Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengimpor bahan kunci untuk AWS KMS kunci
<a name="importing-keys"></a>

Anda dapat membuat AWS KMS keys (kunci KMS) dengan materi kunci yang Anda berikan. 

Kunci KMS adalah representasi logis dari kunci data. Metadata untuk kunci KMS mencakup ID dari bahan kunci yang digunakan untuk melakukan operasi kriptografi. Saat Anda [membuat kunci KMS](create-keys.md), secara default, AWS KMS menghasilkan materi kunci untuk kunci KMS itu. Tetapi Anda dapat membuat kunci KMS tanpa materi kunci dan kemudian mengimpor materi kunci Anda sendiri ke dalam kunci KMS itu, fitur yang sering dikenal sebagai “bawa kunci Anda sendiri” (BYOK).

![\[Ikon kunci yang menyoroti materi utama yang diwakilinya.\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/import-key.png)


**catatan**  
AWS KMS tidak mendukung dekripsi AWS KMS ciphertext apa pun yang dienkripsi oleh kunci KMS enkripsi simetris di luar AWS KMS, bahkan jika ciphertext dienkripsi di bawah kunci KMS dengan bahan kunci yang diimpor. AWS KMS tidak mempublikasikan format ciphertext yang dibutuhkan tugas ini, dan formatnya mungkin berubah tanpa pemberitahuan.

Saat Anda menggunakan materi kunci impor, Anda tetap bertanggung jawab atas materi kunci sambil mengizinkan AWS KMS untuk menggunakan salinannya. Anda mungkin memilih untuk melakukan hal ini karena salah satu atau beberapa dari alasan berikut:
+ Untuk membuktikan materi utama dihasilkan menggunakan sumber entropi yang memenuhi kebutuhan Anda. 
+ Untuk menggunakan materi utama dari infrastruktur Anda sendiri dengan AWS layanan, dan menggunakannya AWS KMS untuk mengelola siklus hidup materi utama tersebut di dalamnya. AWS
+ Untuk menggunakan kunci yang sudah ada dan mapan AWS KMS, seperti kunci untuk penandatanganan kode, penandatanganan sertifikat PKI, dan aplikasi yang disematkan sertifikat
+ Untuk mengatur waktu kedaluwarsa untuk materi kunci AWS dan [menghapusnya secara manual](importing-keys-delete-key-material.md), tetapi juga membuatnya tersedia lagi di masa mendatang. Sebaliknya, [penjadwalan penghapusan kunci](deleting-keys.md#deleting-keys-how-it-works) memerlukan masa tunggu 7 hingga 30 hari, setelah itu Anda tidak dapat memulihkan kunci KMS yang dihapus.
+ Untuk memiliki salinan asli dari bahan utama, dan menyimpannya di luar AWS untuk daya tahan tambahan dan pemulihan bencana selama siklus hidup lengkap bahan utama.
+ Untuk kunci asimetris dan kunci HMAC, mengimpor membuat kunci yang kompatibel dan dapat dioperasikan yang beroperasi di dalam dan di luar. AWS

**Jenis kunci KMS yang didukung**

AWS KMS mendukung bahan kunci yang diimpor untuk jenis kunci KMS berikut. Anda tidak dapat mengimpor materi kunci ke kunci KMS di [toko kunci khusus](key-store-overview.md#custom-key-store-overview).
+ [Kunci KMS enkripsi simetris](symm-asymm-choose-key-spec.md#symmetric-cmks)
+ [Tombol KMS asimetris (kecuali tombol ML-DSA)](symmetric-asymmetric.md)
+ [Kunci HMAC KMS](hmac.md)
+ [Tombol Multi-Region](multi-region-keys-overview.md) dari semua jenis yang didukung.

**Daerah**

Materi kunci yang diimpor didukung dalam semua Wilayah AWS yang AWS KMS mendukung.

Di Wilayah Tiongkok, persyaratan material utama untuk kunci KMS enkripsi simetris berbeda dari Wilayah lain. Lihat perinciannya di [Langkah 3: Enkripsi material kunci](importing-keys-encrypt-key-material.md).

