Mengimpor materi kunci langkah 2: Unduh kunci publik pembungkus dan token impor - AWS Key Management Service
Pilih spesifikasi kunci publik pembungkusPilih algoritme pembungkusMengunduh kunci publik pembungkus dan token impor (konsol)Mengunduh kunci publik pembungkus dan token impor (AWS KMS API)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengimpor materi kunci langkah 2: Unduh kunci publik pembungkus dan token impor

Setelah Anda membuat materi AWS KMS key tanpa kunci, unduh kunci publik pembungkus dan token impor untuk kunci KMS tersebut dengan menggunakan AWS KMS konsol atau API. GetParametersForImport Kunci publik pembungkus dan token impor adalah set tak terpisahkan yang harus digunakan bersama.

Anda akan menggunakan kunci publik pembungkus untuk mengenkripsi materi utama Anda untuk transportasi. Sebelum mengunduh RSA wrapping key pair, Anda memilih length (key spec) dari RSA wrapping key pair dan algoritma wrapping yang akan Anda gunakan untuk mengenkripsi material kunci impor Anda untuk diangkut pada langkah 3. AWS KMS juga mendukung spesifikasi kunci pembungkus SM2 (hanya Wilayah China).

Setiap pembungkus kunci publik dan set token impor berlaku selama 24 jam. Jika Anda tidak menggunakannya untuk mengimpor materi kunci dalam waktu 24 jam setelah mengunduhnya, Anda harus mengunduh set baru. Anda dapat mengunduh kunci publik pembungkus baru dan mengimpor set token kapan saja. Ini memungkinkan Anda mengubah panjang kunci pembungkus RSA Anda (“spesifikasi kunci”) atau mengganti set yang hilang.

Anda juga dapat mengunduh kunci publik pembungkus dan set token impor untuk mengimpor kembali materi kunci yang sama ke kunci KMS. Anda dapat melakukan ini untuk mengatur atau mengubah waktu kedaluwarsa untuk materi kunci, atau untuk memulihkan materi kunci yang kedaluwarsa atau dihapus. Anda harus mengunduh dan mengenkripsi ulang materi kunci Anda setiap kali Anda mengimpornya. AWS KMS

Penggunaan kunci publik pembungkus

Unduhan menyertakan kunci publik yang unik untuk Anda Akun AWS, juga disebut kunci publik pembungkus.

Sebelum Anda mengimpor materi kunci, Anda mengenkripsi materi kunci dengan kunci pembungkus publik, dan kemudian mengunggah materi kunci terenkripsi ke. AWS KMS Saat AWS KMS menerima materi kunci terenkripsi Anda, ia mendekripsi materi kunci dengan kunci pribadi yang sesuai, kemudian mengenkripsi ulang materi kunci di bawah kunci simetris AES, semuanya dalam modul keamanan perangkat keras (HSM). AWS KMS

Penggunaan token impor

Unduhan menyertakan token impor dengan metadata yang memastikan bahwa materi kunci Anda diimpor dengan benar. Saat Anda mengunggah materi kunci terenkripsi AWS KMS, Anda harus mengunggah token impor yang sama dengan yang Anda unduh di langkah ini.

Pilih spesifikasi kunci publik pembungkus

Untuk melindungi materi kunci Anda selama impor, Anda mengenkripsinya menggunakan kunci publik pembungkus yang Anda unduh AWS KMS, dan algoritme pembungkus yang didukung. Anda memilih spesifikasi kunci sebelum mengunduh kunci publik pembungkus dan token impor. Semua pasangan kunci pembungkus dihasilkan dalam modul keamanan AWS KMS perangkat keras (HSM). Kunci pribadi tidak pernah meninggalkan HSM dalam teks biasa.

Spesifikasi kunci pembungkus RSA

Spesifikasi kunci dari kunci publik pembungkus menentukan panjang kunci dalam key pair RSA yang melindungi material kunci Anda selama pengangkutannya. AWS KMS Secara umum, kami sarankan menggunakan kunci publik pembungkus terpanjang yang praktis. Kami menawarkan beberapa spesifikasi kunci publik yang lengkap untuk mendukung berbagai HSM dan manajer kunci.

