Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan dalam Kriptografi AWS Pembayaran
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menjelaskan hal ini sebagai keamanan cloud dan keamanan dalam cloud:
+ **Keamanan cloud** —AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program AWS Kepatuhan Program AWS Kepatuhan](https://aws.amazon.com/compliance/programs/) . Untuk mempelajari tentang program kepatuhan yang berlaku untuk Kriptografi AWS Pembayaran, lihat [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku.
Topik ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan Kriptografi AWS Pembayaran. Ini menunjukkan kepada Anda cara mengkonfigurasi Kriptografi AWS Pembayaran untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga belajar cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan sumber daya Kriptografi AWS Pembayaran Anda.
**Topics**
+ [Perlindungan data](data-protection.md)
+ [Ketahanan](resilience.md)
+ [Keamanan infrastruktur](infrastructure-security.md)
+ [Gunakan Amazon VPC dan AWS PrivateLink](vpc-endpoint.md)
+ [TLS pasca-kuantum hibrida](pqtls.md)
+ [Praktik terbaik keamanan](security-best-practices.md)
# Perlindungan data dalam Kriptografi AWS Pembayaran
[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data dalam Kriptografi AWS Pembayaran. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk ketika Anda bekerja dengan Kriptografi AWS Pembayaran atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
AWS Payment Cryptography menyimpan dan melindungi kunci enkripsi pembayaran Anda agar sangat tersedia sekaligus memberi Anda kontrol akses yang kuat dan fleksibel.
**Topics**
+ [Melindungi bahan utama](#key-protection)
+ [Enkripsi data](#data-encryption)
+ [Enkripsi saat diam](#encryption-rest)
+ [Enkripsi saat bergerak](#encryption-transit)
+ [Privasi lalu lintas antarjaringan](#internetwork)
## Melindungi bahan utama
Secara default, AWS Payment Cryptography melindungi materi kunci kriptografi untuk kunci pembayaran yang dikelola oleh layanan. Selain itu, AWS Payment Cryptography menawarkan opsi untuk mengimpor materi utama yang dibuat di luar layanan. Untuk detail teknis tentang kunci pembayaran dan materi utama, lihat Detail Kriptografi Kriptografi Pembayaran AWS.
## Enkripsi data
Data dalam AWS Payment Cryptography terdiri dari kunci AWS Payment Cryptography, materi kunci enkripsi yang mereka wakili, dan atribut penggunaannya. Materi utama ada dalam teks biasa hanya dalam modul keamanan perangkat keras AWS Payment Cryptography (HSMs) dan hanya saat digunakan. Jika tidak, bahan dan atribut utama dienkripsi dan disimpan dalam penyimpanan persisten yang tahan lama.
Materi utama yang dihasilkan atau dimuat oleh AWS Payment Cryptography untuk kunci pembayaran tidak pernah meninggalkan batas Kriptografi Pembayaran AWS tidak terenkripsi. HSMs Ini dapat diekspor dienkripsi oleh operasi AWS Payment Cryptography API.
## Enkripsi saat diam
AWS Payment Cryptography menghasilkan materi utama untuk kunci pembayaran di PCI PTS yang terdaftar di HSM. HSMs Saat tidak digunakan, bahan kunci dienkripsi oleh kunci HSM dan ditulis ke penyimpanan yang tahan lama dan persisten. Materi utama untuk kunci Kriptografi Pembayaran dan kunci enkripsi yang melindungi materi kunci tidak pernah meninggalkan HSMs dalam bentuk teks biasa.
Enkripsi dan pengelolaan materi kunci untuk kunci Kriptografi Pembayaran ditangani sepenuhnya oleh layanan.
Untuk detail selengkapnya, lihat AWS Key Management Service Cryptographic Details.
