Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pertimbangan khusus untuk bahan kunci impor
Sebelum Anda memutuskan untuk mengimpor bahan kunci ke dalam AWS KMS, Anda harus memahami karakteristik berikut dari bahan kunci impor.
- Anda menghasilkan material kunci
-
Anda bertanggung jawab untuk menghasilkan materi utama menggunakan sumber keacakan yang memenuhi persyaratan keamanan Anda.
- Anda dapat menghapus materi kunci
-
Anda dapat menghapus materi kunci yang diimpor dari KMS kunci, segera membuat KMS kunci tidak dapat digunakan. Selain itu, saat Anda mengimpor materi kunci ke dalam KMS kunci, Anda dapat menentukan apakah kunci tersebut kedaluwarsa dan menetapkan waktu kedaluwarsa. Ketika waktu kedaluwarsa tiba, AWS KMS hapus materi kunci. Tanpa materi kunci, KMS kunci tidak dapat digunakan dalam operasi kriptografi apa pun. Untuk mengembalikan kunci, Anda harus mengimpor ulang materi kunci yang sama ke dalam kunci.
- Anda tidak dapat mengubah materi utama
-
Saat Anda mengimpor materi kunci ke dalam KMS kunci, KMS kunci tersebut secara permanen dikaitkan dengan materi kunci tersebut. Anda dapat mengimpor ulang materi kunci yang sama, tetapi Anda tidak dapat mengimpor materi kunci yang berbeda ke dalam KMS kunci itu. Selain itu, Anda tidak dapat mengaktifkan rotasi kunci otomatis untuk KMS kunci dengan bahan kunci yang diimpor. Namun, Anda dapat memutar KMS kunci secara manual dengan bahan kunci yang diimpor.
- Anda tidak dapat mengubah asal materi utama
-
KMSkunci yang dirancang untuk bahan kunci impor memiliki nilai asal
EXTERNAL
yang tidak dapat diubah. Anda tidak dapat mengonversi KMS kunci untuk materi kunci yang diimpor untuk menggunakan materi kunci dari sumber lain, termasuk AWS KMS. Demikian pula, Anda tidak dapat mengonversi KMS kunci dengan bahan AWS KMS kunci menjadi kunci yang dirancang untuk bahan kunci impor. - Anda tidak dapat mengekspor materi kunci
-
Anda tidak dapat mengekspor materi kunci apa pun yang Anda impor. AWS KMS tidak dapat mengembalikan materi kunci yang diimpor kepada Anda dalam bentuk apa pun. Anda harus menyimpan salinan materi kunci impor Anda di luar AWS, sebaiknya di pengelola kunci, seperti modul keamanan perangkat keras (HSM), sehingga Anda dapat mengimpor ulang materi kunci jika Anda menghapusnya atau kedaluwarsa.
- Anda dapat membuat kunci Multi-wilayah dengan bahan kunci yang diimpor
-
Multi-Region dengan bahan kunci impor memiliki fitur KMS kunci dengan bahan kunci impor, dan dapat saling beroperasi di antaranya. Wilayah AWS Untuk membuat kunci Multi-region dengan materi kunci impor, Anda harus mengimpor bahan kunci yang sama ke KMS kunci utama dan ke setiap kunci replika.
- Tombol dan HMAC kunci asimetris portabel dan dapat dioperasikan
-
Anda dapat menggunakan bahan kunci asimetris dan bahan HMAC kunci di luar AWS untuk beroperasi dengan AWS KMS kunci dengan bahan kunci impor yang sama.
Berbeda dengan ciphertext AWS KMS simetris, yang terikat erat dengan KMS kunci yang digunakan dalam algoritma, AWS KMS menggunakan format standar HMAC dan asimetris untuk enkripsi, penandatanganan, dan pembuatan. MAC Akibatnya, kuncinya portabel dan mendukung skenario kunci escrow tradisional.
Ketika KMS kunci Anda telah mengimpor bahan kunci, Anda dapat menggunakan bahan kunci impor di luar AWS untuk melakukan operasi berikut.
