Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan kunci KMS di toko kunci eksternal
Setelah Anda membuat kunci KMS enkripsi simetris di penyimpanan kunci eksternal, Anda dapat menggunakannya untuk operasi kriptografi berikut:
Operasi enkripsi simetris yang menghasilkan pasangan kunci data asimetris, GenerateDataKeyPairdan GenerateDataKeyPairWithoutPlaintext, tidak didukung di penyimpanan kunci khusus.
Konteks enkripsi didukung untuk semua operasi kriptografi dengan kunci KMS di penyimpanan kunci eksternal. Seperti biasa, menggunakan konteks enkripsi adalah praktik terbaik keamanan yang AWS KMS merekomendasikan.
Ketika Anda menggunakan kunci KMS Anda dalam permintaan, identifikasi kunci KMS dengan ID kunci, kunci ARN, alias, atau alias ARN. Anda tidak perlu menentukan toko kunci eksternal. Respons mencakup bidang yang sama yang dikembalikan untuk kunci KMS enkripsi simetris apa pun. Namun, ketika Anda menggunakan kunci KMS di penyimpanan kunci eksternal, operasi enkripsi dan dekripsi dilakukan oleh manajer kunci eksternal Anda menggunakan kunci eksternal yang terkait dengan kunci KMS.
Untuk memastikan bahwa ciphertext yang dienkripsi oleh kunci KMS di penyimpanan kunci eksternal setidaknya seaman ciphertext apa pun yang dienkripsi oleh kunci KMS standar, gunakan enkripsi ganda. AWS KMS Data pertama kali dienkripsi dalam AWS KMS menggunakan materi AWS KMS kunci. Kemudian dienkripsi oleh manajer kunci eksternal Anda menggunakan kunci eksternal untuk kunci KMS. Untuk mendekripsi ciphertext terenkripsi ganda, ciphertext pertama kali didekripsi oleh pengelola kunci eksternal Anda menggunakan kunci eksternal untuk kunci KMS. Kemudian didekripsi dalam AWS KMS menggunakan bahan AWS KMS kunci untuk kunci KMS.
Untuk memungkinkan ini terjadi, syarat-syarat berikut diperlukan.
-
Status kunci dari kunci KMS harus
Enabled. Untuk menemukan status kunci, lihat bidang Status untuk kunci terkelola pelanggan pada AWS KMSkonsol atauKeyStatebidang dalam DescribeKeyrespons. -
Penyimpanan kunci eksternal yang menampung kunci KMS harus terhubung ke proxy penyimpanan kunci eksternalnya, yaitu, status koneksi penyimpanan kunci eksternal harus
CONNECTED.Anda dapat melihat status koneksi pada halaman penyimpanan kunci eksternal di AWS KMS konsol atau dalam DescribeCustomKeyStoresrespons. Status koneksi penyimpanan kunci eksternal juga ditampilkan pada halaman detail untuk kunci KMS di AWS KMS konsol. Pada halaman detail, pilih tab Konfigurasi kriptografi dan lihat bidang Status koneksi di bagian Penyimpanan kunci khusus.
Jika status koneksi
DISCONNECTED, Anda harus menghubungkannya terlebih dahulu. Jika status koneksiFAILED, Anda harus menyelesaikan masalah, lepaskan penyimpanan kunci eksternal, dan kemudian hubungkan. Untuk instruksi, lihatMenghubungkan dan memutuskan penyimpanan kunci eksternal.. -
Proxy penyimpanan kunci eksternal harus dapat menemukan kunci eksternal.
-
Kunci eksternal harus diaktifkan dan harus melakukan enkripsi dan dekripsi.
Status kunci eksternal tidak tergantung dan tidak terpengaruh oleh perubahan status kunci kunci KMS, termasuk mengaktifkan dan menonaktifkan kunci KMS. Demikian pula, menonaktifkan atau menghapus kunci eksternal tidak mengubah status kunci dari kunci KMS, tetapi operasi kriptografi menggunakan kunci KMS terkait akan gagal.
Jika kondisi ini tidak terpenuhi, operasi kriptografi gagal, dan AWS KMS mengembalikan pengecualian KMSInvalidStateException. Anda mungkin perlu menghubungkan kembali penyimpanan kunci eksternal atau menggunakan alat pengelola kunci eksternal Anda untuk mengkonfigurasi ulang atau memperbaiki kunci eksternal Anda. Untuk bantuan tambahan, lihat Memecahkan masalah toko kunci eksternal.
Saat menggunakan kunci KMS di penyimpanan kunci eksternal, ketahuilah bahwa kunci KMS di setiap toko kunci eksternal berbagi kuota permintaan toko kunci kustom untuk operasi kriptografi. Jika Anda melebihi kuota, AWS KMS mengembalikan ThrottlingException. Untuk detail tentang kuota permintaan toko kunci kustom, lihatKuota permintaan toko kunci kustom.