## Enkripsi saat bergerak
Materi kunci yang AWS dihasilkan atau dimuat oleh Kriptografi Pembayaran untuk kunci pembayaran tidak pernah diekspor atau ditransmisikan dalam operasi API Kriptografi AWS Pembayaran di cleartext. AWS Kriptografi Pembayaran menggunakan pengidentifikasi kunci untuk mewakili kunci dalam operasi API.
Namun, beberapa operasi API mengekspor kunci yang dienkripsi oleh kunci pertukaran kunci bersama atau asimetris sebelumnya. Selain itu, pelanggan dapat menggunakan operasi API untuk mengimpor materi kunci terenkripsi untuk kunci pembayaran.
Semua panggilan API Kriptografi AWS Pembayaran harus ditandatangani dan ditransmisikan menggunakan Transport Layer Security (TLS). AWS Kriptografi Pembayaran membutuhkan versi TLS dan cipher suite yang didefinisikan oleh PCI sebagai “kriptografi kuat”. Semua titik akhir layanan mendukung TLS 1.2-1.3 dan TLS pasca-kuantum hibrida.
Untuk detail selengkapnya, lihat AWS Key Management Service Cryptographic Details.
## Privasi lalu lintas antarjaringan
AWS Kriptografi Pembayaran mendukung AWS Management Console dan serangkaian operasi API yang memungkinkan Anda membuat dan mengelola kunci pembayaran dan menggunakannya dalam operasi kriptografi.
AWS Kriptografi Pembayaran mendukung dua opsi konektivitas jaringan dari jaringan pribadi Anda ke AWS.
+ Koneksi IPSec VPN melalui internet.
+ AWS Direct Connect, yang menghubungkan jaringan internal Anda ke lokasi AWS Direct Connect melalui kabel serat optik Ethernet standar.
Semua panggilan API Kriptografi Pembayaran harus ditandatangani dan ditransmisikan menggunakan Transport Layer Security (TLS). Panggilan juga memerlukan suite penyandian modern yang mendukung kerahasiaan penerusan sempurna. Lalu lintas ke modul keamanan perangkat keras (HSMs) yang menyimpan materi kunci untuk kunci pembayaran hanya diizinkan dari host AWS Payment Cryptography API yang diketahui melalui jaringan internal AWS.
Untuk terhubung langsung ke AWS Payment Cryptography dari virtual private cloud (VPC) Anda tanpa mengirimkan lalu lintas melalui internet publik, gunakan titik akhir VPC, yang didukung oleh AWS. PrivateLink Untuk informasi selengkapnya, lihat Menghubungkan ke Kriptografi Pembayaran AWS melalui titik akhir VPC.
AWS Payment Cryptography juga mendukung opsi pertukaran kunci pasca-kuantum hybrid untuk protokol enkripsi jaringan Transport Layer Security (TLS). Anda dapat menggunakan opsi ini dengan TLS saat Anda terhubung ke titik akhir AWS Payment Cryptography API.
# Ketahanan dalam AWS Kriptografi Pembayaran
AWS Infrastruktur global dibangun di sekitar AWS Wilayah dan Availability Zone. Wilayah memberikan beberapa Zona Ketersediaan yang terpisah dan terisolasi secara fisik, yang terkoneksi melalui jaringan latensi rendah, throughput tinggi, dan sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang serta mengoperasikan aplikasi dan basis data yang secara otomatis melakukan fail over di antara zona tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur pusat data tunggal atau multi tradisional.
Untuk informasi selengkapnya tentang AWS Wilayah dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).
## Isolasi regional
AWS Payment Cryptography adalah layanan Regional yang tersedia di beberapa wilayah.
Desain Kriptografi Pembayaran AWS yang terisolasi secara regional memastikan bahwa masalah ketersediaan di satu Wilayah AWS tidak dapat memengaruhi operasi Kriptografi Pembayaran AWS di Wilayah lain mana pun. AWS Payment Cryptography dirancang untuk memastikan nol waktu henti yang direncanakan, dengan semua pembaruan perangkat lunak dan operasi penskalaan dilakukan dengan mulus dan tanpa terasa.
