Lakukan operasi offline dengan kunci publik - AWS Key Management Service
Pertimbangan khusus untuk mengunduh kunci publik

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Lakukan operasi offline dengan kunci publik

Dalam KMS kunci asimetris, kunci pribadi dibuat AWS KMS dan tidak pernah dibiarkan tidak AWS KMS terenkripsi. Untuk menggunakan kunci pribadi, Anda harus menelepon AWS KMS. Anda dapat menggunakan kunci publik di dalam AWS KMS dengan memanggil AWS KMS API operasi. Atau, Anda dapat mengunduh kunci publik dan berbagi untuk digunakan di luar AWS KMS.

Anda dapat membagikan kunci publik agar orang lain mengenkripsi data di luar AWS KMS yang dapat Anda dekripsi hanya dengan kunci pribadi Anda. Atau, untuk mengizinkan orang lain memverifikasi tanda tangan digital di luar AWS KMS yang telah Anda hasilkan dengan kunci privat Anda. Atau, untuk berbagi kunci publik Anda dengan rekan untuk mendapatkan rahasia bersama.

Saat Anda menggunakan kunci publik di KMS kunci asimetris di dalamnya AWS KMS, Anda mendapat manfaat dari otentikasi, otorisasi, dan pencatatan yang merupakan bagian dari setiap operasi. AWS KMS Anda juga mengurangi risiko mengenkripsi data yang tidak dapat didekripsi. Fitur-fitur ini tidak efektif di luar AWS KMS. Untuk detailnya, lihat Pertimbangan khusus untuk mengunduh kunci publik.

Tip

Mencari kunci atau SSH kunci data? Topik ini menjelaskan cara mengelola kunci asimetris AWS Key Management Service, di mana kunci pribadi tidak dapat diekspor. Untuk pasangan kunci data yang dapat diekspor di mana kunci pribadi dilindungi oleh KMS kunci enkripsi simetris, lihat. GenerateDataKeyPair Untuk bantuan mengunduh kunci publik yang terkait dengan EC2 instans Amazon, lihat Mengambil kunci publik di Panduan EC2 Pengguna Amazon dan Panduan EC2 Pengguna Amazon.

Topik

Pertimbangan khusus untuk mengunduh kunci publik

Untuk melindungi KMS kunci Anda, AWS KMS berikan kontrol akses, enkripsi yang diautentikasi, dan log terperinci dari setiap operasi. AWS KMS juga memungkinkan Anda untuk mencegah penggunaan KMS kunci, sementara atau permanen. Akhirnya, AWS KMS operasi dirancang untuk meminimalkan risiko mengenkripsi data yang tidak dapat didekripsi. Fitur-fitur ini tidak tersedia saat Anda menggunakan kunci publik yang diunduh di luar AWS KMS.

Otorisasi

Kebijakan dan IAMkebijakan utama yang mengontrol akses ke KMS kunci dalam tidak AWS KMS berpengaruh pada operasi yang dilakukan di luar AWS. Setiap pengguna yang bisa mendapatkan kunci publik dapat menggunakannya di luar AWS KMS meskipun mereka tidak memiliki izin untuk mengenkripsi data atau memverifikasi tanda tangan dengan kunci tersebut. KMS

Pembatasan penggunaan kunci

Pembatasan penggunaan utama tidak efektif di luar AWS KMS. Jika Anda memanggil operasi Enkripsi dengan KMS kunci yang memiliki KeyUsage ofSIGN_VERIFY, AWS KMS operasi gagal. Tetapi jika Anda mengenkripsi data di luar AWS KMS dengan kunci publik dari KMS kunci dengan KeyUsage dari SIGN_VERIFY atauKEY_AGREEMENT, data tidak dapat didekripsi.

Pembatasan algoritme

Pembatasan pada enkripsi dan algoritma penandatanganan yang AWS KMS mendukung tidak efektif di luar. AWS KMS Jika Anda mengenkripsi data dengan kunci publik dari KMS kunci di luar AWS KMS, dan menggunakan algoritma enkripsi yang AWS KMS tidak mendukung, data tidak dapat didekripsi.

Menonaktifkan dan menghapus kunci KMS

Tindakan yang dapat Anda ambil untuk mencegah penggunaan KMS kunci dalam operasi kriptografi di dalam AWS KMS tidak mencegah siapa pun menggunakan kunci publik di luar. AWS KMS Misalnya, menonaktifkan KMS kunci, menjadwalkan penghapusan kunci, menghapus KMS kunci, atau menghapus materi KMS kunci dari kunci tidak berpengaruh pada KMS kunci publik di luar. AWS KMS Jika Anda menghapus KMS kunci asimetris atau menghapus atau kehilangan materi kuncinya, data yang Anda enkripsi dengan kunci publik di luar AWS KMS tidak dapat dipulihkan.

Pencatatan log

AWS CloudTrail log yang mencatat setiap AWS KMS operasi, termasuk permintaan, tanggapan, tanggal, waktu, dan pengguna yang berwenang, tidak mencatat penggunaan kunci publik di luar AWS KMS.

Verifikasi offline dengan pasangan SM2 kunci (hanya Wilayah Tiongkok)

Untuk memverifikasi tanda tangan di luar AWS KMS dengan kunci SM2 publik, Anda harus menentukan ID pembeda. Secara default, AWS KMS digunakan 1234567812345678 sebagai ID pembeda. Untuk informasi selengkapnya, lihat Verifikasi offline dengan pasangan SM2 kunci (hanya Wilayah Tiongkok).