Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Buat KMS kunci dengan bahan kunci yang diimpor
Materi kunci yang diimpor memungkinkan Anda melindungi AWS sumber daya Anda di bawah kunci kriptografi yang Anda hasilkan. Materi utama yang Anda impor dikaitkan dengan KMS kunci tertentu. Anda dapat mengimpor ulang materi kunci yang sama ke KMS kunci yang sama, tetapi Anda tidak dapat mengimpor materi kunci yang berbeda ke dalam KMS kunci dan Anda tidak dapat mengonversi KMS kunci yang dirancang untuk bahan kunci yang diimpor menjadi KMS kunci dengan bahan AWS KMS kunci.
Gambaran umum berikut menjelaskan cara mengimpor material kunci Anda ke dalam AWS KMS. Untuk detail selengkapnya tentang setiap langkah dalam proses, lihat topik yang sesuai.
-
Buat KMS kunci tanpa bahan kunci — Asal harus
EXTERNAL
. Asal kunciEXTERNAL
menunjukkan bahwa kunci dirancang untuk bahan kunci impor dan AWS KMS mencegah menghasilkan bahan kunci untuk KMS kunci. Pada langkah selanjutnya Anda akan mengimpor materi kunci Anda sendiri ke dalam KMS kunci ini.Materi kunci yang Anda impor harus kompatibel dengan spesifikasi kunci dari kunci terkait. AWS KMS Untuk informasi lebih lanjut tentang kompatibilitas, lihat. Persyaratan untuk bahan kunci impor
-
Unduh kunci publik pembungkus dan token impor — Setelah menyelesaikan langkah 1, unduh kunci publik pembungkus dan token impor. Barang-barang ini melindungi materi utama Anda saat diimpor AWS KMS.
Pada langkah ini, Anda memilih jenis (“spesifikasi kunci”) dari kunci RSA pembungkus dan algoritma pembungkus yang akan Anda gunakan untuk mengenkripsi data Anda dalam perjalanan. AWS KMS Anda dapat memilih spesifikasi kunci pembungkus dan algoritma kunci pembungkus yang berbeda setiap kali Anda mengimpor atau mengimpor ulang materi kunci yang sama.
-
Enkripsi materi kunci — Gunakan kunci publik pembungkus yang Anda unduh di langkah 2 untuk mengenkripsi materi kunci yang Anda buat di sistem Anda sendiri.
-
Mengimpor materi kunci — Unggah material kunci terenkripsi yang Anda buat pada langkah 3 dan token impor yang Anda unduh di langkah 2.
Pada tahap ini, Anda dapat mengatur waktu kedaluwarsa opsional. Ketika materi kunci yang diimpor kedaluwarsa, AWS KMS menghapusnya, dan KMS kuncinya menjadi tidak dapat digunakan. Untuk terus menggunakan KMS kunci, Anda harus mengimpor ulang materi kunci yang sama.
Ketika operasi impor selesai dengan sukses, status kunci dari KMS kunci berubah dari
PendingImport
keEnabled
. Anda sekarang dapat menggunakan KMS kunci dalam operasi kriptografi.
AWS KMS merekam entri di AWS CloudTrail log Anda saat Anda membuat KMS kunci, mengunduh kunci publik pembungkus dan token impor, dan mengimpor materi kunci. AWS KMS juga mencatat entri saat Anda menghapus materi kunci yang diimpor atau saat AWS KMS menghapus materi kunci yang kedaluwarsa.
Izin untuk mengimpor material kunci
Untuk membuat dan mengelola KMS kunci dengan materi kunci yang diimpor, pengguna memerlukan izin untuk operasi dalam proses ini. Anda dapat memberikankms:GetParametersForImport
,kms:ImportKeyMaterial
, dan kms:DeleteImportedKeyMaterial
izin dalam kebijakan kunci saat membuat KMS kunci. Di AWS KMS konsol, izin ini ditambahkan secara otomatis untuk administrator kunci saat Anda membuat kunci dengan asal materi kunci eksternal.
Untuk membuat KMS kunci dengan materi kunci yang diimpor, prinsipal memerlukan izin berikut.
-
kms: CreateKey (IAMkebijakan)
-
Untuk membatasi izin ini ke KMS kunci dengan materi kunci yang diimpor, gunakan kondisi KeyOrigin kebijakan kms: dengan nilai.
EXTERNAL
{ "Sid": "CreateKMSKeysWithoutKeyMaterial", "Effect": "Allow", "Resource": "*", "Action": "kms:CreateKey", "Condition": { "StringEquals": { "kms:KeyOrigin": "EXTERNAL" } } }
-
-
kms: GetParametersForImport (Kebijakan atau IAM kebijakan utama)
-
Untuk membatasi izin ini pada permintaan yang menggunakan algoritme pembungkus tertentu dan spesifikasi kunci pembungkus, gunakan kondisi kebijakan kms: WrappingAlgorithm dan kms:. WrappingKeySpec
-
-
kms: ImportKeyMaterial (Kebijakan atau IAM kebijakan utama)
Untuk mengimpor kembali materi kunci yang diimpor, prinsipal membutuhkan izin kms: GetParametersForImport dan kms:. ImportKeyMaterial
Untuk menghapus materi kunci yang diimpor, prinsipal membutuhkan DeleteImportedKeyMaterial izin kms:.
Misalnya, untuk memberikan KMSAdminRole
izin contoh untuk mengelola semua aspek KMS kunci dengan materi kunci yang diimpor, sertakan pernyataan kebijakan kunci seperti berikut ini dalam kebijakan kunci KMS kunci.
{ "Sid": "Manage KMS keys with imported key material", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole" }, "Action": [ "kms:GetParametersForImport", "kms:ImportKeyMaterial", "kms:DeleteImportedKeyMaterial" ] }
Persyaratan untuk bahan kunci impor
Materi kunci yang Anda impor harus kompatibel dengan spesifikasi kunci dari KMS kunci terkait. Untuk pasangan kunci asimetris, impor hanya kunci pribadi pasangan. AWS KMS kunci publik berasal dari kunci privat.
AWS KMS mendukung spesifikasi kunci berikut untuk kunci dengan bahan KMS kunci yang diimpor.