AWS Payment Cryptography Service Level Agreement (SLA) mencakup komitmen layanan sebesar 99,99% untuk semua Kriptografi Pembayaran. APIs Untuk memenuhi komitmen ini, AWS Payment Cryptography memastikan bahwa semua data dan informasi otorisasi yang diperlukan untuk menjalankan permintaan API tersedia di semua host regional yang menerima permintaan tersebut.
Infrastruktur Kriptografi Pembayaran AWS direplikasi di setidaknya tiga Availability Zone (AZs) di setiap Wilayah. Untuk memastikan bahwa beberapa kegagalan host tidak memengaruhi kinerja Kriptografi Pembayaran AWS, Kriptografi Pembayaran AWS dirancang untuk melayani lalu lintas pelanggan dari salah satu AZs di Wilayah.
Perubahan yang Anda buat pada properti atau izin kunci pembayaran direplikasi ke semua host di Wilayah untuk memastikan bahwa permintaan berikutnya dapat diproses dengan benar oleh host mana pun di Wilayah. Permintaan untuk operasi kriptografi menggunakan kunci pembayaran Anda diteruskan ke armada modul keamanan perangkat keras AWS Payment Cryptography (HSMs), yang mana pun dapat melakukan operasi dengan kunci pembayaran.
## Desain multi-penyewa
Desain multi-tenant AWS Payment Cryptography memungkinkannya memenuhi ketersediaan SLA, dan mempertahankan tingkat permintaan yang tinggi, sekaligus melindungi kerahasiaan kunci dan data Anda.
Beberapa mekanisme penegakan integritas digunakan untuk memastikan bahwa kunci pembayaran yang Anda tentukan untuk operasi kriptografi selalu yang digunakan.
Materi kunci plaintext untuk kunci Kriptografi Pembayaran Anda dilindungi secara ekstensif. Materi utama dienkripsi di HSM segera setelah dibuat, dan bahan kunci terenkripsi segera dipindahkan ke penyimpanan yang aman. Kunci terenkripsi diambil dan didekripsi dalam HSM tepat pada waktunya untuk digunakan. Kunci plaintext tetap dalam memori HSM hanya untuk waktu yang dibutuhkan untuk menyelesaikan operasi kriptografi. Materi kunci Plaintext tidak pernah meninggalkan HSMs; itu tidak pernah ditulis ke penyimpanan persisten.
Untuk informasi selengkapnya tentang mekanisme yang digunakan AWS Payment Cryptography untuk mengamankan kunci Anda, lihat AWS Payment Cryptography Cryptography Details.
# Keamanan infrastruktur di AWS Payment Cryptography
Sebagai layanan terkelola, AWS Payment Cryptography dilindungi oleh prosedur keamanan jaringan AWS global yang dijelaskan dalam whitepaper [Amazon Web Services: Tinjauan Proses Keamanan](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses AWS Payment Cryptography melalui jaringan. Klien harus mendukung Keamanan Lapisan Pengangkutan (TLS) 1.2 atau versi yang lebih baru. Klien juga harus mendukung cipher suite dengan perfect forward secrecy (PFS) seperti Ephemeral Diffie-Hellman (DHE) atau Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). Sebagian besar sistem-sistem modern seperti Java 7 dan versi yang lebih baru mendukung mode-mode ini.
Selain itu, permintaan harus ditandatangani menggunakan ID kunci akses dan kunci akses rahasia yang dikaitkan dengan pengguna utama IAM. Atau Anda dapat menggunakan [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) untuk membuat kredensial keamanan sementara untuk menandatangani permintaan.
## Isolasi host fisik
Keamanan infrastruktur fisik yang digunakan AWS Payment Cryptography tunduk pada kontrol yang dijelaskan di bagian Keamanan Fisik dan Lingkungan Amazon Web Services: Tinjauan Proses Keamanan. Anda dapat menemukan lebih banyak detail dalam laporan kepatuhan dan temuan audit pihak ketiga yang tercantum di bagian sebelumnya.
