Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan AWS Key Management Service
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menjelaskan hal ini sebagai keamanan cloud dan keamanan dalam cloud:
+ **Keamanan cloud** *— AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud.* AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program AWS Kepatuhan Program AWS Kepatuhan](https://aws.amazon.com/compliance/programs/) . Untuk mempelajari tentang program kepatuhan yang berlaku untuk AWS Key Management Service (AWS KMS), lihat [AWS Layanan dalam Lingkup oleh AWS Layanan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Keamanan *di* cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Selain konfigurasi dan penggunaan Anda AWS KMS keys, Anda bertanggung jawab atas faktor-faktor lain termasuk sensitivitas data Anda, persyaratan perusahaan Anda, dan hukum dan peraturan yang berlaku AWS KMS
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan AWS Key Management Service. Ini menunjukkan kepada Anda cara mengonfigurasi AWS KMS untuk memenuhi tujuan keamanan dan kepatuhan Anda.
**Topics**
+ [Perlindungan data](data-protection.md)
+ [Manajemen identitas dan akses](security-iam.md)
+ [Pencatatan log dan pemantauan](security-logging-monitoring.md)
+ [Validasi kepatuhan](kms-compliance.md)
+ [Ketahanan](disaster-recovery-resiliency.md)
+ [Keamanan infrastruktur](infrastructure-security.md)
# Perlindungan data di AWS Key Management Service
AWS Key Management Service menyimpan dan melindungi kunci enkripsi Anda untuk membuatnya sangat tersedia sambil memberi Anda kontrol akses yang kuat dan fleksibel.
**Topics**
+ [Melindungi bahan utama](#encryption-key-mgmt)
+ [Enkripsi data](#data-encryption)
+ [Privasi lalu lintas antar jaringan](#inter-network-privacy)
## Melindungi bahan utama
Secara default, AWS KMS menghasilkan dan melindungi materi kunci kriptografi untuk kunci KMS. Selain itu, AWS KMS menawarkan opsi untuk materi utama yang dibuat dan dilindungi di luar AWS KMS.
### Melindungi material utama yang dihasilkan AWS KMS
Saat Anda membuat kunci KMS, secara default, AWS KMS menghasilkan dan melindungi materi kriptografi untuk kunci KMS.
Untuk melindungi materi kunci untuk kunci KMS, AWS KMS bergantung pada armada terdistribusi [FIPS 140-3 Security Level 3—modul keamanan](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) perangkat keras yang divalidasi (). HSMs Setiap AWS KMS HSM adalah alat perangkat keras mandiri khusus yang dirancang untuk menyediakan fungsi kriptografi khusus untuk memenuhi persyaratan keamanan dan skalabilitas. AWS KMS( HSMs Yang AWS KMS digunakan di Wilayah Tiongkok disertifikasi [oleh](https://www.oscca.gov.cn/) OSCCA dan mematuhi semua peraturan Tiongkok terkait, tetapi tidak divalidasi berdasarkan Program Validasi Modul Kriptografi FIPS 140-3.)
Bahan kunci untuk kunci KMS dienkripsi secara default ketika dihasilkan di HSM. Materi kunci didekripsi hanya dalam memori volatile HSM dan hanya untuk beberapa milidetik yang diperlukan untuk menggunakannya dalam operasi kriptografi. Setiap kali bahan utama tidak digunakan secara aktif, itu dienkripsi dalam HSM dan ditransfer ke penyimpanan persisten latensi rendah yang [sangat tahan lama](https://docs.aws.amazon.com/kms/latest/cryptographic-details/durability-protection.html) (99,999999999%) yang tetap terpisah dan terisolasi dari. HSMs Materi kunci Plaintext tidak pernah meninggalkan [batas keamanan](https://docs.aws.amazon.com/kms/latest/cryptographic-details/internal-communication-security.html#hsm-security-boundary) HSM; itu tidak pernah ditulis ke disk atau bertahan di media penyimpanan apa pun. (Satu-satunya pengecualian adalah kunci publik dari key pair asimetris, yang bukan rahasia.)
AWS menegaskan sebagai prinsip keamanan mendasar bahwa tidak ada interaksi manusia dengan materi kunci kriptografi teks biasa dari jenis apa pun. Layanan AWS Tidak ada mekanisme bagi siapa pun, termasuk Layanan AWS operator, untuk melihat, mengakses, atau mengekspor materi kunci teks biasa. Prinsip ini berlaku bahkan selama kegagalan bencana dan peristiwa pemulihan bencana. Materi kunci pelanggan Plaintext AWS KMS digunakan untuk operasi kriptografi dalam AWS KMS FIPS 140-3 yang divalidasi HSMs hanya sebagai tanggapan atas permintaan resmi yang dibuat untuk layanan oleh pelanggan atau delegasi mereka.
Untuk [kunci yang dikelola pelanggan, kunci](concepts.md#customer-mgn-key) Akun AWS yang menciptakan kunci adalah pemilik kunci tunggal dan tidak dapat dipindahtangankan. Akun pemilik memiliki kontrol lengkap dan eksklusif atas kebijakan otorisasi yang mengontrol akses ke kunci. Untuk Kunci yang dikelola AWS, Akun AWS memiliki kontrol penuh atas kebijakan IAM yang mengotorisasi permintaan ke. Layanan AWS
### Melindungi material utama yang dihasilkan di luar AWS KMS
AWS KMS memberikan alternatif untuk bahan utama yang dihasilkan di AWS KMS.
[Toko kunci khusus](key-store-overview.md#custom-key-store-overview), AWS KMS fitur opsional, memungkinkan Anda membuat kunci KMS yang didukung oleh materi utama yang dihasilkan dan digunakan di luar. AWS KMS Kunci KMS di [toko-toko AWS CloudHSM utama](keystore-cloudhsm.md) didukung oleh kunci dalam modul keamanan AWS CloudHSM perangkat keras yang Anda kontrol. Ini HSMs disertifikasi di [FIPS 140-2 Security Level 3 atau 140-3 Security Level 3](https://docs.aws.amazon.com/cloudhsm/latest/userguide/compliance.html). Kunci KMS di [toko kunci eksternal](keystore-external.md) didukung oleh kunci di manajer kunci eksternal yang Anda kontrol dan kelola di luar AWS, seperti HSM fisik di pusat data pribadi Anda.
