Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Buat kunci replika Multi-wilayah
[Anda dapat membuat [kunci replika Multi-region](multi-region-keys-overview.md#mrk-primary-key) di AWS KMS konsol, dengan menggunakan [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)operasi, atau dengan menggunakan template. AWS::KMS::ReplicaKey CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-replicakey.html) Anda tidak dapat menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi untuk membuat kunci replika.
[Anda dapat menggunakan prosedur ini untuk mereplikasi kunci utama Multi-region, termasuk kunci KMS [enkripsi simetris, kunci KMS](symm-asymm-choose-key-spec.md#symmetric-cmks)[asimetris, atau kunci KMS HMAC](symmetric-asymmetric.md).](hmac.md)
Ketika operasi ini selesai, kunci replika baru memiliki [status kunci](key-state.md) sementara dari `Creating`. Status kunci ini berubah menjadi `Enabled` (atau `PendingImport` jika Anda membuat kunci Multi-wilayah dengan [materi kunci yang diimpor](importing-keys.md)) setelah beberapa detik saat proses pembuatan kunci replika baru selesai. Sementara status kunci adalah `Creating`, Anda dapat mengelola kunci, tetapi Anda belum bisa menggunakannya dalam operasi kriptografi. Jika Anda membuat dan menggunakan kunci replika secara terprogram, coba lagi `KMSInvalidStateException` atau panggil [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)untuk memeriksa `KeyState` nilainya sebelum menggunakannya.
Jika Anda salah menghapus kunci replika, Anda dapat menggunakan prosedur ini untuk membuatnya kembali. Jika Anda mereplikasi kunci utama yang sama di Wilayah yang sama, kunci replika baru yang Anda buat akan memiliki [properti bersama](multi-region-keys-overview.md#mrk-sync-properties) yang sama dengan kunci replika asli.
**penting**
Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.
Untuk menggunakan AWS CloudFormation template untuk membuat kunci replika, lihat [AWS::KMS::ReplicaKey](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-replicakey.html)di *Panduan AWS CloudFormation Pengguna*.
## Langkah 1: Pilih Wilayah replika
Anda biasanya memilih untuk mereplikasi kunci Multi-wilayah menjadi Wilayah AWS berdasarkan model bisnis dan persyaratan peraturan Anda. Misalnya, Anda mungkin mereplikasi kunci ke Wilayah di mana Anda menyimpan sumber daya Anda. Atau, untuk memenuhi persyaratan pemulihan bencana, Anda mungkin mereplikasi kunci ke Wilayah yang jauh secara geografis.
Berikut ini adalah AWS KMS persyaratan untuk Wilayah replika. Jika Wilayah yang Anda pilih tidak sesuai dengan persyaratan ini, upaya untuk mereplikasi kunci gagal.
+ **Satu kunci multi-wilayah terkait per Wilayah** — Anda tidak dapat membuat kunci replika di Wilayah yang sama dengan kunci primernya, atau di Wilayah yang sama dengan replika kunci primer lainnya.
Jika Anda mencoba mereplikasi kunci utama di Wilayah yang sudah memiliki replika kunci utama itu, upaya gagal. Jika kunci replika saat ini di Wilayah berada dalam [status `PendingDeletion` kunci](key-state.md), Anda dapat [membatalkan penghapusan kunci replika](deleting-keys-scheduling-key-deletion.md) atau menunggu hingga kunci replika dihapus.
+ **Beberapa kunci multi-wilayah yang tidak terkait di Wilayah yang sama** — Anda dapat memiliki beberapa kunci multi-Wilah yang tidak terkait di Wilayah yang sama. Misalnya, Anda dapat memiliki dua kunci primer multi-Wilayah di Wilayah `us-east-1`. Masing-masing kunci primer dapat memiliki kunci replika di Wilayah `us-west-2`.
+ **Wilayah di partisi yang sama** — Kunci replika Wilayah harus berada di [partisi AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) yang sama dengan kunci primer Wilayah.
+ **Wilayah harus diaktifkan** — Jika Wilayah [dinonaktifkan secara default](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable), Anda tidak dapat membuat sumber daya apa pun di Wilayah tersebut sampai Wilayah diaktifkan untuk Akun AWS Anda.
## Langkah 2: Buat kunci replika
**catatan**
Saat membuat kunci replika, pertimbangkan dengan cermat pengguna dan peran IAM yang Anda pilih untuk dikelola dan gunakan tombol replika. Kebijakan IAM dapat memberikan izin kepada pengguna dan peran IAM lainnya untuk mengelola kunci KMS.
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.
### Menggunakan AWS KMS konsol
Di AWS KMS konsol, Anda dapat membuat satu atau banyak replika kunci utama Multi-wilayah dalam operasi yang sama.
Prosedur ini mirip dengan membuat kunci KMS wilayah tunggal standar di konsol. Namun, karena kunci replika didasarkan pada kunci primer, Anda tidak memilih nilai untuk [properti bersama](multi-region-keys-overview.md#mrk-sync-properties), seperti spesifikasi kunci (simetris atau asimetris), penggunaan kunci, atau asal kunci.