AWS Payment Cryptography didukung oleh modul keamanan perangkat keras khusus yang terdaftar di commercial-off-the-shelf PCI PTS HSM (). HSMs Materi utama untuk kunci Kriptografi Pembayaran AWS disimpan hanya dalam memori volatil pada HSMs, dan hanya saat kunci Kriptografi Pembayaran sedang digunakan. HSMs berada di rak yang dikendalikan akses dalam pusat data Amazon yang memberlakukan kontrol ganda untuk akses fisik apa pun. Untuk informasi terperinci tentang pengoperasian Kriptografi Pembayaran AWS HSMs, lihat Detail Kriptografi Kriptografi Pembayaran AWS.
# Menghubungkan ke Kriptografi AWS Pembayaran melalui titik akhir VPC
Anda dapat terhubung langsung ke Kriptografi AWS Pembayaran melalui titik akhir antarmuka pribadi di cloud pribadi virtual (VPC) Anda. Saat Anda menggunakan titik akhir VPC antarmuka, komunikasi antara VPC dan Kriptografi AWS Pembayaran dilakukan sepenuhnya di dalam jaringan. AWS
AWS Kriptografi Pembayaran mendukung titik akhir Amazon Virtual Private Cloud (Amazon VPC) yang didukung oleh. [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Setiap titik akhir VPC diwakili oleh satu atau lebih [Elastic Network Interfaces](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (ENIs) dengan alamat IP pribadi di subnet VPC Anda.
Titik akhir VPC antarmuka menghubungkan VPC Anda langsung ke Kriptografi AWS Pembayaran tanpa gateway internet, perangkat NAT, koneksi VPN, atau koneksi. AWS Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi AWS dengan Kriptografi Pembayaran.
**Wilayah**
AWS [Kriptografi Pembayaran mendukung kebijakan titik akhir VPC dan titik akhir VPC Wilayah AWS di mana Kriptografi Pembayaran didukung.AWS](https://docs.aws.amazon.com/general/latest/gr/payment-cryptography.html)
**Topics**
+ [Pertimbangan untuk titik akhir AWS VPC Kriptografi Pembayaran](#vpce-considerations)
+ [Membuat titik akhir VPC untuk Kriptografi Pembayaran AWS](#vpce-create-endpoint)
+ [Menghubungkan ke titik akhir AWS VPC Kriptografi Pembayaran](#vpce-connect)
+ [Mengontrol akses ke VPC endpoint](#vpce-policy)
+ [Menggunakan VPC endpoint dalam pernyataan kebijakan](#vpce-policy-condition)
+ [Mencatat VPC endpoint Anda](#vpce-logging)
## Pertimbangan untuk titik akhir AWS VPC Kriptografi Pembayaran
**catatan**
Meskipun titik akhir VPC memungkinkan Anda untuk terhubung ke layanan hanya dalam satu zona ketersediaan (AZ), kami merekomendasikan untuk menghubungkan ke tiga zona ketersediaan untuk tujuan ketersediaan dan redundansi yang tinggi.
*Sebelum Anda menyiapkan titik akhir VPC antarmuka untuk Kriptografi AWS Pembayaran, tinjau topik [properti dan batasan titik akhir Antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) di Panduan.AWS PrivateLink *
AWS Dukungan Kriptografi Pembayaran untuk titik akhir VPC mencakup yang berikut ini.
+ Anda dapat menggunakan titik akhir VPC Anda untuk memanggil semua [operasi pesawat Kontrol Kriptografi AWS Pembayaran dan operasi pesawat](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_Operations.html) [Data Kriptografi AWS Pembayaran](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_Operations.html) dari VPC.
+ Anda dapat membuat titik akhir VPC antarmuka yang terhubung ke titik akhir wilayah Kriptografi AWS Pembayaran.