AWS KMS mendukung spesifikasi kunci berikut untuk kunci pembungkus RSA yang digunakan untuk mengimpor bahan kunci dari semua jenis, kecuali seperti yang disebutkan.

  • RSA_4096 (lebih disukai)

  • RSA_3072

  • RSA_2048

    catatan

    Kombinasi berikut TIDAK didukung: bahan kunci ECC_NIST_P521, spesifikasi kunci pembungkus publik RSA_2048, dan algoritma pembungkus RSAES_OAEP_SHA_*.

    Anda tidak dapat langsung membungkus materi kunci ECC_NIST_P521 dengan kunci pembungkus publik RSA_2048. Gunakan kunci pembungkus yang lebih besar atau algoritma pembungkus RSA_AES_KEY_WRAP_SHA_*.

Spesifikasi kunci pembungkus SM2 (khusus Wilayah China)

AWS KMS mendukung spesifikasi kunci berikut untuk kunci pembungkus SM2 yang digunakan untuk mengimpor bahan kunci asimetris.

  • SM2

Pilih algoritme pembungkus

Untuk melindungi materi kunci Anda selama impor, Anda mengenkripsinya menggunakan kunci publik pembungkus yang diunduh dan algoritme pembungkus yang didukung.

AWS KMS mendukung beberapa algoritma pembungkus RSA standar dan algoritma pembungkus hibrida dua langkah. Secara umum, sebaiknya gunakan algoritme pembungkus paling aman yang kompatibel dengan bahan kunci impor dan spesifikasi kunci pembungkus Anda. Biasanya, Anda memilih algoritme yang didukung oleh modul keamanan perangkat keras (HSM) atau sistem manajemen kunci yang melindungi material kunci Anda.

Tabel berikut menunjukkan algoritma pembungkus yang didukung untuk setiap jenis bahan kunci dan kunci KMS. Algoritma tercantum dalam urutan preferensi.

Material kunci Algoritma dan spesifikasi pembungkus yang didukung
Kunci enkripsi simetris

Kunci AES 256-bit

Kunci SM4 128-bit (hanya Wilayah China)
Algoritma pembungkus:

RSAES_OAEP_SHA_256

RSAES_OAEP_SHA_1

Algoritma pembungkus yang tidak digunakan lagi:

RSAES_PKCS1_V1

catatan

Per 10 Oktober 2023, AWS KMS tidak mendukung algoritma pembungkus RSAES_PKCS1_V1_5.

Spesifikasi kunci pembungkus:

RSA_2048

RSA_3072

RSA_4096
Kunci pribadi RSA asimetris
Algoritma pembungkus:

RSA_AES_KEY_WRAP_SHA_256

RSA_AES_KEY_WRAP_SHA_1

SM2PKE (hanya Wilayah China)

Spesifikasi kunci pembungkus:

RSA_2048

RSA_3072

RSA_4096

SM2 (Hanya Wilayah China)
Kunci pribadi kurva elips asimetris (ECC)

Anda tidak dapat menggunakan algoritma pembungkus RSAES_OAEP_SHA_* dengan spesifikasi kunci pembungkus RSA_2048 untuk membungkus materi kunci ECC_NIST_P521.
Algoritma pembungkus:

RSA_AES_KEY_WRAP_SHA_256

RSA_AES_KEY_WRAP_SHA_1

RSAES_OAEP_SHA_256

RSAES_OAEP_SHA_1

SM2PKE (hanya Wilayah China)

Spesifikasi kunci pembungkus:

RSA_2048

RSA_3072

RSA_4096

SM2 (Hanya Wilayah China)
Kunci pribadi SM2 asimetris (hanya Wilayah China)
Algoritma pembungkus:

RSAES_OAEP_SHA_256

RSAES_OAEP_SHA_1

SM2PKE (hanya Wilayah China)

Spesifikasi kunci pembungkus:

RSA_2048

RSA_3072

RSA_4096

SM2 (Hanya Wilayah China)
Kunci HMAC
Algoritma pembungkus:

RSAES_OAEP_SHA_256

RSAES_OAEP_SHA_1

Spesifikasi kunci pembungkus:

RSA_2048

RSA_3072

RSA_4096
catatan

Algoritma RSA_AES_KEY_WRAP_SHA_256 dan RSA_AES_KEY_WRAP_SHA_1 pembungkus tidak didukung di Wilayah China.