Fitur opsional lainnya memungkinkan Anda [mengimpor bahan kunci](importing-keys.md) untuk kunci KMS. Untuk melindungi material kunci yang diimpor saat sedang dalam perjalanan AWS KMS, Anda mengenkripsi materi kunci menggunakan kunci publik dari key pair RSA yang dihasilkan dalam HSM. AWS KMS Bahan kunci yang diimpor didekripsi dalam AWS KMS HSM dan dienkripsi ulang di bawah kunci simetris di HSM. Seperti semua materi utama, bahan AWS KMS kunci impor plaintext tidak pernah meninggalkan yang tidak terenkripsi. HSMs Namun, pelanggan yang menyediakan bahan utama bertanggung jawab atas penggunaan yang aman, daya tahan, dan pemeliharaan material utama di luar AWS KMS.
## Enkripsi data
Data AWS KMS terdiri dari AWS KMS keys dan bahan kunci enkripsi yang mereka wakili. Materi kunci ini ada dalam teks biasa hanya dalam modul keamanan AWS KMS perangkat keras (HSMs) dan hanya saat digunakan. Jika tidak, material kunci dienkripsi dan disimpan dalam penyimpanan tetap.
Materi kunci yang AWS KMS menghasilkan kunci KMS tidak pernah meninggalkan batas yang tidak terenkripsi. AWS KMS HSMs Itu tidak diekspor atau ditransmisikan dalam operasi AWS KMS API apa pun. Pengecualiannya adalah untuk [kunci Multi-wilayah](multi-region-keys-overview.md), di mana AWS KMS menggunakan mekanisme replikasi Lintas wilayah untuk menyalin materi kunci untuk kunci Multi-wilayah dari HSM dalam satu Wilayah AWS ke HSM yang berbeda. Wilayah AWS Untuk detailnya, lihat [Proses replikasi untuk kunci Multi-wilayah](https://docs.aws.amazon.com/kms/latest/cryptographic-details/replicate-key-details.html) di Detail AWS Key Management Service Kriptografi.
**Topics**
+ [Enkripsi saat diam](#encryption-at-rest)
+ [Enkripsi saat bergerak](#encryption-in-transit)
### Enkripsi saat diam
AWS KMS menghasilkan materi utama untuk modul AWS KMS keys keamanan perangkat keras [FIPS 140-3 Security Level 3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) yang sesuai (). HSMs Satu-satunya pengecualian adalah Wilayah Tiongkok, di mana HSMs AWS KMS yang digunakan untuk menghasilkan kunci KMS mematuhi semua peraturan China terkait, tetapi tidak divalidasi berdasarkan Program Validasi Modul Kriptografi FIPS 140-3. Saat tidak digunakan, bahan kunci dienkripsi oleh kunci HSM dan ditulis ke penyimpanan yang tahan lama dan persisten. Materi kunci untuk kunci KMS dan kunci enkripsi yang melindungi materi kunci tidak pernah meninggalkan HSMs dalam bentuk teks biasa.
Enkripsi dan pengelolaan bahan kunci untuk kunci KMS ditangani sepenuhnya oleh. AWS KMS
Untuk detail selengkapnya, lihat [Bekerja dengan AWS KMS keys](https://docs.aws.amazon.com/kms/latest/cryptographic-details/kms-keys.html) Rincian AWS Key Management Service Kriptografi.
### Enkripsi saat bergerak
Materi kunci yang AWS KMS dihasilkan untuk kunci KMS tidak pernah diekspor atau ditransmisikan dalam operasi AWS KMS API. AWS KMS menggunakan [pengidentifikasi kunci](concepts.md#key-id) untuk mewakili kunci KMS dalam operasi API. Demikian pula, materi kunci untuk kunci KMS di [toko kunci AWS KMS khusus](key-store-overview.md#custom-key-store-overview) tidak dapat diekspor dan tidak pernah ditransmisikan dalam AWS KMS atau AWS CloudHSM operasi API.
Namun, beberapa operasi AWS KMS API mengembalikan [kunci data](data-keys.md). Selain itu, pelanggan dapat menggunakan operasi API untuk [mengimpor materi kunci](importing-keys.md) untuk kunci KMS yang dipilih.
Semua panggilan AWS KMS API harus ditandatangani dan ditransmisikan menggunakan Transport Layer Security (TLS). AWS KMS membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3 di semua wilayah. AWS KMS juga mendukung TLS pasca-kuantum hibrida untuk titik akhir AWS KMS layanan di semua wilayah, kecuali Wilayah Tiongkok. AWS KMS tidak mendukung TLS pasca-kuantum hibrida untuk titik akhir FIPS di. AWS GovCloud (US) Panggilan ke AWS KMS juga memerlukan suite penyandian modern yang mendukung *kerahasiaan penerusan sempurna*, yang berarti bahwa gangguan rahasia apa pun, seperti kunci privat, tidak mengganggu kunci sesi juga.
Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Untuk menggunakan endpoint standar atau AWS KMS endpoint AWS KMS FIPS, klien harus mendukung TLS 1.2 atau yang lebih baru. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/). Untuk daftar titik akhir AWS KMS FIPS, lihat [AWS Key Management Service titik akhir dan kuota](https://docs.aws.amazon.com/general/latest/gr/kms.html) di. Referensi Umum AWS
Komunikasi antara host AWS KMS layanan dan HSMs dilindungi menggunakan Elliptic Curve Cryptography (ECC) dan Advanced Encryption Standard (AES) dalam skema enkripsi yang diautentikasi. Untuk detail selengkapnya, lihat [Keamanan komunikasi internal](https://docs.aws.amazon.com/kms/latest/cryptographic-details/internal-communication-security.html) di Detail AWS Key Management Service Kriptografi.
## Privasi lalu lintas antar jaringan
AWS KMS mendukung satu Konsol Manajemen AWS dan satu set operasi API yang memungkinkan Anda untuk membuat dan mengelola AWS KMS keys dan menggunakannya dalam operasi kriptografi.
AWS KMS mendukung dua opsi konektivitas jaringan dari jaringan pribadi Anda ke AWS.
+ Koneksi IPSec VPN melalui internet
+ [AWS Direct Connect](https://aws.amazon.com/directconnect/), yang menghubungkan jaringan internal Anda ke Direct Connect lokasi melalui kabel serat optik Ethernet standar.
