KMSkunci di toko kunci eksternal

Untuk membuat, melihat, mengelola, menggunakan, dan menjadwalkan penghapusan KMS kunci di penyimpanan kunci eksternal, Anda menggunakan prosedur yang sangat mirip dengan yang Anda gunakan untuk kunci lainnyaKMS. Namun, ketika Anda membuat KMS kunci di penyimpanan kunci eksternal, Anda menentukan penyimpanan kunci eksternal dan kunci eksternal. Saat Anda menggunakan KMS kunci di penyimpanan kunci eksternal, operasi enkripsi dan dekripsi dilakukan oleh pengelola kunci eksternal Anda menggunakan kunci eksternal yang ditentukan.

AWS KMS tidak dapat membuat, melihat, memperbarui, atau menghapus kunci kriptografi apa pun di pengelola kunci eksternal Anda. AWS KMS tidak pernah langsung mengakses manajer kunci eksternal Anda atau kunci eksternal apa pun. Semua permintaan untuk operasi kriptografi dimediasi oleh proxy penyimpanan kunci eksternal Anda. Untuk menggunakan KMS kunci di penyimpanan kunci eksternal, penyimpanan kunci eksternal yang menghosting KMS kunci harus terhubung ke proxy penyimpanan kunci eksternal.

Fitur yang didukung

Selain prosedur yang dibahas di bagian ini, Anda dapat melakukan hal berikut dengan KMS kunci di toko kunci eksternal:

Gunakan kebijakan, IAMkebijakan, dan hibah utama untuk mengontrol akses ke KMS kunci.
Aktifkan dan nonaktifkan KMS tombol. Tindakan ini tidak memengaruhi kunci eksternal di manajer kunci eksternal Anda.
Tetapkan tag dan buat alias, dan gunakan kontrol akses berbasis atribut (ABAC) untuk mengotorisasi akses ke kunci. KMS
Gunakan KMS tombol untuk melakukan operasi kriptografi berikut:
Operasi yang menghasilkan pasangan kunci data asimetris, GenerateDataKeyPairdan GenerateDataKeyPairWithoutPlaintext, tidak didukung di penyimpanan kunci khusus.
Gunakan KMS kunci Layanan AWS yang terintegrasi dengan AWS KMS dan dukung kunci yang dikelola pelanggan.

Fitur yang tidak didukung

Toko kunci eksternal hanya mendukung KMSkunci enkripsi simetris. Anda tidak dapat membuat HMAC KMS kunci atau KMS kunci asimetris di penyimpanan kunci eksternal.
GenerateDataKeyPairdan GenerateDataKeyPairWithoutPlaintexttidak didukung pada KMS kunci di toko kunci eksternal.
Anda tidak dapat menggunakan AWS CloudFormation template AWSKMS:: :Key untuk membuat penyimpanan kunci eksternal atau KMS kunci di penyimpanan kunci eksternal.
Tombol Multi-Region tidak didukung di penyimpanan kunci eksternal.
KMSkunci dengan bahan kunci impor tidak didukung di toko kunci eksternal.
Rotasi kunci otomatis tidak didukung untuk KMS kunci di penyimpanan kunci eksternal.

Menggunakan KMS kunci di toko kunci eksternal

Saat Anda menggunakan KMS kunci dalam permintaan, identifikasi KMS kunci dengan ID kunci, kunci, aliasARN, atau ARN alias. Anda tidak perlu menentukan toko kunci eksternal. Respons mencakup bidang yang sama yang dikembalikan untuk KMS kunci enkripsi simetris apa pun. Namun, ketika Anda menggunakan KMS kunci di penyimpanan kunci eksternal, operasi enkripsi dan dekripsi dilakukan oleh pengelola kunci eksternal Anda menggunakan kunci eksternal yang terkait dengan kunci tersebutKMS.