+ AWS Kriptografi Pembayaran terdiri dari bidang kontrol dan bidang data. Anda dapat memilih untuk mengatur satu atau kedua sub-layanan AWS PrivateLink tetapi masing-masing dikonfigurasi secara terpisah.
+ Anda dapat menggunakan AWS CloudTrail log untuk mengaudit penggunaan kunci Kriptografi AWS Pembayaran melalui titik akhir VPC. Lihat perinciannya di [Mencatat VPC endpoint Anda](#vpce-logging).
## Membuat titik akhir VPC untuk Kriptografi Pembayaran AWS
Anda dapat membuat titik akhir VPC untuk Kriptografi AWS Pembayaran dengan menggunakan konsol VPC Amazon atau API VPC Amazon. Untuk informasi selengkapnya, lihat [Membuat titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) di *AWS PrivateLink Panduan*.
+ Untuk membuat titik akhir VPC untuk Kriptografi AWS Pembayaran, gunakan nama layanan berikut:
```
com.amazonaws.region.payment-cryptography.controlplane
```
```
com.amazonaws.region.payment-cryptography.dataplane
```
Misalnya, di Wilayah AS Barat (Oregon) (`us-west-2`), nama layanannya adalah:
```
com.amazonaws.us-west-2.payment-cryptography.controlplane
```
```
com.amazonaws.us-west-2.payment-cryptography.dataplane
```
Untuk mempermudah penggunaan titik akhir VPC, Anda dapat mengaktifkan nama [DNS pribadi untuk](https://docs.aws.amazon.com/vpc/latest/privatelink/verify-domains.html) titik akhir VPC Anda. Jika Anda memilih opsi **Aktifkan Nama DNS, nama** host DNS Kriptografi AWS Pembayaran standar akan diselesaikan ke titik akhir VPC Anda. Misalnya, `https://controlplane.payment-cryptography.us-west-2.amazonaws.com` akan menyelesaikan ke titik akhir VPC yang terhubung ke nama layanan. `com.amazonaws.us-west-2.payment-cryptography.controlplane`
Opsi ini mempermudah untuk menggunakan VPC endpoint. Itu AWS SDKs dan AWS CLI gunakan standar AWS Payment Cryptography DNS hostname secara default, sehingga Anda tidak perlu menentukan URL endpoint VPC dalam aplikasi dan perintah.
*Untuk informasi selengkapnya, lihat [Mengakses layanan melalui titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint) di Panduan.AWS PrivateLink *
## Menghubungkan ke titik akhir AWS VPC Kriptografi Pembayaran
Anda dapat terhubung ke Kriptografi AWS Pembayaran melalui titik akhir VPC dengan menggunakan SDK, AWS atau. AWS CLI Alat AWS untuk PowerShell Untuk menentukan VPC endpoint, gunakan nama DNS-nya.
Misalnya, perintah [kunci-daftar](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/list-keys.html) ini menggunakan parameter `endpoint-url` untuk menentukan VPC endpoint. Untuk menggunakan perintah seperti ini, ganti contoh ID VPC endpoint dengan yang ada di akun Anda.
```
$ aws payment-cryptography list-keys --endpoint-url https://vpce-1234abcdf5678c90a-09p7654s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com
```
Jika Anda mengaktifkan nama host privat ketika Anda membuat VPC endpoint Anda, Anda tidak perlu menentukan URL VPC endpoint di perintah CLI atau konfigurasi aplikasi. Nama host DNS Kriptografi AWS Pembayaran standar diselesaikan ke titik akhir VPC Anda. SDKs Gunakan AWS CLI dan gunakan nama host ini secara default, sehingga Anda dapat mulai menggunakan titik akhir VPC untuk terhubung ke AWS titik akhir regional Kriptografi Pembayaran tanpa mengubah apa pun dalam skrip dan aplikasi Anda.