Semua panggilan AWS KMS API harus ditandatangani dan ditransmisikan menggunakan Transport Layer Security (TLS). Panggilan juga memerlukan suite penyandian modern yang mendukung [kerahasiaan penerusan sempurna](https://en.wikipedia.org/wiki/Forward_secrecy). Lalu lintas ke modul keamanan perangkat keras (HSMs) yang menyimpan materi kunci untuk kunci KMS hanya diizinkan dari host AWS KMS API yang diketahui melalui jaringan AWS internal.
Untuk terhubung langsung ke AWS KMS dari virtual private cloud (VPC) Anda tanpa mengirim lalu lintas melalui internet publik, gunakan titik akhir VPC, yang didukung oleh. [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Untuk informasi selengkapnya, lihat [Connect ke AWS KMS melalui titik akhir VPC](kms-vpc-endpoint.md).
AWS KMS juga mendukung opsi [pertukaran kunci pasca-kuantum hibrida](pqtls.md) untuk protokol enkripsi jaringan Transport Layer Security (TLS). Anda dapat menggunakan opsi ini dengan TLS saat Anda terhubung ke titik akhir AWS KMS API.
# Identitas dan manajemen akses untuk AWS Key Management Service
AWS Identity and Access Management (IAM) membantu Anda mengontrol akses ke AWS sumber daya dengan aman. Administrator mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya. AWS KMS Untuk informasi selengkapnya, lihat [Menggunakan kebijakan IAM dengan AWS KMS](iam-policies.md).
[Kebijakan kunci](key-policies.md) adalah mekanisme utama untuk mengontrol akses ke kunci KMS di AWS KMS. Setiap kunci KMS harus memiliki kebijakan kunci. Anda juga dapat menggunakan [kebijakan dan [hibah](grants.md) IAM](iam-policies.md), bersama dengan kebijakan utama, untuk mengontrol akses ke kunci KMS Anda. Untuk informasi selengkapnya, lihat [Akses dan izin kunci KMS](control-access.md).
Jika Anda menggunakan Amazon Virtual Private Cloud (Amazon VPC), Anda dapat [membuat antarmuka VPC endpoint](kms-vpc-endpoint.md) untuk didukung oleh. AWS KMS [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Anda juga dapat menggunakan kebijakan titik akhir VPC untuk menentukan prinsipal mana yang dapat mengakses AWS KMS titik akhir Anda, panggilan API mana yang dapat mereka lakukan, dan kunci KMS mana yang dapat mereka akses.
**Topics**
+ [AWS kebijakan terkelola untuk AWS Key Management Service](security-iam-awsmanpol.md)
+ [Menggunakan peran terkait layanan untuk AWS KMS](using-service-linked-roles.md)
# AWS kebijakan terkelola untuk AWS Key Management Service
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
## AWS kebijakan terkelola: AWSKey ManagementServicePowerUser
Anda dapat melampirkan kebijakan `AWSKeyManagementServicePowerUser` ke identitas IAM Anda.
Anda dapat menggunakan kebijakan `AWSKeyManagementServicePowerUser` terkelola untuk memberikan izin kepada pengguna daya kepada kepala IAM di akun Anda. Pengguna daya dapat membuat kunci KMS, menggunakan dan mengelola kunci KMS yang mereka buat, dan melihat semua kunci KMS dan identitas IAM. Prinsipal yang memiliki kebijakan `AWSKeyManagementServicePowerUser` terkelola juga bisa mendapatkan izin dari sumber lain, termasuk kebijakan utama, kebijakan IAM lainnya, dan hibah.
`AWSKeyManagementServicePowerUser`adalah kebijakan IAM yang AWS dikelola. Untuk informasi selengkapnya tentang kebijakan AWS [AWS terkelola, lihat kebijakan terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) di *Panduan Pengguna IAM*.
**catatan**
Izin dalam kebijakan ini yang khusus untuk kunci KMS, seperti `kms:TagResource` dan`kms:GetKeyRotationStatus`, hanya efektif jika kebijakan utama untuk kunci KMS tersebut secara [eksplisit mengizinkan kebijakan IAM untuk menggunakan kebijakan IAM Akun AWS untuk mengontrol akses ke kunci tersebut](key-policy-default.md#key-policy-default-allow-root-enable-iam). Untuk menentukan apakah izin khusus untuk kunci KMS, lihat [AWS KMS izin](kms-api-permissions-reference.md) dan cari nilai **kunci KMS** di kolom **Sumber Daya**.
Kebijakan ini memberikan izin pengguna daya pada kunci KMS apa pun dengan kebijakan kunci yang mengizinkan pengoperasian. Untuk izin lintas akun, seperti `kms:DescribeKey` dan`kms:ListGrants`, ini mungkin termasuk kunci KMS yang tidak dipercaya. Akun AWS Untuk detailnya, lihat [Praktik terbaik untuk kebijakan IAM](iam-policies-best-practices.md) dan [Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS](key-policy-modifying-external-accounts.md). Untuk menentukan apakah izin valid pada kunci KMS di akun lain, lihat [AWS KMS izin](kms-api-permissions-reference.md) dan cari nilai **Ya di kolom** **Penggunaan lintas akun**.
Untuk mengizinkan prinsipal melihat AWS KMS konsol tanpa kesalahan, prinsipal memerlukan GetResources izin [tag:](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html), yang tidak termasuk dalam kebijakan. `AWSKeyManagementServicePowerUser` Anda dapat mengizinkan izin ini dalam kebijakan IAM terpisah.
Kebijakan IAM [AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser)terkelola mencakup izin berikut.
+ Memungkinkan kepala sekolah untuk membuat kunci KMS. Karena proses ini mencakup pengaturan kebijakan kunci, pengguna daya dapat memberikan izin kepada diri mereka sendiri dan orang lain untuk menggunakan dan mengelola kunci KMS yang mereka buat.
+ Memungkinkan prinsipal untuk membuat dan menghapus [alias](kms-alias.md) dan [tag](tagging-keys.md) pada semua kunci KMS. Mengubah tag atau alias dapat mengizinkan atau menolak izin untuk menggunakan dan mengelola kunci KMS. Lihat perinciannya di [ABAC untuk AWS KMS](abac.md).