**Pelajari selengkapnya**
+ Untuk membuat kunci KMS dengan materi kunci yang diimpor, lihat[Buat kunci KMS dengan materi kunci yang diimpor](importing-keys-conceptual.md).
+ Untuk membuat alarm yang memberi tahu Anda saat materi kunci yang diimpor dalam kunci KMS mendekati waktu kedaluwarsa, lihat. [Buat CloudWatch alarm untuk kedaluwarsa materi kunci yang diimpor](imported-key-material-expiration-alarm.md)
+ Untuk mengimpor kembali materi kunci ke kunci KMS, lihat. [Impor ulang bahan kunci](importing-keys-import-key-material.md#reimport-key-material)
+ Untuk mengimpor materi kunci baru ke kunci KMS untuk rotasi sesuai permintaan, lihat [Mengimpor materi kunci baru](importing-keys-import-key-material.md#import-new-key-material) dan. [Lakukan rotasi kunci sesuai permintaan](rotating-keys-on-demand.md) 
+ Untuk mengidentifikasi dan melihat kunci KMS dengan materi kunci yang diimpor, lihat[Identifikasi kunci KMS dengan bahan kunci impor](identify-key-types.md#identify-imported-keys).
+ Untuk mempelajari tentang pertimbangan khusus untuk menghapus kunci KMS dengan materi kunci yang diimpor, lihat. [Deleting KMS keys with imported key material](deleting-keys.md#import-delete-key)

# Pertimbangan khusus untuk bahan kunci impor
<a name="importing-keys-considerations"></a>

Sebelum Anda memutuskan untuk mengimpor bahan kunci ke dalam AWS KMS, Anda harus memahami karakteristik berikut dari bahan kunci impor.

**Anda menghasilkan material kunci**  
Anda bertanggung jawab untuk menghasilkan materi utama menggunakan sumber keacakan yang memenuhi persyaratan keamanan Anda.

**Anda bertanggung jawab atas ketersediaan dan daya tahan**  
AWS KMS dirancang untuk menjaga agar bahan kunci impor tetap tersedia. Tetapi AWS KMS tidak mempertahankan daya tahan bahan kunci impor pada tingkat yang sama dengan bahan utama yang AWS KMS menghasilkan. Lihat perinciannya di [Melindungi material kunci yang diimpor](import-keys-protect.md).

**Anda dapat menghapus materi kunci**  
Anda dapat [menghapus materi kunci yang diimpor](importing-keys-delete-key-material.md) dari kunci KMS, segera membuat kunci KMS tidak dapat digunakan. Selain itu, saat Anda mengimpor materi kunci ke kunci KMS, Anda dapat menentukan apakah kunci tersebut kedaluwarsa dan [mengatur waktu kedaluwarsa](importing-keys-import-key-material.md#importing-keys-expiration). Ketika waktu kedaluwarsa tiba, AWS KMS [hapus materi kunci.](importing-keys-delete-key-material.md) Tanpa materi kunci, kunci KMS tidak dapat digunakan dalam operasi kriptografi apa pun. Untuk mengembalikan kunci, Anda harus mengimpor ulang materi kunci yang sama ke dalam kunci. 

**Anda tidak dapat mengubah materi kunci untuk kunci asimetris, dan HMAC**  
Saat Anda mengimpor materi kunci ke kunci KMS, kunci KMS secara permanen dikaitkan dengan materi kunci tersebut. Anda dapat [mengimpor ulang materi kunci yang sama](importing-keys-import-key-material.md#reimport-key-material), tetapi Anda tidak dapat mengimpor materi kunci yang berbeda ke dalam kunci KMS itu. Selain itu, Anda tidak dapat [mengaktifkan rotasi tombol otomatis](rotate-keys.md) untuk kunci KMS dengan bahan kunci yang diimpor. Namun, Anda dapat [memutar kunci KMS secara manual dengan bahan kunci](rotate-keys-manually.md) yang diimpor. 

