Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Pertimbangan khusus untuk bahan kunci impor

PDF
RSS
Mode fokus
Pertimbangan khusus untuk bahan kunci impor - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Sebelum Anda memutuskan untuk mengimpor bahan kunci ke dalam AWS KMS, Anda harus memahami karakteristik berikut dari bahan kunci impor.

Anda menghasilkan material kunci

Anda bertanggung jawab untuk menghasilkan materi utama menggunakan sumber keacakan yang memenuhi persyaratan keamanan Anda.

Anda dapat menghapus materi kunci

Anda dapat menghapus materi kunci yang diimpor dari kunci KMS, segera membuat kunci KMS tidak dapat digunakan. Selain itu, saat Anda mengimpor materi kunci ke kunci KMS, Anda dapat menentukan apakah kunci tersebut kedaluwarsa dan mengatur waktu kedaluwarsa. Ketika waktu kedaluwarsa tiba, AWS KMS hapus materi kunci. Tanpa materi kunci, kunci KMS tidak dapat digunakan dalam operasi kriptografi apa pun. Untuk mengembalikan kunci, Anda harus mengimpor ulang materi kunci yang sama ke dalam kunci.

Anda tidak dapat mengubah materi utama

Saat Anda mengimpor materi kunci ke kunci KMS, kunci KMS secara permanen dikaitkan dengan materi kunci tersebut. Anda dapat mengimpor ulang materi kunci yang sama, tetapi Anda tidak dapat mengimpor materi kunci yang berbeda ke dalam kunci KMS itu. Selain itu, Anda tidak dapat mengaktifkan rotasi tombol otomatis untuk kunci KMS dengan bahan kunci yang diimpor. Namun, Anda dapat memutar kunci KMS secara manual dengan bahan kunci yang diimpor.

Anda tidak dapat mengubah asal materi utama

Kunci KMS yang dirancang untuk bahan kunci impor memiliki nilai asal EXTERNAL yang tidak dapat diubah. Anda tidak dapat mengonversi kunci KMS untuk bahan kunci impor untuk menggunakan materi kunci dari sumber lain, termasuk AWS KMS. Demikian pula, Anda tidak dapat mengonversi kunci KMS dengan bahan AWS KMS utama menjadi kunci yang dirancang untuk bahan kunci impor.

Anda tidak dapat mengekspor materi kunci

Anda tidak dapat mengekspor materi kunci apa pun yang Anda impor. AWS KMS tidak dapat mengembalikan materi kunci yang diimpor kepada Anda dalam bentuk apa pun. Anda harus menyimpan salinan materi kunci impor Anda di luar AWS, sebaiknya di pengelola kunci, seperti modul keamanan perangkat keras (HSM), sehingga Anda dapat mengimpor ulang materi kunci jika Anda menghapusnya atau kedaluwarsa.

Anda dapat membuat kunci Multi-wilayah dengan bahan kunci yang diimpor

Multi-Region dengan bahan kunci impor memiliki fitur kunci KMS dengan bahan kunci impor, dan dapat saling beroperasi di antaranya. Wilayah AWS Untuk membuat kunci Multi-region dengan materi kunci impor, Anda harus mengimpor bahan kunci yang sama ke kunci KMS primer dan ke setiap kunci replika.

Tombol asimetris dan kunci HMAC portabel dan dapat dioperasikan

Anda dapat menggunakan bahan kunci asimetris dan bahan kunci HMAC di luar AWS untuk beroperasi dengan AWS KMS kunci dengan bahan kunci impor yang sama.

Berbeda dengan ciphertext AWS KMS simetris, yang terikat erat dengan kunci KMS yang digunakan dalam algoritma, AWS KMS menggunakan HMAC standar dan format asimetris untuk enkripsi, penandatanganan, dan pembuatan MAC. Akibatnya, kuncinya portabel dan mendukung skenario kunci escrow tradisional.

Ketika kunci KMS Anda telah mengimpor bahan kunci, Anda dapat menggunakan bahan kunci impor di luar AWS untuk melakukan operasi berikut.