+ [Memungkinkan prinsipal untuk mendapatkan informasi rinci tentang semua kunci KMS, termasuk ARN kunci mereka, konfigurasi kriptografi, kebijakan kunci, alias, tag, dan status rotasi.](rotate-keys.md)
+ Memungkinkan prinsipal untuk mencantumkan pengguna, grup, dan peran IAM.
+ Kebijakan ini tidak mengizinkan prinsipal untuk menggunakan atau mengelola kunci KMS yang tidak mereka buat. Namun, mereka dapat mengubah alias dan tag pada semua kunci KMS, yang mungkin mengizinkan atau menolak izin mereka untuk menggunakan atau mengelola kunci KMS.
Untuk melihat izin kebijakan ini, lihat [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)di Referensi Kebijakan AWS Terkelola.
## AWS kebijakan terkelola: AWSService RoleForKeyManagementServiceCustomKeyStores
Anda tidak dapat melampirkan `AWSServiceRoleForKeyManagementServiceCustomKeyStores` ke entitas IAM Anda. Kebijakan ini dilampirkan ke peran terkait layanan yang memberikan AWS KMS izin untuk melihat AWS CloudHSM kluster yang terkait dengan penyimpanan AWS CloudHSM kunci Anda dan membuat jaringan untuk mendukung koneksi antara penyimpanan kunci kustom dan klasternya. AWS CloudHSM Untuk informasi selengkapnya, lihat [Otorisasi AWS KMS untuk mengelola AWS CloudHSM dan sumber daya Amazon EC2](authorize-kms.md).
## AWS kebijakan terkelola: AWSService RoleForKeyManagementServiceMultiRegionKeys
Anda tidak dapat melampirkan `AWSServiceRoleForKeyManagementServiceMultiRegionKeys` ke entitas IAM Anda. Kebijakan ini dilampirkan ke peran terkait layanan yang memberikan AWS KMS izin untuk menyinkronkan perubahan apa pun pada materi utama kunci utama Multi-wilayah ke kunci replika. Untuk informasi selengkapnya, lihat [Otorisasi AWS KMS untuk menyinkronkan kunci Multi-region](multi-region-auth-slr.md).
## AWS KMS pembaruan kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola AWS KMS sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan ke umpan RSS pada halaman AWS KMS [Riwayat dokumen](dochistory.md).
| Perubahan | Deskripsi | Date |
| --- | --- | --- |
| [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md) – Pembaruan ke kebijakan yang sudah ada | AWS KMS menambahkan kolom pernyataan ID (`Sid`) ke kebijakan terkelola dalam kebijakan versi v2. | November 21, 2024 |
| [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md) – Pembaruan ke kebijakan yang sudah ada | AWS KMS menambahkan`ec2:DescribeVpcs`,`ec2:DescribeNetworkAcls`, dan `ec2:DescribeNetworkInterfaces` izin untuk memantau perubahan di VPC yang berisi cluster AWS CloudHSM Anda sehingga dapat memberikan pesan kesalahan AWS KMS yang jelas jika terjadi kegagalan. | 10 November 2023 |
| AWS KMS mulai melacak perubahan | AWS KMS mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 10 November 2023 |
# Menggunakan peran terkait layanan untuk AWS KMS
AWS Key Management Service menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. AWS KMS Peran terkait layanan ditentukan oleh AWS KMS dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat pengaturan AWS KMS lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS KMS mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS KMS dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi AWS KMS sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [Layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran Terkait Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
Untuk melihat detail tentang pembaruan pada peran terkait layanan yang dibahas dalam topik ini, lihat. [AWS KMS pembaruan kebijakan AWS terkelola](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)
**Topics**
+ [Otorisasi AWS KMS untuk mengelola AWS CloudHSM dan sumber daya Amazon EC2](authorize-kms.md)
+ [Otorisasi AWS KMS untuk menyinkronkan kunci Multi-region](multi-region-auth-slr.md)
# Otorisasi AWS KMS untuk mengelola AWS CloudHSM dan sumber daya Amazon EC2
Untuk mendukung toko AWS CloudHSM utama Anda, AWS KMS perlu izin untuk mendapatkan informasi tentang AWS CloudHSM cluster Anda. Ini juga membutuhkan izin untuk membuat infrastruktur jaringan yang menghubungkan toko AWS CloudHSM kunci Anda ke AWS CloudHSM klasternya. Untuk mendapatkan izin ini, AWS KMS buat peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan di Anda. Akun AWS Pengguna yang membuat toko AWS CloudHSM kunci harus memiliki `iam:CreateServiceLinkedRole` izin yang memungkinkan mereka membuat peran terkait layanan.
Untuk melihat detail tentang pembaruan kebijakan **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**terkelola, lihat[AWS KMS pembaruan kebijakan AWS terkelola](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
**Topics**
+ [Tentang peran AWS KMS terkait layanan](#about-key-store-slr)
+ [Membuat peran terkait layanan](#create-key-store-slr)
+ [Mengedit deskripsi peran tertaut layanan](#edit-key-store-slr)
+ [Menghapus peran tertaut layanan](#delete-key-store-slr)
## Tentang peran AWS KMS terkait layanan
[Peran terkait layanan adalah peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) IAM yang memberikan satu izin AWS layanan untuk memanggil AWS layanan lain atas nama Anda. Ini dirancang untuk memudahkan Anda menggunakan fitur dari beberapa AWS layanan terintegrasi tanpa harus membuat dan memelihara kebijakan IAM yang kompleks. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk AWS KMS](using-service-linked-roles.md).
Untuk penyimpanan AWS CloudHSM utama, AWS KMS buat peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan dengan kebijakan **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**terkelola. Kebijakan ini memberi peran izin berikut:
+ [Cloudhsm:describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) — mendeteksi perubahan dalam AWS CloudHSM cluster yang dilampirkan ke toko kunci kustom Anda.
+ [ec2: CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) — digunakan saat Anda [menghubungkan toko AWS CloudHSM kunci](connect-keystore.md) untuk membuat grup keamanan yang memungkinkan arus lalu lintas jaringan antara AWS KMS dan AWS CloudHSM cluster Anda.
+ [ec2: AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) — digunakan saat Anda [menghubungkan toko AWS CloudHSM kunci](connect-keystore.md) untuk memungkinkan akses jaringan dari AWS KMS ke VPC yang berisi AWS CloudHSM cluster Anda.
