Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Langkah 4: Impor material kunci

PDF
RSS
Mode fokus
Langkah 4: Impor material kunci - AWS Key Management Service
Mengatur waktu kedaluwarsa (opsional)Impor ulang bahan kunciMaterial kunci impor (konsol)Impor bahan kunci (AWS KMS API)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Setelah Anda mengenkripsi materi kunci Anda, Anda dapat mengimpor materi kunci untuk digunakan dengan file AWS KMS key. Untuk mengimpor material kunci, Anda mengunggah materi kunci terenkripsi dari Langkah 3: Enkripsi material kunci dan token impor yang Anda unduh di Langkah 2: Unduh kunci publik pembungkus dan token impor. Anda harus mengimpor materi kunci ke kunci KMS yang sama dengan yang Anda tentukan saat mengunduh kunci publik dan token impor. Ketika materi kunci berhasil diimpor, status kunci kunci KMS berubah menjadiEnabled, dan Anda dapat menggunakan kunci KMS dalam operasi kriptografi.

Saat Anda mengimpor materi kunci, Anda dapat mengatur waktu kedaluwarsa opsional untuk materi utama. Ketika materi kunci kedaluwarsa, AWS KMS menghapus materi kunci dan kunci KMS menjadi tidak dapat digunakan. Untuk menggunakan kunci KMS dalam operasi kriptografi, Anda harus mengimpor ulang materi kunci yang sama. Setelah mengimpor materi kunci, Anda tidak dapat mengatur, mengubah, atau membatalkan tanggal kedaluwarsa untuk impor saat ini. Untuk mengubah nilai-nilai ini, Anda harus menghapus dan mengimpor ulang materi kunci yang sama.

Untuk mengimpor materi kunci, Anda dapat menggunakan AWS KMS konsol atau ImportKeyMaterialAPI. Anda dapat menggunakan API secara langsung dengan membuat permintaan HTTP, atau dengan menggunakan AWS SDKs, AWS Command Line Interfaceatau AWS Tools for PowerShell.

Saat Anda mengimpor materi kunci, ImportKeyMaterialentri ditambahkan ke AWS CloudTrail log Anda untuk merekam ImportKeyMaterial operasi. CloudTrail Entri adalah sama apakah Anda menggunakan AWS KMS konsol atau AWS KMS API.

Mengatur waktu kedaluwarsa (opsional)

Ketika Anda mengimpor materi kunci untuk kunci KMS Anda, Anda dapat menetapkan tanggal kedaluwarsa opsional dan waktu untuk materi kunci hingga 365 hari dari tanggal impor. Ketika materi kunci impor kedaluwarsa, AWS KMS menghapusnya. Tindakan ini mengubah status kunci kunci KMSPendingImport, yang mencegahnya digunakan dalam operasi kriptografi apa pun. Untuk menggunakan kunci KMS, Anda harus mengimpor ulang salinan materi kunci asli.

Memastikan bahwa materi kunci impor sering kedaluwarsa dapat membantu Anda memenuhi persyaratan peraturan, tetapi menimbulkan risiko tambahan pada data yang dienkripsi di bawah kunci KMS. Sampai Anda mengimpor ulang salinan materi kunci asli, kunci KMS dengan materi kunci kedaluwarsa tidak dapat digunakan, dan data apa pun yang dienkripsi di bawah kunci KMS tidak dapat diakses. Jika Anda gagal mengimpor ulang materi kunci karena alasan apa pun, termasuk kehilangan salinan materi kunci asli, kunci KMS tidak dapat digunakan secara permanen, dan data yang dienkripsi di bawah kunci KMS tidak dapat dipulihkan.

Untuk mengurangi risiko ini, pastikan salinan materi kunci impor Anda dapat diakses, dan rancang sistem untuk menghapus dan mengimpor kembali materi kunci sebelum kedaluwarsa dan mengganggu beban kerja Anda. AWS Kami menyarankan Anda menyetel alarm untuk kedaluwarsa materi kunci impor Anda yang memberi Anda banyak waktu untuk mengimpor kembali materi kunci sebelum kedaluwarsa. Anda juga dapat menggunakan CloudTrail log untuk mengaudit operasi yang mengimpor (dan mengimpor ulang) materi kunci dan menghapus materi kunci yang diimpor, dan AWS KMS operasi untuk menghapus materi kunci yang kedaluwarsa.

Anda tidak dapat mengimpor materi kunci yang berbeda ke dalam kunci KMS, dan AWS KMS tidak dapat memulihkan, memulihkan, atau mereproduksi materi kunci yang dihapus. Alih-alih menetapkan waktu kedaluwarsa, Anda dapat menghapus dan mengimpor ulang materi kunci yang diimpor secara terprogram secara berkala, tetapi persyaratan untuk menyimpan salinan materi kunci asli adalah sama.

Anda menentukan apakah dan kapan materi kunci impor kedaluwarsa saat Anda mengimpor materi kunci. Tetapi Anda dapat mengaktifkan dan menonaktifkan kedaluwarsa, atau mengatur waktu kedaluwarsa baru dengan menghapus dan mengimpor ulang materi kunci. Gunakan ExpirationModel parameter ImportKeyMaterialuntuk mengaktifkan expiration on (KEY_MATERIAL_EXPIRES) dan off (KEY_MATERIAL_DOES_NOT_EXPIRE) dan ValidTo parameter untuk mengatur waktu kedaluwarsa. Waktu maksimum adalah 365 hari dari data impor; tidak ada minimum, tetapi waktunya harus di masa depan.