Untuk memastikan bahwa ciphertext yang dienkripsi oleh KMS kunci di penyimpanan kunci eksternal setidaknya sama amannya dengan ciphertext yang dienkripsi oleh kunci standar, gunakan enkripsi ganda. KMS AWS KMS Data pertama kali dienkripsi dalam AWS KMS menggunakan materi AWS KMS kunci. Kemudian dienkripsi oleh manajer kunci eksternal Anda menggunakan kunci eksternal untuk kunci tersebut. KMS Untuk mendekripsi ciphertext terenkripsi ganda, ciphertext pertama kali didekripsi oleh pengelola kunci eksternal Anda menggunakan kunci eksternal untuk kunci tersebut. KMS Kemudian didekripsi dalam AWS KMS menggunakan bahan AWS KMS kunci untuk kunci. KMS

Untuk memungkinkan ini terjadi, syarat-syarat berikut diperlukan.

Keadaan kunci dari KMS kunci harusEnabled. Untuk menemukan status kunci, lihat bidang Status untuk kunci terkelola pelanggan pada AWS KMS konsol atau KeyState bidang dalam DescribeKeyrespons.
Penyimpanan kunci eksternal yang menampung KMS kunci harus terhubung ke proxy penyimpanan kunci eksternalnya, yaitu, status koneksi penyimpanan kunci eksternal harusCONNECTED.

Anda dapat melihat status koneksi pada halaman penyimpanan kunci eksternal di AWS KMS konsol atau dalam DescribeCustomKeyStoresrespons. Status koneksi penyimpanan kunci eksternal juga ditampilkan pada halaman detail untuk KMS kunci di AWS KMS konsol. Pada halaman detail, pilih tab Konfigurasi kriptografi dan lihat bidang Status koneksi di bagian Penyimpanan kunci khusus.

Jika status koneksiDISCONNECTED, Anda harus menghubungkannya terlebih dahulu. Jika status koneksiFAILED, Anda harus menyelesaikan masalah, lepaskan penyimpanan kunci eksternal, dan kemudian hubungkan. Untuk petunjuk, silakan lihat Connect dan lepaskan penyimpanan kunci eksternal.
Proxy penyimpanan kunci eksternal harus dapat menemukan kunci eksternal.
Kunci eksternal harus diaktifkan dan harus melakukan enkripsi dan dekripsi.

Status kunci eksternal independen dan tidak terpengaruh oleh perubahan status kunci KMS kunci, termasuk mengaktifkan dan menonaktifkan kunci. KMS Demikian pula, menonaktifkan atau menghapus kunci eksternal tidak mengubah status kunci kunci, tetapi operasi kriptografi menggunakan KMS kunci terkait KMS akan gagal.

Jika kondisi ini tidak terpenuhi, operasi kriptografi gagal, dan AWS KMS mengembalikan KMSInvalidStateException pengecualian. Anda mungkin perlu menghubungkan kembali penyimpanan kunci eksternal atau menggunakan alat pengelola kunci eksternal Anda untuk mengkonfigurasi ulang atau memperbaiki kunci eksternal Anda. Untuk bantuan tambahan, lihat Memecahkan masalah toko kunci eksternal.

Saat menggunakan KMS kunci di penyimpanan kunci eksternal, ketahuilah bahwa KMS kunci di setiap toko kunci eksternal berbagi kuota permintaan toko kunci khusus untuk operasi kriptografi. Jika Anda melebihi kuota, AWS KMS mengembalikan aThrottlingException. Untuk detail tentang kuota permintaan toko kunci kustom, lihatKuota permintaan toko kunci kustom.

Pelajari selengkapnya

Untuk mempelajari lebih lanjut tentang toko kunci eksternal, lihatToko kunci eksternal.
Untuk mempelajari lebih lanjut tentang materi utama di toko kunci eksternal, lihatKunci eksternal.
Untuk membuat KMS kunci di toko kunci eksternal, lihatBuat KMS kunci di toko kunci eksternal.
Untuk mengidentifikasi dan melihat KMS kunci di penyimpanan kunci eksternal, lihatIdentifikasi KMS kunci di toko kunci eksternal.
Untuk mempelajari tentang pertimbangan khusus untuk menghapus KMS kunci di penyimpanan kunci eksternal, lihat Menghapus KMS kunci dari penyimpanan kunci eksternal.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

KMSkunci di toko HSM kunci Cloud

AWS KMS penting kriptografi