+ [ec2: CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) — digunakan ketika Anda [menghubungkan toko AWS CloudHSM kunci](connect-keystore.md) untuk membuat antarmuka jaringan yang digunakan untuk komunikasi antara AWS KMS dan AWS CloudHSM cluster.
+ [ec2: RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) — digunakan saat Anda [menghubungkan toko AWS CloudHSM kunci](connect-keystore.md) untuk menghapus semua aturan keluar dari grup keamanan yang AWS KMS dibuat.
+ [ec2: DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) — digunakan saat Anda [memutuskan penyimpanan AWS CloudHSM kunci untuk menghapus grup keamanan yang dibuat saat Anda menghubungkan toko](disconnect-keystore.md) AWS CloudHSM kunci.
+ [ec2: DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) — digunakan untuk memantau perubahan dalam grup keamanan yang AWS KMS dibuat di VPC yang berisi cluster AWS CloudHSM Anda sehingga dapat memberikan pesan kesalahan AWS KMS yang jelas jika terjadi kegagalan.
+ [ec2: DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) — digunakan untuk memantau perubahan dalam VPC yang berisi cluster AWS CloudHSM Anda sehingga dapat memberikan pesan kesalahan AWS KMS yang jelas jika terjadi kegagalan.
+ [ec2: DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) — digunakan untuk memantau perubahan dalam jaringan ACLs untuk VPC yang berisi cluster AWS CloudHSM Anda sehingga dapat memberikan pesan kesalahan AWS KMS yang jelas jika terjadi kegagalan.
+ [ec2: DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) — digunakan untuk memantau perubahan pada antarmuka jaringan yang AWS KMS dibuat di VPC yang berisi AWS CloudHSM cluster Anda sehingga AWS KMS dapat memberikan pesan kesalahan yang jelas jika terjadi kegagalan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudhsm:Describe*",
"ec2:CreateNetworkInterface",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:DescribeVpcs",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
}
]
}
```
------
Karena peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan hanya mempercayai`cks.kms.amazonaws.com`, hanya AWS KMS dapat mengambil peran terkait layanan ini. Peran ini terbatas pada operasi yang AWS KMS perlu melihat AWS CloudHSM kluster Anda dan untuk menghubungkan penyimpanan AWS CloudHSM kunci ke AWS CloudHSM klaster terkait. Itu tidak memberikan AWS KMS izin tambahan. Misalnya, AWS KMS tidak memiliki izin untuk membuat, mengelola, atau menghapus AWS CloudHSM cluster, HSMs, atau backup Anda.
**Daerah**
Seperti fitur toko AWS CloudHSM utama, **AWSServiceRoleForKeyManagementServiceCustomKeyStores**peran ini didukung di semua Wilayah AWS tempat AWS KMS dan AWS CloudHSM tersedia. Untuk daftar yang didukung Wilayah AWS oleh setiap layanan, lihat [AWS Key Management Service Titik Akhir dan Kuota dan AWS CloudHSM titik](https://docs.aws.amazon.com/general/latest/gr/kms.html) [akhir dan kuota](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) di. *Referensi Umum Amazon Web Services*
Untuk informasi selengkapnya tentang cara AWS layanan menggunakan peran terkait layanan, lihat [Menggunakan peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) di Panduan Pengguna IAM.
## Membuat peran terkait layanan
AWS KMS secara otomatis membuat peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan di Akun AWS saat Anda membuat penyimpanan AWS CloudHSM kunci, jika peran tersebut belum ada. Anda tidak dapat membuat atau membuat ulang peran yang tertaut dengan layanan ini secara langsung.
## Mengedit deskripsi peran tertaut layanan
Anda tidak dapat mengedit nama peran atau pernyataan kebijakan dalam peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan, tetapi Anda dapat mengedit deskripsi peran. Untuk petunjuknya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) di Panduan Pengguna *IAM*.
## Menghapus peran tertaut layanan
AWS KMS tidak menghapus peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan dari Anda Akun AWS bahkan jika Anda telah [menghapus semua toko AWS CloudHSM utama Anda](delete-keystore.md). Meskipun saat ini tidak ada prosedur untuk menghapus peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan, AWS KMS tidak mengambil peran ini atau menggunakan izinnya kecuali Anda memiliki penyimpanan kunci aktif. AWS CloudHSM
# Otorisasi AWS KMS untuk menyinkronkan kunci Multi-region
Untuk mendukung [kunci Multi-region](multi-region-keys-auth.md), AWS KMS perlu izin untuk menyinkronkan [properti bersama](multi-region-keys-overview.md#mrk-sync-properties) dari kunci utama Multi-region dengan kunci replika. Untuk mendapatkan izin ini, AWS KMS buat peran **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**terkait layanan di Anda. Akun AWS Pengguna yang membuat kunci Multi-wilayah harus memiliki `iam:CreateServiceLinkedRole` izin yang memungkinkan mereka membuat peran terkait layanan.
Anda dapat melihat [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail peristiwa yang merekam AWS KMS sinkronisasi properti bersama di AWS CloudTrail log Anda.
Untuk melihat detail tentang pembaruan kebijakan **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**terkelola, lihat[AWS KMS pembaruan kebijakan AWS terkelola](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
**Topics**
+ [Tentang peran yang tertaut ke layanan untuk kunci multi-Wilayah](#about-multi-region-slr)
+ [Membuat peran terkait layanan](#create-mrk-slr)
+ [Mengedit deskripsi peran tertaut layanan](#edit-mrk-slr)
+ [Menghapus peran tertaut layanan](#delete-mrk-slr)
## Tentang peran yang tertaut ke layanan untuk kunci multi-Wilayah
[Peran terkait layanan adalah peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) IAM yang memberikan satu izin AWS layanan untuk memanggil AWS layanan lain atas nama Anda. Ini dirancang untuk memudahkan Anda menggunakan fitur dari beberapa AWS layanan terintegrasi tanpa harus membuat dan memelihara kebijakan IAM yang kompleks.
Untuk kunci Multi-wilayah, AWS KMS buat peran **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**terkait layanan dengan kebijakan terkelola. **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** Kebijakan ini memberi peran izin `kms:SynchronizeMultiRegionKey`, yang mengizinkannya untuk menyinkronkan properti bersama dari kunci multi-wilayah.
