md#cryptographic-operations).
**Catatan**  
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.  
 AWS KMS Konsol menambahkan pengguna kunci ke kebijakan kunci di bawah pengidentifikasi pernyataan `"Allow use of the key"` dan`"Allow attachment of persistent resources"`. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

1. (Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, dalam bagian **Lainnya Akun AWS** di bawah halaman, pilih **Tambahkan Akun AWS lain** dan masukkan nomor identifikasi Akun AWS akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.
**catatan**  
Untuk mengizinkan prinsipal di akun eksternal menggunakan kunci KMS, Administrator akun eksternal harus membuat kebijakan IAM yang memberikan izin ini. Untuk informasi selengkapnya, lihat [Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS](key-policy-modifying-external-accounts.md).

1. Pilih **Berikutnya**.

1. Tinjau pernyataan kebijakan utama untuk kunci tersebut. Untuk membuat perubahan pada kebijakan utama, pilih **Edit**.

1. Pilih **Berikutnya**.

1. Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.

1. Pilih **Selesai** untuk membuat kunci HMAC KMS.

## Menggunakan AWS KMS API
<a name="create-keys-api"></a>

Anda dapat menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi untuk membuat kunci HMAC KMS. Contoh-contoh ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Saat Anda membuat kunci HMAC KMS, Anda harus menentukan `KeySpec` parameter, yang menentukan jenis kunci KMS. Selain itu, Anda harus menentukan `KeyUsage` nilai GENERATE\$1VERIFY\$1MAC, meskipun itu satu-satunya nilai penggunaan kunci yang valid untuk kunci HMAC. Untuk membuat kunci [Multi-region](multi-region-keys-overview.md) HMAC KMS, tambahkan `MultiRegion` parameter dengan nilai. `true` Anda tidak dapat mengubah properti ini setelah kunci KMS dibuat. 

`CreateKey`Operasi tidak memungkinkan Anda menentukan alias, tetapi Anda dapat menggunakan [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operasi untuk membuat alias untuk kunci KMS baru Anda. Kami menyarankan Anda menggunakan alias yang mengidentifikasi kunci KMS sebagai kunci HMAC, seperti. `HMAC/test-key` Ini akan memudahkan Anda untuk mengidentifikasi kunci HMAC Anda di AWS KMS konsol tempat Anda dapat mengurutkan dan memfilter kunci berdasarkan alias, tetapi tidak berdasarkan spesifikasi kunci atau penggunaan kunci.

Jika Anda mencoba untuk membuat kunci HMAC KMS Wilayah AWS di mana kunci HMAC tidak didukung, operasi mengembalikan `CreateKey` `UnsupportedOperationException`

Contoh berikut menggunakan `CreateKey` operasi untuk membuat kunci KMS HMAC 512-bit.

```
$ aws kms create-key --key-spec HMAC_512 --key-usage GENERATE_VERIFY_MAC
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1669973196.214,
        "MultiRegion": false,
        "KeySpec": "HMAC_512",
        "CustomerMasterKeySpec": "HMAC_512",
        "KeyUsage": "GENERATE_VERIFY_MAC",
        "MacAlgorithms": [
            "HMAC_SHA_512"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}
```