Anda menentukan properti yang tidak dibagi, termasuk alias, tanda, deskripsi, dan kebijakan kunci. Sebagai kenyamanan, konsol tersebut menampilkan nilai properti saat ini dari kunci primer, namun Anda dapat mengubahnya. Bahkan jika Anda menyimpan nilai kunci primer, AWS KMS tidak menjaga nilai-nilai ini disinkronkan.
**penting**
Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.
1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.
1. Pilih ID kunci atau alias dari [kunci primer multi-Wilayah](multi-region-keys-overview.md#mrk-primary-key). Ini membuka halaman detail kunci untuk kunci KMS.
Untuk mengidentifikasi kunci primer multi-Wilayah, gunakan ikon alat di sudut kanan atas untuk menambahkan kolom **Regionalitas** ke tabel.
1. Pilih tab **Regionalitas**.
1. Pada bagian **Kunci multi-Wilayah yang terkait**, pilih **Buat kunci replika baru**.
Bagian **Kunci multi-Wilayah yang terkait** menampilkan wilayah kunci primer dan kunci replika. Anda dapat menggunakan tampilan ini untuk membantu Anda memilih Wilayah untuk kunci replika baru Anda.
1. Pilih satu atau lebih Wilayah AWS. Prosedur ini membuat kunci replika di masing-masing Wilayah yang Anda pilih.
Menu hanya mencakup Wilayah di AWS partisi yang sama dengan kunci utama. Wilayah yang sudah memiliki kunci multi-Wilayah terkait ditampilkan, tetapi tidak dapat dipilih. Anda mungkin tidak memiliki izin untuk mereplikasi kunci ke semua Wilayah pada menu.
Setelah selesai memilih Wilayah, tutup menu. Wilayah yang Anda pilih akan ditampilkan. Untuk membatalkan replikasi ke Wilayah, pilih **X** di samping nama Wilayah.
1. Ketik [alias](kms-alias.md) untuk kunci replika.
Konsol tersebut menampilkan salah satu alias kunci primer saat ini, namun Anda dapat mengubahnya. Anda dapat memberikan kunci utama Multi-wilayah dan replika alias yang sama atau alias yang berbeda. Alias bukan [properti bersama kunci](multi-region-keys-overview.md#mrk-sync-properties) Multi-wilayah. AWS KMS tidak menyinkronkan alias kunci Multi-wilayah.
Menambahkan, menghapus, atau memperbarui alias dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat [ABAC untuk AWS KMS](abac.md) dan [Gunakan alias untuk mengontrol akses ke tombol KMS](alias-authorization.md).
1. (Opsional) Ketik deskripsi kunci replika.
Konsol tersebut menampilkan deskripsi kunci primer saat ini, namun Anda dapat mengubahnya. Deskripsi bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika deskripsi yang sama atau deskripsi yang berbeda. AWS KMS tidak menyinkronkan deskripsi kunci kunci Multi-region.
1. (Opsional) Ketik kunci tanda dan nilai tanda opsional. Untuk menetapkan lebih dari satu tag ke kunci replika, pilih **Tambah** tag.
Konsol tersebut menampilkan tanda yang saat ini terlampir pada kunci primer, tetapi Anda dapat mengubahnya. Tag bukanlah properti bersama dari kunci multi-Wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika tag yang sama atau tag yang berbeda. AWS KMS tidak menyinkronkan tag kunci Multi-wilayah.
Menandai atau melepas tag kunci KMS dapat mengizinkan atau menolak izin ke kunci KMS. Untuk detailnya, lihat [ABAC untuk AWS KMS](abac.md) dan [Gunakan tag untuk mengontrol akses ke tombol KMS](tag-authorization.md).
1. Pilih pengguna IAM dan peran yang dapat mengelola kunci replika.
**Catatan**
Jika Anda mengubah kebijakan kunci default saat membuat kunci primer Multi-wilayah, konsol tidak akan meminta Anda untuk memilih administrator kunci atau pengguna kunci (langkah 11-15) selama pembuatan kunci replika. Dalam hal ini, Anda harus menambahkan izin yang diperlukan secara manual untuk administrator kunci dan pengguna ke kebijakan kunci dengan memilih **Edit** di langkah **kebijakan kunci Edit** (Langkah 17).
Langkah ini memulai proses pembuatan [kebijakan kunci](key-policies.md) untuk kunci replika. Konsol tersebut menampilkan kebijakan kunci primer saat ini, namun Anda dapat mengubahnya. Kebijakan utama bukan properti bersama kunci Multi-wilayah. Anda dapat memberikan kunci utama Multi-wilayah dan replika kebijakan kunci yang sama atau kebijakan kunci yang berbeda. AWS KMS tidak menyinkronkan kebijakan utama. Anda dapat mengubah kebijakan kunci kunci KMS kapan saja.