-
HMACkunci — Anda dapat memverifikasi HMAC tag yang dihasilkan oleh HMAC KMS kunci dengan materi kunci yang diimpor. Anda juga dapat menggunakan HMAC KMS kunci dengan materi kunci yang diimpor untuk memverifikasi HMAC tag yang dihasilkan oleh materi kunci di luar AWS.
-
Kunci enkripsi asimetris — Anda dapat menggunakan kunci enkripsi asimetris pribadi Anda di luar AWS untuk mendekripsi ciphertext yang dienkripsi oleh kunci dengan kunci publik yang sesuai. KMS Anda juga dapat menggunakan KMS kunci asimetris Anda untuk mendekripsi ciphertext asimetris yang dihasilkan di luar. AWS
-
Kunci penandatanganan asimetris — Anda dapat menggunakan kunci penandatanganan KMS asimetris dengan materi kunci yang diimpor untuk memverifikasi tanda tangan digital yang dihasilkan oleh kunci penandatanganan pribadi di luar. AWS Anda juga dapat menggunakan kunci penandatanganan publik asimetris di luar AWS untuk memverifikasi tanda tangan yang dihasilkan oleh kunci asimetris Anda. KMS
-
Kunci perjanjian kunci asimetris — Anda dapat menggunakan kunci perjanjian KMS kunci asimetris Anda dengan materi kunci impor untuk memperoleh rahasia bersama dengan rekan di luar. AWS
Jika Anda mengimpor materi kunci yang sama ke KMS kunci yang berbeda dalam hal yang sama Wilayah AWS, kunci tersebut juga dapat dioperasikan. Untuk membuat kunci yang dapat dioperasikan secara berbeda Wilayah AWS, buat KMS kunci Multi-wilayah dengan materi kunci yang diimpor.
-
- Kunci enkripsi simetris tidak portabel atau interoperable
-
Ciphertext simetris yang AWS KMS menghasilkan tidak portabel atau interoperable. AWS KMS tidak mempublikasikan format ciphertext simetris yang dibutuhkan portabilitas, dan formatnya mungkin berubah tanpa pemberitahuan.
-
AWS KMS tidak dapat mendekripsi ciphertext simetris yang Anda enkripsi di luar AWS, bahkan jika Anda menggunakan materi kunci yang telah Anda impor.
-
AWS KMS tidak mendukung dekripsi ciphertext AWS KMS simetris apa pun di luar AWS KMS, bahkan jika ciphertext dienkripsi di bawah kunci dengan materi kunci yang diimpor. KMS
-
KMSkunci dengan bahan kunci impor yang sama tidak dapat dioperasikan. Ciphertext simetris yang AWS KMS menghasilkan ciphertext yang spesifik untuk setiap kunci. KMS Format ciphertext ini menjamin bahwa hanya KMS kunci yang data terenkripsi yang dapat mendekripsi itu.
Selain itu, Anda tidak dapat menggunakan AWS alat apa pun, seperti enkripsi sisi klien Amazon S3 AWS Encryption SDKatau Amazon S3, untuk mendekripsi ciphertext simetris. AWS KMS
Akibatnya, Anda tidak dapat menggunakan kunci dengan materi kunci yang diimpor untuk mendukung pengaturan escrow kunci di mana pihak ketiga yang berwenang dengan akses bersyarat ke materi kunci dapat mendekripsi ciphertext tertentu di luar. AWS KMS Untuk mendukung escrow kunci, gunakan AWS Encryption SDK untuk mengenkripsi pesan Anda di bawah kunci yang independen dari AWS KMS.
-
- Anda bertanggung jawab atas ketersediaan dan daya tahan
-
AWS KMS dirancang untuk menjaga agar bahan kunci impor tetap tersedia. Tetapi AWS KMS tidak mempertahankan daya tahan bahan kunci impor pada tingkat yang sama dengan bahan utama yang AWS KMS menghasilkan. Untuk detailnya, lihat Melindungi material kunci yang diimpor.