Untuk menggunakan nama host pribadi, `enableDnsSupport` atribut `enableDnsHostnames` dan VPC Anda harus disetel ke. `true` Untuk mengatur atribut ini, gunakan [ModifyVpcAttribute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcAttribute.html)operasi. Untuk detailnya, lihat [Melihat dan memperbarui atribut DNS untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) di Panduan Pengguna *Amazon VPC*.
## Mengontrol akses ke VPC endpoint
Untuk mengontrol akses ke titik akhir VPC Anda untuk Kriptografi AWS Pembayaran, lampirkan kebijakan titik akhir VPC ke *titik akhir VPC* Anda. Kebijakan endpoint menentukan apakah prinsipal dapat menggunakan titik akhir VPC untuk memanggil operasi Kriptografi Pembayaran dengan sumber daya Kriptografi AWS Pembayaran tertentu. AWS
Anda dapat membuat kebijakan VPC endpoint ketika Anda membuat titik akhir Anda, dan Anda dapat mengubah kebijakan VPC endpoint setiap saat. Gunakan konsol manajemen VPC, atau operasi atau. [CreateVpcEndpoint[ModifyVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html)](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html) Anda juga dapat membuat dan mengubah kebijakan titik akhir VPC dengan [menggunakan](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html) templat. AWS CloudFormation *Untuk bantuan menggunakan konsol manajemen VPC, lihat [Membuat titik akhir antarmuka dan Memodifikasi titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) [antarmuka dalam Panduan](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#modify-interface-endpoint).AWS PrivateLink *
Untuk mendapatkan bantuan mengenai cara menulis dan memformat dokumen kebijakan JSON, lihat [Referensi Kebijakan IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dalam *Panduan Pengguna IAM*.
**Topics**
+ [Tentang kebijakan VPC endpoint](#vpce-policy-about)
+ [Kebijakan VPC endpoint default](#vpce-default-policy)
+ [Membuat kebijakan VPC endpoint](#vpce-policy-create)
+ [Melihat kebijakan VPC endpoint](#vpce-policy-get)
### Tentang kebijakan VPC endpoint
Agar permintaan Kriptografi AWS Pembayaran yang menggunakan titik akhir VPC berhasil, prinsipal memerlukan izin dari dua sumber:
+ [Kebijakan berbasis identitas](security_iam_id-based-policy-examples.md) harus memberikan izin utama untuk memanggil operasi pada sumber daya (kunci Kriptografi AWS Pembayaran atau alias).
+ Kebijakan VPC endpoint harus memberikan prinsipal izin untuk menggunakan titik akhir untuk membuat permintaan.
Misalnya, kebijakan kunci mungkin memberikan izin utama untuk memanggil [Dekripsi](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_DecryptData.html) pada kunci Kriptografi AWS Pembayaran tertentu. Namun, kebijakan titik akhir VPC mungkin tidak mengizinkan prinsipal tersebut untuk memanggil `Decrypt` kunci Kriptografi AWS Pembayaran tersebut dengan menggunakan titik akhir.
Atau kebijakan titik akhir VPC mungkin memungkinkan prinsipal untuk menggunakan titik akhir untuk memanggil [StopKeyUsage](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_StopKeyUsage.html)kunci Kriptografi Pembayaran tertentu AWS . Tetapi jika prinsipal tidak memiliki izin tersebut dari kebijakan IAM, permintaan gagal.
### Kebijakan VPC endpoint default
Setiap VPC endpoint memiliki kebijakan VPC endpoint, tetapi Anda tidak diharuskan untuk menentukan kebijakan. Jika Anda tidak menentukan kebijakan, kebijakan titik akhir default memungkinkan semua operasi oleh semua prinsipal di semua sumber daya pada titik akhir.
Namun, untuk sumber daya Kriptografi AWS Pembayaran, kepala sekolah juga harus memiliki izin untuk memanggil operasi dari kebijakan [IAM](security_iam_id-based-policy-examples.md). Oleh karena itu, dalam praktik, kebijakan default mengatakan bahwa jika prinsipal memiliki izin untuk memanggil operasi pada sumber daya, mereka juga dapat memanggilnya dengan menggunakan titik akhir.