AWS KMS Konsol menambahkan administrator kunci ke kebijakan kunci di bawah pengenal `"Allow access for Key Administrators"` pernyataan. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.
1. (Opsional) Untuk mencegah pengguna dan peran IAM yang dipilih menghapus kunci KMS ini, di bagian **Penghapusan kunci** di bagian bawah halaman, kosongkan kotak centang **Izinkan administrator kunci untuk menghapus kunci** ini.
1. Pilih **Berikutnya**.
1. Pilih pengguna IAM dan peran yang dapat menggunakan kunci KMS untuk operasi [kriptografi](kms-cryptography.md#cryptographic-operations).
**Catatan**
AWS KMS Konsol menambahkan pengguna kunci ke kebijakan kunci di bawah pengidentifikasi pernyataan `"Allow use of the key"` dan`"Allow attachment of persistent resources"`. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.
1. (Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, dalam bagian **Lainnya Akun AWS** di bawah halaman, pilih **Tambahkan Akun AWS lain** dan masukkan nomor identifikasi Akun AWS akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.
**catatan**
Untuk mengizinkan prinsipal di akun eksternal menggunakan kunci KMS, Administrator akun eksternal harus membuat kebijakan IAM yang memberikan izin ini. Untuk informasi selengkapnya, lihat [Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS](key-policy-modifying-external-accounts.md).
1. Pilih **Berikutnya**.
1. Tinjau pernyataan kebijakan utama untuk kunci tersebut. Untuk membuat perubahan pada kebijakan utama, pilih **Edit**.
1. Pilih **Berikutnya**.
1. Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.
1. Pilih **Selesai** untuk membuat kunci replika Multi-wilayah.
### Menggunakan AWS KMS API
Untuk membuat kunci replika Multi-wilayah, gunakan operasi. [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) Anda tidak dapat menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi untuk membuat kunci replika. Operasi ini menciptakan satu kunci replika pada satu waktu. Wilayah yang Anda tentukan harus mematuhi [Persyaratan wilayah](#replica-region) untuk kunci replika.
Ketika Anda menggunakan operasi `ReplicateKey`, Anda tidak menentukan nilai untuk [properti bersama](multi-region-keys-overview.md#mrk-sync-properties) kunci multi-Wilayah apa pun. Nilai properti bersama disalin dari kunci primer dan terus disinkronkan. Namun, Anda dapat menentukan nilai untuk properti yang tidak dibagi. Jika tidak, AWS KMS menerapkan nilai default standar untuk kunci KMS, bukan nilai kunci primer.
**catatan**
Jika Anda tidak menentukan nilai untuk`Description`,`KeyPolicy`, atau `Tags` parameter, AWS KMS membuat kunci replika dengan deskripsi string kosong, [kebijakan kunci default](key-policy-default.md), dan tidak ada tag.
Jangan sertakan informasi rahasia atau sensitif di `Tags` bidang `Description` atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.
Misalnya, perintah berikut membuat kunci replika multi-Wilayah di Wilayah Asia Pacific (Sydney) (ap-southeast-2). Kunci replika ini dimodelkan pada kunci primer di Wilayah US East (N. Virginia) (us-east-1), yang diidentifikasi oleh nilai parameter `KeyId`. Contoh ini menerima nilai default untuk semua properti lainnya, termasuk kebijakan kunci.
Tanggapan menjelaskan kunci replika baru. Ini mencakup bidang untuk properti bersama, seperti`KeyId`,, `KeySpec``KeyUsage`, dan key material origin (`Origin`). Ini juga mencakup properti yang independen dari kunci primer, seperti `Description`, kebijakan kunci (`ReplicaKeyPolicy`), dan tanda (`ReplicaTags`).
Tanggapan juga mencakup ARN kunci dan wilayah kunci primer serta semua kunci replikanya, termasuk salah satu yang baru saja dibuat di Wilayah ap-southeast-2. Dalam contoh ini, elemen `ReplicaKey` menunjukkan bahwa kunci primer ini sudah direplikasi di Wilayah Eropa (Irlandia) (eu-west-1).
```
$ aws kms replicate-key \
--key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
--replica-region ap-southeast-2
{
"ReplicaKeyMetadata": {
"MultiRegion": true,
"MultiRegionConfiguration": {
"MultiRegionKeyType": "REPLICA",
"PrimaryKey": {
"Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "us-east-1"
},
"ReplicaKeys": [
{
"Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "ap-southeast-2"
},
{
"Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "eu-west-1"
}
]
},
"AWSAccountId": "111122223333",
"Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"CreationDate": 1607472987.918,
"Description": "",
"Enabled": true,
"KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"KeyManager": "CUSTOMER",
"KeySpec": "SYMMETRIC_DEFAULT",
"KeyState": "Enabled",
"KeyUsage": "ENCRYPT_DECRYPT",
"Origin": "AWS_KMS",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
]
},
"ReplicaKeyPolicy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"key-default-1\",...,
"ReplicaTags": []
}
```