Impor ulang bahan kunci

Jika Anda mengelola kunci KMS dengan materi kunci impor, Anda mungkin perlu mengimpor ulang materi kunci. Anda dapat mengimpor ulang materi kunci untuk menggantikan materi kunci yang kedaluwarsa atau dihapus, atau untuk mengubah model kedaluwarsa atau tanggal kedaluwarsa materi kunci.

Saat Anda mengimpor materi kunci ke kunci KMS, kunci KMS secara permanen dikaitkan dengan materi kunci tersebut. Anda dapat mengimpor ulang materi kunci yang sama, tetapi Anda tidak dapat mengimpor materi kunci yang berbeda ke dalam kunci KMS itu. Anda tidak dapat memutar materi kunci dan AWS KMS tidak dapat membuat materi kunci untuk kunci KMS dengan bahan kunci impor.

Anda dapat mengimpor ulang materi kunci kapan saja, pada jadwal apa pun yang memenuhi persyaratan keamanan Anda. Anda tidak perlu menunggu sampai materi kunci berada pada atau mendekati waktu kedaluwarsa.

Prosedur untuk mengimpor ulang materi kunci sama dengan prosedur yang sama yang Anda gunakan untuk mengimpor materi kunci pertama kali, dengan pengecualian berikut.

  • Gunakan kunci KMS yang ada, alih-alih membuat kunci KMS baru. Anda dapat melewatkan Langkah 1 dari prosedur impor.

  • Saat Anda mengimpor ulang materi kunci, Anda dapat mengubah model kedaluwarsa dan tanggal kedaluwarsa.

Setiap kali Anda mengimpor materi kunci ke kunci KMS, Anda perlu mengunduh dan menggunakan kunci pembungkus baru dan token impor untuk kunci KMS. Prosedur pembungkus tidak memengaruhi konten materi utama, sehingga Anda dapat menggunakan kunci publik pembungkus yang berbeda dan algoritme pembungkus yang berbeda untuk mengimpor materi kunci yang sama.

Material kunci impor (konsol)

Anda dapat menggunakan bahan kunci AWS Management Console untuk mengimpor.

  1. Jika Anda berada di halaman Unggah materi kunci yang dibungkus, lewati keTahap 8.

  2. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  3. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  4. Di panel navigasi, pilih Kunci yang dikelola pelanggan.

  5. Pilih ID kunci atau alias kunci KMS yang Anda unduh kunci publik dan token impor.

  6. Pilih tab Konfigurasi kriptografi dan lihat nilainya. Tab ada di halaman detail untuk kunci KMS di bawah bagian konfigurasi Umum.

    Anda hanya dapat mengimpor materi kunci ke kunci KMS dengan Origin of External (Import key material). Untuk informasi tentang membuat kunci KMS dengan materi kunci impor, lihatMengimpor bahan kunci untuk AWS KMS kunci.

  7. Pilih tab Materi kunci dan kemudian pilih Impor bahan kunci. Tab Materi kunci hanya muncul untuk kunci KMS dengan nilai Asal Eksternal (Impor bahan kunci).

    Jika Anda mengunduh materi kunci, mengimpor token, dan mengenkripsi materi kunci, pilih Berikutnya.

  8. Di bagian Materi kunci terenkripsi dan token impor, lakukan hal berikut.

    1. Di bawah Bahan kunci yang dibungkus, pilih Pilih file. Kemudian unggah file yang berisi material kunci Anda yang dibungkus (dienkripsi).

    2. Di bawah Impor token, pilih Pilih file. Unggah file yang berisi token impor yang Anda unduh.

  9. Di bagian Opsi kedaluwarsa, Anda menentukan apakah material kunci kedaluwarsa. Untuk menetapkan tanggal dan waktu kedaluwarsa, pilih Material kunci kedaluwarsa, dan gunakan kalender untuk memilih tanggal dan waktu. Anda dapat menentukan tanggal hingga 365 hari dari tanggal dan waktu saat ini.

  10. Pilih Unggah materi kunci.

Impor bahan kunci (AWS KMS API)

Untuk mengimpor bahan utama, gunakan ImportKeyMaterialoperasi. Contoh berikut menggunakan AWS CLI, tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

Untuk menggunakan contoh ini:

  1. Ganti 1234abcd-12ab-34cd-56ef-1234567890ab dengan ID kunci kunci KMS yang Anda tentukan saat mengunduh kunci publik dan token impor. Untuk mengidentifikasi kunci KMS, gunakan ID kunci atau kunci ARN. Anda tidak dapat menggunakan nama alias atau alias ARN untuk operasi ini.

  2. Ganti EncryptedKeyMaterial.bin dengan nama file yang berisi material kunci terenkripsi.

  3. Ganti ImportToken.bin dengan nama file yang berisi token impor.

  4. Jika Anda ingin materi kunci yang diimpor kedaluwarsa, atur nilai expiration-model parameter ke nilai defaultnyaKEY_MATERIAL_EXPIRES, atau hilangkan parameternya. expiration-model Kemudian, ganti nilai valid-to parameter dengan tanggal dan waktu yang Anda inginkan materi kunci kedaluwarsa. Tanggal dan waktu bisa sampai 365 hari dari waktu permintaan. 

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_EXPIRES \
    --valid-to 2023-06-17T12:00:00-08:00

    Jika Anda tidak ingin materi kunci yang diimpor kedaluwarsa, atur nilai expiration-model parameter ke KEY_MATERIAL_DOES_NOT_EXPIRE dan hilangkan valid-to parameter dari perintah.

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_DOES_NOT_EXPIRE
Tip

Jika perintah tidak berhasil, Anda mungkin melihat a KMSInvalidStateException atau aNotFoundException. Anda dapat mencoba kembali permintaan tersebut.

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.