**Anda dapat melakukan rotasi sesuai permintaan pada kunci enkripsi simetris**  
Kunci enkripsi simetris dengan material kunci impor mendukung rotasi sesuai permintaan. Anda dapat [mengimpor beberapa materi utama](importing-keys-import-key-material.md#import-new-key-material) ke dalam kunci ini dan menggunakan [rotasi sesuai permintaan](rotating-keys-on-demand.md) untuk memperbarui materi kunci saat ini. Bahan kunci saat ini digunakan untuk enkripsi dan dekripsi tetapi bahan kunci lainnya (tidak saat ini) hanya dapat digunakan untuk dekripsi. 

**Anda tidak dapat mengubah asal materi utama**  
Kunci KMS yang dirancang untuk bahan kunci impor memiliki nilai [asal](create-keys.md#key-origin) `EXTERNAL` yang tidak dapat diubah. Anda tidak dapat mengonversi kunci KMS untuk bahan kunci impor untuk menggunakan materi kunci dari sumber lain, termasuk AWS KMS. Demikian pula, Anda tidak dapat mengonversi kunci KMS dengan bahan AWS KMS utama menjadi kunci yang dirancang untuk bahan kunci impor.

**Anda tidak dapat mengekspor materi kunci**  
Anda tidak dapat mengekspor materi kunci apa pun yang Anda impor. AWS KMS tidak dapat mengembalikan materi kunci yang diimpor kepada Anda dalam bentuk apa pun. Anda harus menyimpan salinan materi kunci impor Anda di luar AWS, sebaiknya di pengelola kunci, seperti modul keamanan perangkat keras (HSM), sehingga Anda dapat mengimpor ulang materi kunci jika Anda menghapusnya atau kedaluwarsa.

**Anda dapat membuat kunci Multi-wilayah dengan bahan kunci yang diimpor**  
Multi-Region dengan bahan kunci impor memiliki fitur kunci KMS dengan bahan kunci impor, dan dapat saling beroperasi di antaranya. Wilayah AWS Untuk membuat kunci Multi-region dengan materi kunci impor, Anda harus mengimpor bahan kunci yang sama ke kunci KMS primer dan ke setiap kunci replika. Untuk detail selengkapnya tentang mengimpor materi utama untuk kunci Multi-wilayah, lihat. [Mengimpor materi kunci baru](importing-keys-import-key-material.md#import-new-key-material)

**Tombol asimetris dan kunci HMAC portabel dan dapat dioperasikan**  
Anda dapat menggunakan bahan kunci asimetris dan bahan kunci HMAC di luar AWS untuk beroperasi dengan AWS KMS kunci dengan bahan kunci impor yang sama.   
Berbeda dengan ciphertext AWS KMS simetris, yang terikat erat dengan kunci KMS yang digunakan dalam algoritma, AWS KMS menggunakan HMAC standar dan format asimetris untuk enkripsi, penandatanganan, dan pembuatan MAC. Akibatnya, kuncinya portabel dan mendukung skenario kunci escrow tradisional.  
Ketika kunci KMS Anda telah mengimpor bahan kunci, Anda dapat menggunakan bahan kunci impor di luar AWS untuk melakukan operasi berikut.  
+ Kunci HMAC - Anda dapat memverifikasi tag HMAC yang dihasilkan oleh kunci HMAC KMS dengan bahan kunci yang diimpor. Anda juga dapat menggunakan kunci HMAC KMS dengan bahan kunci yang diimpor untuk memverifikasi tag HMAC yang dihasilkan oleh materi kunci di luar. AWS
+ Kunci enkripsi asimetris — Anda dapat menggunakan kunci enkripsi asimetris pribadi Anda di luar AWS untuk mendekripsi ciphertext yang dienkripsi oleh kunci KMS dengan kunci publik yang sesuai. Anda juga dapat menggunakan kunci KMS asimetris Anda untuk mendekripsi ciphertext asimetris yang dihasilkan di luar. AWS
+ Kunci penandatanganan asimetris — Anda dapat menggunakan kunci KMS penandatanganan asimetris dengan materi kunci yang diimpor untuk memverifikasi tanda tangan digital yang dihasilkan oleh kunci penandatanganan pribadi Anda di luar. AWS Anda juga dapat menggunakan kunci penandatanganan publik asimetris di luar AWS untuk memverifikasi tanda tangan yang dihasilkan oleh kunci KMS asimetris Anda.
+ Kunci perjanjian kunci asimetris — Anda dapat menggunakan kunci KMS perjanjian kunci asimetris Anda dengan materi kunci yang diimpor untuk memperoleh rahasia bersama dengan rekan di luar. AWS
Jika Anda mengimpor materi kunci yang sama ke kunci KMS yang berbeda dalam hal yang sama Wilayah AWS, kunci tersebut juga dapat dioperasikan. Untuk membuat kunci KMS yang dapat dioperasikan secara berbeda Wilayah AWS, buat kunci Multi-wilayah dengan bahan kunci yang diimpor.  