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
Untuk mengizinkan prinsipal menggunakan titik akhir VPC hanya untuk sebagian dari operasi yang diizinkan, buat [atau](#vpce-policy-create) perbarui kebijakan titik akhir VPC.
### Membuat kebijakan VPC endpoint
Kebijakan VPC endpoint menentukan apakah prinsipal memiliki izin untuk menggunakan VPC endpoint untuk melakukan operasi pada sumber daya. Untuk sumber daya Kriptografi AWS Pembayaran, kepala sekolah juga harus memiliki izin untuk melakukan operasi dari kebijakan [IAM](security_iam_id-based-policy-examples.md).
Setiap pernyataan kebijakan VPC endpoint memerlukan unsur-unsur berikut:
+ Prinsip-prinsip yang dapat melakukan tindakan
+ Tindakan yang dapat dilakukan
+ Sumber daya yang dapat digunakan untuk mengambil tindakan
Pernyataan kebijakan tidak menentukan VPC endpoint. Sebaliknya, berlaku untuk VPC endpoint di mana kebijakan tersebut terpasang. Untuk informasi selengkapnya, lihat [Mengendalikan akses ke layanan dengan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) dalam *Panduan Pengguna Amazon VPC*.
Berikut ini adalah contoh kebijakan titik akhir VPC untuk AWS Kriptografi Pembayaran. Saat dilampirkan ke titik akhir VPC, kebijakan ini memungkinkan `ExampleUser` untuk menggunakan titik akhir VPC untuk memanggil operasi yang ditentukan pada kunci Kriptografi Pembayaran yang ditentukan. AWS Sebelum menggunakan kebijakan seperti ini, ganti contoh prinsipal dan [pengidentifikasi kunci](concepts.md#concepts.key-identifer) dengan nilai yang valid dari akun Anda.
```
{
"Statement":[
{
"Sid": "AllowDecryptAndView",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/ExampleUser"},
"Effect":"Allow",
"Action": [
"payment-cryptography:Decrypt",
"payment-cryptography:GetKey",
"payment-cryptography:ListAliases",
"payment-cryptography:ListKeys",
"payment-cryptography:GetAlias"
],
"Resource": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h"
}
]
}
```
AWS CloudTrail mencatat semua operasi yang menggunakan titik akhir VPC. Namun, CloudTrail log Anda tidak menyertakan operasi yang diminta oleh kepala sekolah di akun lain atau operasi untuk kunci Kriptografi AWS Pembayaran di akun lain.
Dengan demikian, Anda mungkin ingin membuat kebijakan titik akhir VPC yang mencegah prinsipal di akun eksternal menggunakan titik akhir VPC untuk memanggil operasi Kriptografi AWS Pembayaran apa pun pada kunci apa pun di akun lokal.
Contoh berikut menggunakan [aws: PrincipalAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount) global condition key untuk menolak akses ke semua prinsipal untuk semua operasi pada semua kunci Kriptografi AWS Pembayaran kecuali prinsipal ada di akun lokal. Sebelum menggunakan kebijakan seperti ini, ganti ID akun contoh dengan yang valid.
```
{
"Statement": [
{
"Sid": "AccessForASpecificAccount",
"Principal": {"AWS": "*"},
"Action": "payment-cryptography:*",
"Effect": "Deny",
"Resource": "arn:aws:payment-cryptography:*:111122223333:key/*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
}
}
]
}
```
### Melihat kebijakan VPC endpoint
Untuk melihat kebijakan titik akhir VPC untuk titik akhir, gunakan konsol manajemen [VPC](https://console.aws.amazon.com/vpc/) atau operasi. [DescribeVpcEndpoints](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpoints.html)
AWS CLI Perintah berikut mendapatkan kebijakan untuk titik akhir dengan ID titik akhir VPC yang ditentukan.
