Langkah 4: Impor material kunci - AWS Key Management Service
Mengatur waktu kedaluwarsa (opsional)Impor ulang bahan kunciMaterial kunci impor (konsol)Impor bahan kunci (AWS KMS API)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 4: Impor material kunci

Setelah Anda mengenkripsi materi kunci Anda, Anda dapat mengimpor materi kunci untuk digunakan dengan file AWS KMS key. Untuk mengimpor material kunci, Anda mengunggah materi kunci terenkripsi dari Langkah 3: Enkripsi material kunci dan token impor yang Anda unduh di Langkah 2: Unduh kunci publik pembungkus dan token impor. Anda harus mengimpor materi kunci ke KMS kunci yang sama dengan yang Anda tentukan saat mengunduh kunci publik dan token impor. Ketika materi kunci berhasil diimpor, status kunci dari KMS kunci berubah menjadiEnabled, dan Anda dapat menggunakan KMS kunci dalam operasi kriptografi.

Saat Anda mengimpor materi kunci, Anda dapat mengatur waktu kedaluwarsa opsional untuk materi utama. Ketika materi kunci kedaluwarsa, AWS KMS hapus materi kunci dan kuncinya menjadi tidak dapat KMS digunakan. Untuk menggunakan KMS kunci dalam operasi kriptografi, Anda harus mengimpor ulang materi kunci yang sama. Setelah mengimpor materi kunci, Anda tidak dapat mengatur, mengubah, atau membatalkan tanggal kedaluwarsa untuk impor saat ini. Untuk mengubah nilai-nilai ini, Anda harus menghapus dan mengimpor ulang materi kunci yang sama.

Untuk mengimpor materi kunci, Anda dapat menggunakan AWS KMS konsol atau file ImportKeyMaterialAPI. Anda dapat menggunakan secara API langsung dengan membuat HTTP permintaan, atau dengan menggunakan AWS SDKs, AWS Command Line Interfaceatau AWS Tools for PowerShell.

Saat Anda mengimpor materi kunci, ImportKeyMaterialentri ditambahkan ke AWS CloudTrail log Anda untuk merekam ImportKeyMaterial operasi. CloudTrail Entri adalah sama apakah Anda menggunakan AWS KMS konsol atau AWS KMS API.

Mengatur waktu kedaluwarsa (opsional)

Saat Anda mengimpor materi kunci untuk KMS kunci Anda, Anda dapat menetapkan tanggal dan waktu kedaluwarsa opsional untuk materi kunci hingga 365 hari sejak tanggal impor. Ketika materi kunci yang diimpor kedaluwarsa, AWS KMS hapus itu. Tindakan ini mengubah status kunci kunciPendingImport, yang mencegahnya digunakan dalam operasi kriptografi apa pun. KMS Untuk menggunakan KMS kunci, Anda harus mengimpor ulang salinan materi kunci asli.

Memastikan bahwa materi kunci impor sering kedaluwarsa dapat membantu Anda memenuhi persyaratan peraturan, tetapi menimbulkan risiko tambahan pada data yang dienkripsi di bawah kunci. KMS Sampai Anda mengimpor ulang salinan materi kunci asli, kunci dengan materi kunci kedaluwarsa tidak dapat digunakan, dan data apa pun yang dienkripsi di bawah kunci tidak dapat diakses. KMS KMS Jika Anda gagal mengimpor ulang materi kunci karena alasan apa pun, termasuk kehilangan salinan materi kunci asli, kunci tersebut tidak dapat digunakan secara permanen, dan data yang dienkripsi di bawah KMS kunci tidak dapat dipulihkan. KMS

Untuk mengurangi risiko ini, pastikan salinan materi kunci impor Anda dapat diakses, dan rancang sistem untuk menghapus dan mengimpor kembali materi kunci sebelum kedaluwarsa dan mengganggu beban kerja Anda. AWS Kami menyarankan Anda menyetel alarm untuk kedaluwarsa materi kunci impor Anda yang memberi Anda banyak waktu untuk mengimpor kembali materi kunci sebelum kedaluwarsa. Anda juga dapat menggunakan CloudTrail log untuk mengaudit operasi yang mengimpor (dan mengimpor ulang) materi kunci dan menghapus materi kunci yang diimpor, dan AWS KMS operasi untuk menghapus materi kunci yang kedaluwarsa.

Anda tidak dapat mengimpor materi kunci yang berbeda ke dalam KMS kunci, dan AWS KMS tidak dapat memulihkan, memulihkan, atau mereproduksi materi kunci yang dihapus. Alih-alih menetapkan waktu kedaluwarsa, Anda dapat menghapus dan mengimpor ulang materi kunci yang diimpor secara terprogram secara berkala, tetapi persyaratan untuk menyimpan salinan materi kunci asli adalah sama.

Anda menentukan apakah dan kapan materi kunci impor kedaluwarsa saat Anda mengimpor materi kunci. Tetapi Anda dapat mengaktifkan dan menonaktifkan kedaluwarsa, atau mengatur waktu kedaluwarsa baru dengan menghapus dan mengimpor ulang materi kunci. Gunakan ExpirationModel parameter ImportKeyMaterialuntuk mengaktifkan expiration on (KEY_MATERIAL_EXPIRES) dan off (KEY_MATERIAL_DOES_NOT_EXPIRE) dan ValidTo parameter untuk mengatur waktu kedaluwarsa. Waktu maksimum adalah 365 hari dari data impor; tidak ada minimum, tetapi waktunya harus di masa depan.