**Kunci pribadi RSA**
+ AWS KMS mengharuskan kunci pribadi RSA yang diimpor untuk memiliki faktor utama yang sesuai dengan pengujian yang dijelaskan dalam [FIPS 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf), Bagian A. 1.3. Perangkat lunak atau perangkat lain mungkin menggunakan algoritme yang berbeda untuk memvalidasi faktor utama kunci pribadi RSA ini. Dalam kasus yang jarang terjadi, kunci yang divalidasi menggunakan algoritma lain mungkin tidak diterima oleh. AWS KMS

**Kunci enkripsi simetris tidak portabel atau interoperable**  
Ciphertext simetris yang AWS KMS menghasilkan tidak portabel atau interoperable. AWS KMS tidak mempublikasikan format ciphertext simetris yang dibutuhkan portabilitas, dan formatnya mungkin berubah tanpa pemberitahuan.   
+ AWS KMS tidak dapat mendekripsi ciphertext simetris yang Anda enkripsi di luar AWS, bahkan jika Anda menggunakan materi kunci yang telah Anda impor. 
+ AWS KMS tidak mendukung dekripsi ciphertext AWS KMS simetris apa pun di luar AWS KMS, bahkan jika ciphertext dienkripsi di bawah kunci KMS dengan materi kunci yang diimpor.
+ Kunci KMS dengan bahan kunci impor yang sama tidak dapat dioperasikan. Ciphertext simetris yang AWS KMS menghasilkan ciphertext yang spesifik untuk setiap kunci KMS. Format ciphertext ini menjamin bahwa hanya kunci KMS yang data terenkripsi yang dapat mendekripsi itu. 
Selain itu, Anda tidak dapat menggunakan AWS alat apa pun, seperti [enkripsi sisi klien Amazon S3 [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)atau Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html), untuk mendekripsi ciphertext simetris. AWS KMS   
Akibatnya, Anda tidak dapat menggunakan kunci dengan materi kunci yang diimpor untuk mendukung pengaturan escrow kunci di mana pihak ketiga yang berwenang dengan akses bersyarat ke materi kunci dapat mendekripsi ciphertext tertentu di luar. AWS KMS Untuk mendukung escrow kunci, gunakan [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/java-example-code.html#java-example-multiple-providers) untuk mengenkripsi pesan Anda di bawah kunci yang independen dari AWS KMS.

# Melindungi material kunci yang diimpor
<a name="import-keys-protect"></a>

Materi utama yang Anda impor dilindungi saat transit dan saat istirahat. Sebelum mengimpor materi kunci, Anda mengenkripsi (atau “membungkus”) materi kunci dengan kunci publik dari key pair RSA yang dihasilkan dalam modul keamanan AWS KMS perangkat keras (HSMs) yang divalidasi di bawah Program Validasi Modul Kriptografi [FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884). Anda dapat mengenkripsi materi kunci secara langsung dengan kunci publik pembungkus, atau mengenkripsi materi kunci dengan kunci simetris AES, dan kemudian mengenkripsi kunci simetris AES dengan kunci publik RSA.