  • RSA_AES_KEY_WRAP_SHA_256— Algoritma pembungkus hibrida dua langkah yang menggabungkan enkripsi materi kunci Anda dengan kunci simetris AES yang Anda hasilkan, dan kemudian mengenkripsi kunci simetris AES dengan kunci pembungkus publik RSA yang diunduh dan algoritma pembungkus RSAES_OAEP_SHA_256.

    Algoritma RSA_AES_KEY_WRAP_SHA_* pembungkus diperlukan untuk membungkus materi kunci pribadi RSA, kecuali di Wilayah China, di mana Anda harus menggunakan algoritma pembungkus. SM2PKE

  • RSA_AES_KEY_WRAP_SHA_1— Algoritma pembungkus hibrida dua langkah yang menggabungkan enkripsi materi kunci Anda dengan kunci simetris AES yang Anda hasilkan, dan kemudian mengenkripsi kunci simetris AES dengan kunci publik pembungkus RSA yang diunduh dan algoritma pembungkus RSAES_OAEP_SHA_1.

    Algoritma RSA_AES_KEY_WRAP_SHA_* pembungkus diperlukan untuk membungkus materi kunci pribadi RSA, kecuali di Wilayah China, di mana Anda harus menggunakan algoritma pembungkus. SM2PKE

  • RSAES_OAEP_SHA_256— Algoritma enkripsi RSA dengan Optimal Asymmetric Encryption Padding (OAEP) dengan fungsi hash SHA-256.

  • RSAES_OAEP_SHA_1— Algoritma enkripsi RSA dengan Optimal Asymmetric Encryption Padding (OAEP) dengan fungsi hash SHA-1.

  • RSAES_PKCS1_V1_5(Usang; per 10 Oktober 2023, AWS KMS tidak mendukung algoritma pembungkus RSAES_PKCS1_V1_5) — Algoritma enkripsi RSA dengan format padding yang ditentukan dalam PKCS #1 Versi 1.5.

  • SM2PKE(Hanya Wilayah China) — Algoritma enkripsi berbasis kurva elips yang ditentukan oleh OSCCA dalam GM/T 0003.4-2012.

Mengunduh kunci publik pembungkus dan token impor (konsol)

Anda dapat menggunakan AWS KMS konsol untuk mengunduh kunci publik pembungkus dan token impor.

  1. Jika Anda baru saja menyelesaikan langkah-langkah untuk membuat kunci KMS tanpa materi kunci dan Anda berada di tombol pembungkus Unduh dan halaman token impor, lewati ke. Tahap 9

  2. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  3. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  4. Di panel navigasi, pilih Kunci yang dikelola pelanggan.

    Tip

    Anda dapat mengimpor materi kunci hanya ke kunci KMS dengan Origin of External (Import key material). Ini menunjukkan bahwa kunci KMS dibuat tanpa bahan kunci. Untuk menambahkan kolom Asal ke tabel Anda, di sudut kanan atas halaman, pilih ikon pengaturan ( ). Hidupkan Asal, lalu pilih Konfirmasi.

  5. Pilih alias atau ID kunci kunci KMS yang menunggu impor.

  6. Pilih tab Konfigurasi kriptografi dan lihat nilainya. Tab ada di bawah bagian Konfigurasi umum.

    Anda hanya dapat mengimpor materi kunci ke kunci KMS Asal Eksternal (bahan Kunci Impor). Untuk informasi tentang membuat kunci KMS dengan materi kunci impor, lihat,Mengimpor bahan kunci untuk AWS KMS kunci.

  7. Pilih tab Materi kunci dan kemudian pilih Impor bahan kunci.

    Tab Materi kunci hanya muncul untuk kunci KMS yang memiliki nilai Asal Eksternal (bahan Import Key).

  8. Untuk Pilih spesifikasi tombol pembungkus, pilih konfigurasi untuk kunci KMS Anda. Setelah Anda membuat kunci ini, Anda tidak dapat mengubah spesifikasi kunci.