Karena peran **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**terkait layanan hanya mempercayai`mrk.kms.amazonaws.com`, hanya AWS KMS dapat mengambil peran terkait layanan ini. Peran ini terbatas pada operasi yang AWS KMS perlu menyinkronkan properti bersama Multi-region. Itu tidak memberikan AWS KMS izin tambahan. Misalnya, AWS KMS tidak memiliki izin untuk membuat, mereplikasi, atau menghapus kunci KMS apa pun.
Untuk informasi selengkapnya tentang cara AWS layanan menggunakan peran terkait layanan, lihat [Menggunakan Peran Tertaut Layanan di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "KMSSynchronizeMultiRegionKey",
"Effect" : "Allow",
"Action" : [
"kms:SynchronizeMultiRegionKey"
],
"Resource" : "*"
}
]
}
```
------
## Membuat peran terkait layanan
AWS KMS secara otomatis membuat peran **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**terkait layanan di Akun AWS saat Anda membuat kunci Multi-wilayah, jika peran tersebut belum ada. Anda tidak dapat membuat atau membuat ulang peran yang tertaut dengan layanan ini secara langsung.
## Mengedit deskripsi peran tertaut layanan
Anda tidak dapat mengedit nama peran atau pernyataan kebijakan dalam peran **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**terkait layanan, tetapi Anda dapat mengedit deskripsi peran. Untuk informasi lebih lanjut, lihat [Mengedit Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran tertaut layanan
AWS KMS tidak menghapus peran **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**terkait layanan dari Anda Akun AWS dan Anda tidak dapat menghapusnya. Namun, AWS KMS tidak mengambil **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**peran atau menggunakan salah satu izinnya kecuali Anda memiliki kunci Multi-wilayah di Akun AWS dan Wilayah Anda.
# Penebangan dan pemantauan di AWS Key Management Service
Pemantauan adalah bagian penting untuk memahami ketersediaan, keadaan, dan penggunaan situs Anda AWS KMS keys AWS KMS. Pemantauan membantu menjaga keamanan, keandalan, ketersediaan, dan kinerja AWS solusi Anda. AWS menyediakan beberapa alat untuk memantau kunci KMS Anda.
**AWS CloudTrail Log**
Setiap panggilan ke operasi AWS KMS API ditangkap sebagai peristiwa dalam AWS CloudTrail log. Log ini merekam semua panggilan API dari AWS KMS konsol, dan panggilan yang dilakukan oleh AWS KMS dan AWS layanan lainnya. Panggilan API lintas akun, seperti panggilan untuk menggunakan kunci KMS secara berbeda Akun AWS, dicatat dalam CloudTrail log kedua akun.
Saat memecahkan masalah atau mengaudit, Anda dapat menggunakan log untuk merekonstruksi siklus hidup kunci KMS. Anda juga dapat melihat manajemen dan penggunaan kunci KMS dalam operasi kriptografi. Untuk informasi selengkapnya, lihat [Logging panggilan AWS KMS API dengan AWS CloudTrail](logging-using-cloudtrail.md).
** CloudWatch Log Amazon**
Pantau, simpan, dan akses file log Anda dari AWS CloudTrail dan sumber lain. Untuk informasi selengkapnya, lihat [Panduan CloudWatch Pengguna Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
Untuk AWS KMS, CloudWatch menyimpan informasi berguna yang membantu Anda mencegah masalah dengan kunci KMS Anda dan sumber daya yang mereka lindungi. Untuk informasi selengkapnya, lihat [Pantau tombol KMS dengan Amazon CloudWatch](monitoring-cloudwatch.md).
**Amazon EventBridge**
AWS KMS menghasilkan EventBridge peristiwa ketika kunci KMS Anda [diputar](rotate-keys.md) atau [dihapus](deleting-keys.md) atau [materi kunci yang diimpor dalam kunci](importing-keys.md) KMS Anda kedaluwarsa. Cari AWS KMS peristiwa (operasi API) dan arahkan ke satu atau beberapa fungsi atau aliran target untuk menangkap informasi status. Untuk informasi selengkapnya, lihat [Pantau tombol KMS dengan Amazon EventBridge](kms-events.md) dan [Panduan EventBridge Pengguna Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
** CloudWatch Metrik Amazon**
Anda dapat memantau kunci KMS menggunakan CloudWatch metrik, yang mengumpulkan dan memproses data mentah dari AWS KMS metrik kinerja. Data dicatat dalam interval dua minggu sehingga Anda dapat melihat tren informasi terkini dan historis. Ini membantu Anda memahami bagaimana kunci KMS Anda digunakan dan bagaimana penggunaannya berubah dari waktu ke waktu. Untuk informasi tentang penggunaan CloudWatch metrik untuk memantau kunci KMS, lihat. [AWS KMS metrik dan dimensi](monitoring-cloudwatch.md#kms-metrics)
** CloudWatch Alarm Amazon**
Lihat satu metrik berubah selama suatu periode waktu yang Anda tentukan. Lalu lakukan tindakan berdasarkan nilai metrik relatif terhadap ambang batas selama sejumlah periode waktu. Misalnya, Anda dapat membuat CloudWatch alarm yang dipicu ketika seseorang mencoba menggunakan kunci KMS yang dijadwalkan akan dihapus dalam operasi kriptografi. Ini menunjukkan bahwa kunci KMS masih digunakan dan mungkin tidak boleh dihapus. Untuk informasi selengkapnya, lihat [Buat alarm yang mendeteksi penggunaan kunci KMS tertunda penghapusan](deleting-keys-creating-cloudwatch-alarm.md).
**AWS Security Hub CSPM**
Anda dapat memantau AWS KMS penggunaan Anda untuk standar industri keamanan dan praktik terbaik kepatuhan menggunakan AWS Security Hub CSPM. Security Hub CSPM menggunakan kontrol keamanan untuk mengevaluasi konfigurasi sumber daya dan standar keamanan untuk membantu Anda mematuhi berbagai kerangka kerja kepatuhan. Untuk informasi selengkapnya, lihat [AWS Key Management Service kontrol](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html) di *Panduan AWS Security Hub Pengguna*.