Impor ulang bahan kunci

Jika Anda mengelola KMS kunci dengan materi kunci yang diimpor, Anda mungkin perlu mengimpor ulang materi kunci. Anda dapat mengimpor ulang materi kunci untuk menggantikan materi kunci yang kedaluwarsa atau dihapus, atau untuk mengubah model kedaluwarsa atau tanggal kedaluwarsa materi kunci.

Saat Anda mengimpor materi kunci ke dalam KMS kunci, KMS kunci tersebut secara permanen dikaitkan dengan materi kunci tersebut. Anda dapat mengimpor ulang materi kunci yang sama, tetapi Anda tidak dapat mengimpor materi kunci yang berbeda ke dalam KMS kunci itu. Anda tidak dapat memutar materi kunci dan AWS KMS tidak dapat membuat materi kunci untuk KMS kunci dengan bahan kunci impor.

Anda dapat mengimpor ulang materi kunci kapan saja, pada jadwal apa pun yang memenuhi persyaratan keamanan Anda. Anda tidak perlu menunggu sampai materi kunci berada pada atau mendekati waktu kedaluwarsa.

Prosedur untuk mengimpor ulang materi kunci sama dengan prosedur yang sama yang Anda gunakan untuk mengimpor materi kunci pertama kali, dengan pengecualian berikut.

  • Gunakan KMS kunci yang ada, alih-alih membuat KMS kunci baru. Anda dapat melewatkan Langkah 1 dari prosedur impor.

  • Saat Anda mengimpor ulang materi kunci, Anda dapat mengubah model kedaluwarsa dan tanggal kedaluwarsa.

Setiap kali Anda mengimpor materi kunci ke KMS kunci, Anda perlu mengunduh dan menggunakan kunci pembungkus baru dan token impor untuk KMS kunci tersebut. Prosedur pembungkus tidak memengaruhi konten materi utama, sehingga Anda dapat menggunakan kunci publik pembungkus yang berbeda dan algoritme pembungkus yang berbeda untuk mengimpor materi kunci yang sama.

Material kunci impor (konsol)

Anda dapat menggunakan bahan kunci AWS Management Console untuk mengimpor.

  1. Jika Anda berada di halaman Unggah materi kunci yang dibungkus, lewati keTahapĀ 8.

  2. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  3. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  4. Di panel navigasi, pilih Kunci yang dikelola pelanggan.

  5. Pilih ID kunci atau alias KMS kunci yang Anda unduh kunci publik dan token impor.

  6. Pilih tab Konfigurasi kriptografi dan lihat nilainya. Tab ada di halaman detail untuk KMS kunci di bawah bagian Konfigurasi umum.

    Anda hanya dapat mengimpor materi kunci ke dalam KMS kunci dengan Asal Eksternal (Impor bahan kunci). Untuk informasi tentang membuat KMS kunci dengan materi kunci yang diimpor, lihatMengimpor bahan kunci untuk AWS KMS kunci.

  7. Pilih tab Materi kunci dan kemudian pilih Impor bahan kunci. Tab Materi kunci hanya muncul untuk KMS kunci dengan nilai Asal Eksternal (Impor bahan kunci).

    Jika Anda mengunduh materi kunci, mengimpor token, dan mengenkripsi materi kunci, pilih Berikutnya.

  8. Di bagian Materi kunci terenkripsi dan token impor, lakukan hal berikut.

    1. Di bawah Bahan kunci yang dibungkus, pilih Pilih file. Kemudian unggah file yang berisi material kunci Anda yang dibungkus (dienkripsi).

    2. Di bawah Impor token, pilih Pilih file. Unggah file yang berisi token impor yang Anda unduh.

  9. Di bagian Opsi kedaluwarsa, Anda menentukan apakah material kunci kedaluwarsa. Untuk menetapkan tanggal dan waktu kedaluwarsa, pilih Material kunci kedaluwarsa, dan gunakan kalender untuk memilih tanggal dan waktu. Anda dapat menentukan tanggal hingga 365 hari dari tanggal dan waktu saat ini.

  10. Pilih Unggah materi kunci.

Impor bahan kunci (AWS KMS API)

Untuk mengimpor bahan utama, gunakan ImportKeyMaterialoperasi. Contoh berikut menggunakan AWS CLI, tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

Untuk menggunakan contoh ini:

  1. Ganti 1234abcd-12ab-34cd-56ef-1234567890ab dengan ID kunci KMS kunci yang Anda tentukan saat mengunduh kunci publik dan token impor. Untuk mengidentifikasi KMS kunci, gunakan ID kunci atau kuncinya ARN. Anda tidak dapat menggunakan nama alias atau alias ARN untuk operasi ini.

  2. Ganti EncryptedKeyMaterial.bin dengan nama file yang berisi material kunci terenkripsi.

  3. Ganti ImportToken.bin dengan nama file yang berisi token impor.

  4. Jika Anda ingin materi kunci yang diimpor kedaluwarsa, atur nilai expiration-model parameter ke nilai defaultnyaKEY_MATERIAL_EXPIRES, atau hilangkan parameternya. expiration-model Kemudian, ganti nilai valid-to parameter dengan tanggal dan waktu yang Anda inginkan materi kunci kedaluwarsa. Tanggal dan waktu bisa sampai 365 hari dari waktu permintaan. 

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_EXPIRES \
    --valid-to 2023-06-17T12:00:00-08:00

    Jika Anda tidak ingin materi kunci yang diimpor kedaluwarsa, atur nilai expiration-model parameter ke KEY_MATERIAL_DOES_NOT_EXPIRE dan hilangkan valid-to parameter dari perintah.

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_DOES_NOT_EXPIRE
Tip

Jika perintah tidak berhasil, Anda mungkin melihat a KMSInvalidStateException atau aNotFoundException. Anda dapat mencoba kembali permintaan tersebut.