  9. Untuk Memilih algoritme pembungkus, pilih opsi yang akan Anda gunakan untuk mengenkripsi material kunci Anda. Untuk informasi selengkapnya tentang opsi, lihat Pilih Algoritme Pembungkus.

  10. Pilih Download wrapping public key dan import token, lalu simpan file.

    Jika Anda memiliki opsi Selanjutnya, untuk melanjutkan proses sekarang, pilih Selanjutnya. Untuk melanjutkan nanti, pilih Batalkan.

  11. Dekompresi file .zip yang Anda simpan pada langkah sebelumnya (Import_Parameters_<key_id>_<timestamp>).

    Folder berisi file-file berikut:

    • Kunci publik pembungkus dalam file bernamaWrappingPublicKey.bin.

    • Token impor dalam file bernamaImportToken.bin.

    • Sebuah file teks bernama README.txt. File ini berisi informasi tentang kunci publik pembungkus, algoritma pembungkus yang digunakan untuk mengenkripsi materi kunci Anda, dan tanggal dan waktu ketika kunci publik pembungkus dan token impor kedaluwarsa.

  12. Untuk melanjutkan proses, lihat mengenkripsi material kunci Anda.

Mengunduh kunci publik pembungkus dan token impor (AWS KMS API)

Untuk mengunduh kunci publik dan token impor, gunakan GetParametersForImportAPI. Tentukan kunci KMS yang akan dikaitkan dengan materi kunci yang diimpor. Kunci KMS ini harus memiliki nilai Origin. EXTERNAL

Contoh ini menentukan algoritma RSA_AES_KEY_WRAP_SHA_256 pembungkus, spesifikasi kunci publik pembungkus RSA_3072, dan ID kunci contoh. Ganti nilai contoh ini dengan nilai yang valid untuk unduhan Anda. Untuk ID kunci, Anda dapat menggunakan ID kunci atau kunci ARN, tetapi Anda tidak dapat menggunakan nama alias atau alias ARN dalam operasi ini.

$ aws kms get-parameters-for-import \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --wrapping-algorithm RSA_AES_KEY_WRAP_SHA_256 \
    --wrapping-key-spec RSA_3072

Ketika perintah berhasil, Anda melihat output yang serupa dengan berikut ini:

{
    "ParametersValidTo": 1568290320.0,
    "PublicKey": "public key (base64 encoded)",
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "ImportToken": "import token (base64 encoded)"
}

Untuk menyiapkan data untuk langkah berikutnya, base64 memecahkan kode kunci publik dan token impor dan menyimpan nilai yang diterjemahkan dalam file.

Untuk base64 memecahkan kode kunci publik dan token impor:

  1. Salin kunci publik yang dikodekan base64 (diwakili oleh kunci publik (dikodekan base64) dalam output contoh), tempelkan ke file baru, lalu simpan file tersebut. Berikan file nama deskriptif, sepertiPublicKey.b64.

  2. Gunakan OpenSSL ke base64 mendekodekan isi file dan menyimpan data yang didekodekan ke file baru. Contoh berikut mendekodekan data dalam file yang Anda simpan di langkah sebelumnya (PublicKey.b64) dan menyimpan output ke file baru bernama WrappingPublicKey.bin.

    $ openssl enc -d -base64 -A -in PublicKey.b64 -out WrappingPublicKey.bin

  3. Salin token impor yang dikodekan base64 (diwakili oleh token impor (dikodekan base64) dalam contoh keluaran), tempel ke file baru, lalu simpan file tersebut. Berikan nama deskriptif pada file, misalnya importtoken.b64.

  4. Gunakan OpenSSL ke base64 mendekodekan isi file dan menyimpan data yang didekodekan ke file baru. Contoh berikut mendekodekan data dalam file yang Anda simpan di langkah sebelumnya (ImportToken.b64) dan menyimpan output ke file baru bernama ImportToken.bin.

    $ openssl enc -d -base64 -A -in importtoken.b64 -out ImportToken.bin

Lanjut ke Langkah 3: Enkripsi material kunci.