  • Kunci HMAC - Anda dapat memverifikasi tag HMAC yang dihasilkan oleh kunci HMAC KMS dengan bahan kunci yang diimpor. Anda juga dapat menggunakan kunci HMAC KMS dengan bahan kunci yang diimpor untuk memverifikasi tag HMAC yang dihasilkan oleh materi kunci di luar. AWS

  • Kunci enkripsi asimetris — Anda dapat menggunakan kunci enkripsi asimetris pribadi Anda di luar AWS untuk mendekripsi ciphertext yang dienkripsi oleh kunci KMS dengan kunci publik yang sesuai. Anda juga dapat menggunakan kunci KMS asimetris Anda untuk mendekripsi ciphertext asimetris yang dihasilkan di luar. AWS

  • Kunci penandatanganan asimetris — Anda dapat menggunakan kunci KMS penandatanganan asimetris dengan materi kunci yang diimpor untuk memverifikasi tanda tangan digital yang dihasilkan oleh kunci penandatanganan pribadi Anda di luar. AWS Anda juga dapat menggunakan kunci penandatanganan publik asimetris di luar AWS untuk memverifikasi tanda tangan yang dihasilkan oleh kunci KMS asimetris Anda.

  • Kunci perjanjian kunci asimetris — Anda dapat menggunakan kunci KMS perjanjian kunci asimetris Anda dengan materi kunci yang diimpor untuk memperoleh rahasia bersama dengan rekan di luar. AWS

Jika Anda mengimpor materi kunci yang sama ke kunci KMS yang berbeda dalam hal yang sama Wilayah AWS, kunci tersebut juga dapat dioperasikan. Untuk membuat kunci KMS yang dapat dioperasikan secara berbeda Wilayah AWS, buat kunci Multi-wilayah dengan bahan kunci yang diimpor.

Kunci enkripsi simetris tidak portabel atau interoperable

Ciphertext simetris yang AWS KMS menghasilkan tidak portabel atau interoperable. AWS KMS tidak mempublikasikan format ciphertext simetris yang dibutuhkan portabilitas, dan formatnya mungkin berubah tanpa pemberitahuan.

  • AWS KMS tidak dapat mendekripsi ciphertext simetris yang Anda enkripsi di luar AWS, bahkan jika Anda menggunakan materi kunci yang telah Anda impor.

  • AWS KMS tidak mendukung dekripsi ciphertext AWS KMS simetris apa pun di luar AWS KMS, bahkan jika ciphertext dienkripsi di bawah kunci KMS dengan materi kunci yang diimpor.

  • Kunci KMS dengan bahan kunci impor yang sama tidak dapat dioperasikan. Ciphertext simetris yang AWS KMS menghasilkan ciphertext yang spesifik untuk setiap kunci KMS. Format ciphertext ini menjamin bahwa hanya kunci KMS yang data terenkripsi yang dapat mendekripsi itu.

Selain itu, Anda tidak dapat menggunakan AWS alat apa pun, seperti enkripsi sisi klien Amazon S3 AWS Encryption SDKatau Amazon S3, untuk mendekripsi ciphertext simetris. AWS KMS

Akibatnya, Anda tidak dapat menggunakan kunci dengan materi kunci yang diimpor untuk mendukung pengaturan escrow kunci di mana pihak ketiga yang berwenang dengan akses bersyarat ke materi kunci dapat mendekripsi ciphertext tertentu di luar. AWS KMS Untuk mendukung escrow kunci, gunakan AWS Encryption SDK untuk mengenkripsi pesan Anda di bawah kunci yang independen dari AWS KMS.

Anda bertanggung jawab atas ketersediaan dan daya tahan

AWS KMS dirancang untuk menjaga agar bahan kunci impor tetap tersedia. Tetapi AWS KMS tidak mempertahankan daya tahan bahan kunci impor pada tingkat yang sama dengan bahan utama yang AWS KMS menghasilkan. Untuk detailnya, lihat Melindungi material kunci yang diimpor.

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.