Langkah 1: Buat materi AWS KMS key tanpa kunci - AWS Key Management Service
Membuat KMS kunci tanpa bahan kunci (konsol)Membuat KMS kunci tanpa materi kunci (AWS KMS API)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 1: Buat materi AWS KMS key tanpa kunci

Secara default, AWS KMS buat materi kunci untuk Anda saat Anda membuat KMS kunci. Untuk mengimpor materi kunci Anda sendiri, mulailah dengan membuat KMS kunci tanpa bahan kunci. Kemudian impor bahan kunci. Untuk membuat KMS kunci tanpa bahan kunci, gunakan AWS KMS konsol atau CreateKeyoperasi.

Untuk membuat kunci tanpa bahan kunci, tentukan asalEXTERNAL. Properti asal KMS kunci tidak dapat diubah. Setelah Anda membuatnya, Anda tidak dapat mengonversi KMS kunci yang dirancang untuk materi kunci yang diimpor menjadi KMS kunci dengan materi kunci dari AWS KMS atau sumber lainnya.

Keadaan kunci dari KMS kunci dengan EXTERNAL asal dan tidak ada bahan kunci adalahPendingImport. KMSKunci dapat tetap dalam PendingImport keadaan tanpa batas waktu. Namun, Anda tidak dapat menggunakan KMS kunci dalam PendingImport status dalam operasi kriptografi. Saat Anda mengimpor materi kunci, status kunci dari KMS kunci berubah menjadiEnabled, dan Anda dapat menggunakannya dalam operasi kriptografi.

AWS KMS merekam peristiwa di AWS CloudTrail log Anda saat Anda membuat KMS kunci, mengunduh kunci publik dan token impor, dan mengimpor materi kunci. AWS KMS juga mencatat CloudTrail peristiwa saat Anda menghapus materi kunci yang diimpor atau saat AWS KMS menghapus materi kunci yang kedaluwarsa.

Membuat KMS kunci tanpa bahan kunci (konsol)

Anda hanya perlu membuat KMS kunci untuk materi kunci yang diimpor satu kali. Anda dapat mengimpor dan mengimpor ulang materi kunci yang sama ke KMS kunci yang ada sesering yang Anda butuhkan, tetapi Anda tidak dapat mengimpor materi kunci yang berbeda ke dalam KMS kunci. Untuk detailnya, lihat Langkah 2: Unduh kunci publik pembungkus dan token impor.

Untuk menemukan KMS kunci yang ada dengan materi kunci yang diimpor di tabel kunci yang dikelola Pelanggan Anda, gunakan ikon roda gigi di sudut kanan atas untuk menampilkan kolom Asal dalam daftar KMS kunci. Kunci yang diimpor memiliki nilai Asal Eksternal (Bahan Kunci Impor).

Untuk membuat KMS kunci dengan materi kunci impor, mulailah dengan mengikuti petunjuk untuk membuat KMS kunci dari jenis kunci pilihan Anda, dengan pengecualian berikut.

Setelah memilih penggunaan kunci, lakukan hal berikut:

  1. Perluas Opsi lanjutan.

  2. Untuk asal bahan utama, pilih Eksternal (Impor bahan kunci).

  3. Pilih kotak centang di sebelah Saya memahami implikasi keamanan dan daya tahan menggunakan kunci impor untuk menunjukkan bahwa Anda memahami implikasi penggunaan bahan kunci impor. Untuk membaca tentang implikasi ini, lihat Melindungi material kunci yang diimpor.

  4. Opsional: Untuk membuat kunci Multi-wilayah dengan materi KMS kunci yang diimpor, di bawah Regionalitas pilih Multi-Region key.

  5. Kembali ke instruksi dasar. Langkah-langkah yang tersisa dari prosedur dasar adalah sama untuk semua KMS kunci jenis itu.

Ketika Anda memilih Selesai, Anda telah membuat KMS kunci tanpa materi kunci dan status (status kunci) dari Impor Tertunda.

Namun, alih-alih kembali ke tabel kunci terkelola Pelanggan, konsol menampilkan halaman tempat Anda dapat mengunduh kunci publik dan mengimpor token yang Anda perlukan untuk mengimpor materi kunci Anda. Anda dapat melanjutkan dengan langkah download sekarang, atau pilih Cancel untuk berhenti pada titik ini. Anda dapat kembali ke langkah pengunduhan ini kapan saja.

Selanjutnya: Langkah 2: Unduh kunci publik pembungkus dan token impor.

Membuat KMS kunci tanpa materi kunci (AWS KMS API)

Untuk menggunakan AWS KMS APIuntuk membuat KMS kunci enkripsi simetris tanpa bahan kunci, kirim CreateKeypermintaan dengan Origin parameter yang disetel keEXTERNAL. Contoh berikut ini menunjukkan cara melakukan dengan AWS Command Line Interface (AWS CLI).

$ aws kms create-key --origin EXTERNAL

Ketika perintah berhasil, Anda melihat output yang serupa dengan berikut ini. AWS KMS Kuncinya Origin adalah EXTERNAL dan KeyState itu adalahPendingImport.

Tip

Jika perintah tidak berhasil, Anda mungkin melihat a KMSInvalidStateException atau aNotFoundException. Anda dapat mencoba kembali permintaan tersebut.

{
    "KeyMetadata": {
        "Origin": "EXTERNAL",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "Enabled": false,
        "MultiRegion": false,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "PendingImport",
        "CreationDate": 1568289600.0,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

Salin KeyId nilai dari output perintah Anda untuk digunakan di langkah selanjutnya, dan kemudian lanjutkan keLangkah 2: Unduh kunci publik pembungkus dan token impor.

catatan

Perintah ini membuat KMS kunci enkripsi simetris dengan KeySpec dari SYMMETRIC_DEFAULT dan KeyUsage dari. ENCRYPT_DECRYPT Anda dapat menggunakan parameter opsional --key-spec dan --key-usage untuk membuat asimetris atau HMAC KMS kunci. Untuk informasi lebih lanjut, lihat CreateKeyoperasi.