# Validasi kepatuhan untuk AWS Key Management Service
Auditor pihak ketiga menilai keamanan dan kepatuhan AWS Key Management Service sebagai bagian dari beberapa program AWS kepatuhan. Program ini mencakup SOC, PCI, FedRAMP, HIPAA, dan lainnya.
**Topics**
+ [Dokumen kepatuhan dan keamanan](#compliance-documents)
+ [Pelajari selengkapnya](#compliance-more)
## Dokumen kepatuhan dan keamanan
Dokumen kepatuhan dan keamanan berikut mencakup AWS KMS. Untuk melihatnya, gunakan [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html).
+ Katalog Kontrol Kepatuhan Komputasi Cloud (C5)
+ ISO 27001:2013 Pernyataan Penerapan (SoA)
+ Sertifikasi ISO 27001:2013
+ ISO 27017:2015 Pernyataan Penerapan (SoA)
+ Sertifikasi ISO 27017:2015
+ ISO 27018:2015 Pernyataan Penerapan (SoA)
+ Sertifikasi ISO 27018:2014
+ Sertifikasi ISO 9001:2015
+ Pengesahan Kepatuhan (AOC) PCI DSS dan Ringkasan Tanggung Jawab
+ Laporan Kontrol Organisasi Layanan (SOC) 1
+ Laporan Kontrol Organisasi Layanan (SOC) 2
+ Laporan Kontrol Organisasi Layanan (SOC) 2 untuk Kerahasiaan
+ FedRAMP-Tinggi
Untuk bantuan menggunakan AWS Artifact, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
## Pelajari selengkapnya
Tanggung jawab kepatuhan Anda saat menggunakan AWS KMS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Jika penggunaan AWS KMS Anda tunduk pada kepatuhan dengan standar yang dipublikasikan, AWS sediakan sumber daya untuk membantu:
+ [AWS Layanan dalam Lingkup oleh Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/) - Halaman ini mencantumkan AWS layanan yang berada dalam lingkup program kepatuhan tertentu. Untuk informasi umum, lihat [Program Kepatuhan AWS](https://aws.amazon.com/compliance/programs/).
+ [Panduan Memulai Cepat Keamanan dan Kepatuhan — Panduan](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) penerapan ini membahas pertimbangan arsitektur dan memberikan langkah-langkah untuk menerapkan lingkungan dasar yang berfokus pada keamanan dan kepatuhan. AWS
+ [AWS Sumber Daya Kepatuhan](https://aws.amazon.com/compliance/resources/) — Kumpulan buku kerja dan panduan ini mungkin berlaku untuk industri dan lokasi Anda.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) AWS Layanan ini menilai seberapa baik konfigurasi sumber daya Anda mematuhi praktik internal, pedoman industri, dan peraturan.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— AWS Layanan ini memberikan pandangan komprehensif tentang keadaan keamanan Anda di dalamnya AWS. Security Hub CSPM menggunakan kontrol keamanan untuk mengevaluasi AWS sumber daya Anda dan untuk memeriksa kepatuhan Anda terhadap standar industri keamanan dan praktik terbaik. Untuk mengetahui daftar layanan dan kontrol yang didukung, lihat Referensi kontrol [CSPM Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-controls-reference.html).
# Ketahanan di AWS Key Management Service
Infrastruktur AWS global dibangun di sekitar Wilayah AWS dan Availability Zones. Wilayah AWS menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang dan mengoperasikan aplikasi dan basis data yang secara otomatis melakukan failover di antara Zona Ketersediaan tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur biasa yang terdiri dari satu atau beberapa pusat data.
Selain infrastruktur AWS global, AWS KMS menawarkan beberapa fitur untuk membantu mendukung ketahanan data dan kebutuhan cadangan Anda. Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).
## Isolasi regional
AWS Key Management Service (AWS KMS) adalah layanan Regional mandiri yang tersedia di semua. Wilayah AWS Desain yang terisolasi secara regional AWS KMS memastikan bahwa masalah ketersediaan di satu wilayah Wilayah AWS tidak dapat mempengaruhi AWS KMS operasi di Wilayah lain mana pun. AWS KMS dirancang untuk memastikan *nol waktu henti yang direncanakan*, dengan semua pembaruan perangkat lunak dan operasi penskalaan dilakukan dengan mulus dan tanpa terasa.
AWS KMS [Service Level Agreement](https://aws.amazon.com/kms/sla/) (SLA) mencakup komitmen layanan sebesar 99,999% untuk semua KMS. APIs Untuk memenuhi komitmen ini, AWS KMS memastikan bahwa semua data dan informasi otorisasi yang diperlukan untuk menjalankan permintaan API tersedia di semua host regional yang menerima permintaan tersebut.
AWS KMS Infrastruktur direplikasi di setidaknya tiga Availability Zones (AZs) di setiap Region. Untuk memastikan bahwa beberapa kegagalan host tidak mempengaruhi AWS KMS kinerja, AWS KMS dirancang untuk melayani lalu lintas pelanggan dari salah satu AZs di Wilayah.
Perubahan yang Anda buat pada properti atau izin kunci KMS direplikasi ke semua host di Wilayah untuk memastikan bahwa permintaan berikutnya dapat diproses dengan benar oleh host mana pun di Wilayah. Permintaan untuk [operasi kriptografi](kms-cryptography.md#cryptographic-operations) menggunakan kunci KMS Anda diteruskan ke armada modul keamanan AWS KMS perangkat keras (HSMs), yang mana pun dapat melakukan operasi dengan kunci KMS.
## Desain multi-penyewa
Desain multi-tenant AWS KMS memungkinkannya memenuhi SLA ketersediaan 99,999%, dan untuk mempertahankan tingkat permintaan yang tinggi, sekaligus melindungi kerahasiaan kunci dan data Anda.
Beberapa mekanisme penegakan integritas digunakan untuk memastikan bahwa kunci KMS yang Anda tentukan untuk operasi kriptografi selalu yang digunakan.
Materi kunci plaintext untuk kunci KMS Anda dilindungi secara luas. Materi utama dienkripsi di HSM segera setelah dibuat, dan bahan kunci terenkripsi segera dipindahkan ke penyimpanan latensi rendah yang aman. Kunci terenkripsi diambil dan didekripsi dalam HSM tepat pada waktunya untuk digunakan. Kunci plaintext tetap dalam memori HSM hanya untuk waktu yang dibutuhkan untuk menyelesaikan operasi kriptografi. Kemudian dienkripsi ulang di HSM dan kunci terenkripsi dikembalikan ke penyimpanan. Materi kunci Plaintext tidak pernah meninggalkan HSMs; itu tidak pernah ditulis ke penyimpanan persisten.