Setelah diterima, AWS KMS dekripsi materi kunci dengan kunci pribadi yang sesuai di AWS KMS HSM dan mengenkripsi ulang di bawah kunci simetris AES yang hanya ada di memori volatile HSM. Materi kunci Anda tidak pernah meninggalkan HSM dalam teks biasa. Ini didekripsi hanya saat sedang digunakan dan hanya di dalam. AWS KMS HSMs

Penggunaan kunci KMS Anda dengan materi kunci impor ditentukan semata-mata oleh [kebijakan kontrol akses](control-access.md) yang Anda tetapkan pada kunci KMS. Selain itu, Anda dapat menggunakan [alias](kms-alias.md) dan [tag](tagging-keys.md) untuk mengidentifikasi dan [mengontrol akses](abac.md) ke kunci KMS. Anda dapat [mengaktifkan dan menonaktifkan](enabling-keys.md) kunci, [melihat](viewing-keys.md), dan [memantaunya](monitoring-overview.md) menggunakan layanan seperti AWS CloudTrail. 

Namun, Anda mempertahankan satu-satunya salinan failsafe dari materi kunci Anda. Sebagai imbalan atas ukuran kontrol ekstra ini, Anda bertanggung jawab atas daya tahan dan ketersediaan keseluruhan bahan kunci impor. AWS KMS dirancang untuk menjaga agar bahan kunci impor tetap tersedia. Tetapi AWS KMS tidak mempertahankan daya tahan bahan kunci impor pada tingkat yang sama dengan bahan utama yang AWS KMS menghasilkan.

Perbedaan daya tahan ini bermakna dalam kasus-kasus berikut:
+ Saat Anda [menetapkan waktu kedaluwarsa](importing-keys-import-key-material.md#importing-keys-expiration) untuk materi kunci impor Anda, AWS KMS hapus materi kunci setelah kedaluwarsa. AWS KMS tidak menghapus kunci KMS atau metadata-nya. Anda dapat [membuat CloudWatch alarm Amazon yang](imported-key-material-expiration-alarm.md) memberi tahu Anda saat materi kunci yang diimpor mendekati tanggal kedaluwarsanya.

  Anda tidak dapat menghapus materi kunci yang AWS KMS menghasilkan kunci KMS dan Anda tidak dapat mengatur materi AWS KMS kunci untuk kedaluwarsa.
+ Saat Anda [menghapus materi kunci yang diimpor secara manual](importing-keys-delete-key-material.md), AWS KMS menghapus materi kunci tetapi tidak menghapus kunci KMS atau metadatanya. Sebaliknya, [penjadwalan penghapusan kunci](deleting-keys.md#deleting-keys-how-it-works) memerlukan masa tunggu 7 hingga 30 hari, setelah itu AWS KMS secara permanen menghapus kunci KMS, metadatanya, dan materi utamanya.
+ Jika terjadi kegagalan di seluruh wilayah tertentu yang memengaruhi AWS KMS (seperti kehilangan daya total), AWS KMS tidak dapat secara otomatis mengembalikan materi kunci impor Anda. Namun, AWS KMS dapat mengembalikan kunci KMS dan metadata-nya.

Anda *harus* menyimpan salinan materi kunci yang diimpor di luar AWS dalam sistem yang Anda kontrol. Kami menyarankan Anda menyimpan salinan yang dapat diekspor dari bahan kunci yang diimpor dalam sistem manajemen kunci, seperti HSM. Sebagai praktik terbaik, Anda harus menyimpan referensi ke ARN kunci KMS dan ID material kunci yang dihasilkan bersama AWS KMS dengan salinan materi kunci yang dapat diekspor. Jika materi kunci impor Anda dihapus atau kedaluwarsa, kunci KMS yang terkait menjadi tidak dapat digunakan sampai Anda mengimpor ulang materi kunci yang sama. Jika materi kunci impor Anda hilang secara permanen, ciphertext apa pun yang dienkripsi di bawah kunci KMS tidak dapat dipulihkan. 

**penting**  
Kunci enkripsi simetris dapat memiliki beberapa bahan utama yang terkait dengannya. Seluruh kunci KMS menjadi tidak dapat digunakan segera setelah Anda menghapus salah satu materi utama tersebut atau jika salah satu dari materi utama tersebut kedaluwarsa (kecuali materi kunci yang dihapus atau kedaluwarsa adalah atau). `PENDING_ROTATION` `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` Anda harus mengimpor ulang materi kunci yang kedaluwarsa atau dihapus yang terkait dengan kunci tersebut sebelum kunci tersebut dapat digunakan untuk operasi kriptografi.