## Praktik terbaik ketahanan di AWS KMS
Untuk mengoptimalkan ketahanan AWS KMS sumber daya Anda, pertimbangkan strategi berikut.
+ Untuk mendukung strategi pencadangan dan pemulihan bencana Anda, pertimbangkan kunci *Multi-wilayah, yang merupakan kunci* KMS yang dibuat dalam satu Wilayah AWS dan direplikasi hanya ke Wilayah yang Anda tentukan. Dengan kunci Multi-region, Anda dapat memindahkan sumber daya terenkripsi antara Wilayah AWS (dalam partisi yang sama) tanpa pernah mengekspos plaintext, dan mendekripsi sumber daya, bila diperlukan, di salah satu Wilayah tujuannya. Kunci Multi-wilayah terkait dapat dioperasikan karena mereka berbagi materi kunci dan ID kunci yang sama, tetapi mereka memiliki kebijakan kunci independen untuk kontrol akses resolusi tinggi. Untuk detailnya, lihat [kunci Multi-Wilayah di AWS KMS](multi-region-keys-overview.md).
+ Untuk melindungi kunci Anda dalam layanan multi-penyewa seperti AWS KMS, pastikan untuk menggunakan kontrol akses, termasuk [kebijakan utama dan kebijakan](key-policies.md) [IAM](iam-policies.md). Selain itu, Anda dapat mengirim permintaan Anda untuk AWS KMS menggunakan *titik akhir antarmuka VPC* yang didukung oleh. AWS PrivateLink Ketika Anda melakukannya, semua komunikasi antara VPC Amazon Anda dan AWS KMS dilakukan sepenuhnya dalam AWS jaringan menggunakan AWS KMS titik akhir khusus yang dibatasi untuk VPC Anda. Anda dapat lebih mengamankan permintaan ini dengan membuat lapisan otorisasi tambahan menggunakan kebijakan titik akhir [VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy). Untuk detailnya, lihat [Menghubungkan ke AWS KMS melalui titik akhir VPC](kms-vpc-endpoint.md).
# Keamanan infrastruktur di AWS Key Management Service
Sebagai layanan terkelola, AWS Key Management Service (AWS KMS) dilindungi oleh prosedur keamanan jaringan AWS global yang dijelaskan dalam [Amazon Web Services: Tinjauan Proses Keamanan](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Untuk mengakses AWS KMS melalui jaringan, Anda dapat memanggil operasi AWS KMS API yang dijelaskan dalam [Referensi AWS Key Management Service API](https://docs.aws.amazon.com/kms/latest/APIReference/). AWS KMS membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3 di semua wilayah. AWS KMS juga mendukung TLS pasca-kuantum hibrida untuk titik akhir AWS KMS layanan di semua wilayah, kecuali Wilayah Tiongkok. AWS KMS tidak mendukung TLS pasca-kuantum hibrida untuk titik akhir FIPS di. AWS GovCloud (US) Untuk menggunakan endpoint [standar atau AWS KMS endpoint AWS KMS](https://docs.aws.amazon.com/general/latest/gr/kms.html) [FIPS](https://docs.aws.amazon.com/general/latest/gr/kms.html), klien harus mendukung TLS 1.2 atau yang lebih baru. Klien juga harus support suite cipher dengan Perfect Forward Secrecy (PFS) seperti Ephemeral Diffie-Hellman (DHE) atau Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). Sebagian besar sistem modern, misalnya Java 7 dan versi yang lebih baru, mendukung mode ini.
Selain itu, permintaan harus ditandatangani menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan prinsipal IAM. Atau Anda dapat menggunakan [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) untuk menghasilkan kredensial keamanan sementara untuk menandatangani permintaan.
Anda dapat memanggil operasi API ini dari lokasi jaringan mana pun, tetapi AWS KMS mendukung kondisi kebijakan global yang memungkinkan Anda mengontrol akses ke kunci KMS berdasarkan alamat IP sumber, VPC, dan titik akhir VPC. Anda dapat menggunakan kunci kondisi ini dalam kebijakan kunci dan kebijakan IAM. Namun, kondisi ini dapat AWS mencegah penggunaan kunci KMS atas nama Anda. Lihat perinciannya di [AWS kunci kondisi global](conditions-aws.md).
Misalnya, pernyataan kebijakan kunci berikut memungkinkan pengguna yang dapat mengambil `KMSTestRole` peran untuk menggunakan ini AWS KMS key untuk [operasi kriptografi](kms-cryptography.md#cryptographic-operations) tertentu kecuali alamat IP sumber adalah salah satu alamat IP yang ditentukan dalam kebijakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"AWS":
"arn:aws:iam::111122223333:role/KMSTestRole"},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
}
```
------
## Isolasi pada Host Fisik
Keamanan infrastruktur fisik yang AWS KMS digunakan tunduk pada kontrol yang dijelaskan di bagian **Keamanan Fisik dan Lingkungan** dari [Amazon Web Services: Tinjauan Proses Keamanan](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf). Anda dapat menemukan lebih banyak detail dalam laporan kepatuhan dan temuan audit pihak ketiga yang tercantum di bagian sebelumnya.
AWS KMS didukung oleh modul keamanan perangkat keras khusus (HSMs) yang dirancang dengan kontrol khusus untuk menahan serangan fisik. Itu HSMs adalah perangkat fisik yang *tidak* memiliki lapisan virtualisasi, seperti hypervisor, yang berbagi perangkat fisik di antara beberapa penyewa logis. Bahan kunci untuk AWS KMS keys disimpan hanya dalam memori volatil pada HSMs, dan hanya saat kunci KMS sedang digunakan. Memori ini terhapus saat HSM bergerak keluar dari keadaan operasional, termasuk shutdown dan reset yang sengaja maupun tidak disengaja. Untuk informasi rinci tentang pengoperasian AWS KMS HSMs, lihat [Detail AWS Key Management Service Kriptografi](https://docs.aws.amazon.com/kms/latest/cryptographic-details/).