Sebelum menggunakan perintah ini, ganti ID titik akhir contoh dengan yang valid dari akun Anda.
```
$ aws ec2 describe-vpc-endpoints \
--query 'VpcEndpoints[?VpcEndpointId==`vpce-1234abcdf5678c90a`].[PolicyDocument]'
--output text
```
## Menggunakan VPC endpoint dalam pernyataan kebijakan
Anda dapat mengontrol akses ke sumber daya dan operasi Kriptografi AWS Pembayaran ketika permintaan berasal dari VPC atau menggunakan titik akhir VPC. Untuk melakukannya, gunakan salah satu kebijakan [IAM](security_iam_id-based-policy-examples.md)
+ Gunakan kunci kondisi `aws:sourceVpce` untuk memberikan atau membatasi akses berdasarkan VPC endpoint.
+ Gunakan kunci kondisi `aws:sourceVpc` untuk memberikan atau membatasi akses berdasarkan VPC yang menjadi host endpoint privat.
**catatan**
Kunci `aws:sourceIP` kondisi tidak efektif ketika permintaan berasal dari titik akhir [VPC Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html). Untuk membatasi permintaan ke VPC endpoint, gunakan kunci kondisi `aws:sourceVpce` atau `aws:sourceVpc`. *Untuk informasi selengkapnya, lihat [Identitas dan manajemen akses untuk titik akhir VPC dan layanan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-iam.html) di Panduan.AWS PrivateLink *
Anda dapat menggunakan kunci kondisi global ini untuk mengontrol akses ke kunci Kriptografi AWS Pembayaran, alias, dan operasi seperti [CreateKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_CreateKey.html)itu tidak bergantung pada sumber daya tertentu.
Misalnya, kebijakan kunci sampel berikut memungkinkan pengguna untuk melakukan operasi kriptografi tertentu dengan kunci Kriptografi AWS Pembayaran hanya ketika permintaan menggunakan titik akhir VPC yang ditentukan, memblokir akses baik dari Internet dan AWS PrivateLink koneksi (jika pengaturan). Ketika pengguna membuat permintaan ke Kriptografi AWS Pembayaran, ID titik akhir VPC dalam permintaan dibandingkan `aws:sourceVpce` dengan nilai kunci kondisi dalam kebijakan. Jika tidak cocok, permintaan ditolak.
Untuk menggunakan kebijakan seperti ini, ganti Akun AWS ID placeholder dan titik akhir VPC IDs dengan nilai yang valid untuk akun Anda.
------
#### [ JSON ]
****
```
{
"Id": "example-key-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableIAMPolicies",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root"
]
},
"Action": [
"payment-cryptography:*"
],
"Resource": "*"
},
{
"Sid": "RestrictUsageToMyVPCEndpoint",
"Effect": "Deny",
"Principal": "*",
"Action": [
"payment-cryptography:EncryptData",
"payment-cryptography:DecryptData"
],
"Resource": "arn:aws:payment-cryptography:us-east-1:111122223333:key/*",
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "vpce-1234abcdf5678c90a"
}
}
}
]
}
```
------
Anda juga dapat menggunakan tombol `aws:sourceVpc` kondisi untuk membatasi akses ke kunci Kriptografi AWS Pembayaran Anda berdasarkan VPC tempat titik akhir VPC berada.
Kebijakan kunci sampel berikut memungkinkan perintah yang mengelola kunci Kriptografi AWS Pembayaran hanya ketika mereka berasal`vpc-12345678`. Selain itu, ini memungkinkan perintah yang menggunakan kunci Kriptografi AWS Pembayaran untuk operasi kriptografi hanya ketika mereka berasal. `vpc-2b2b2b2b` Anda mungkin menggunakan kebijakan seperti ini jika aplikasi berjalan dalam satu VPC, tetapi Anda menggunakan VPC terisolasi kedua untuk fungsi manajemen.
Untuk menggunakan kebijakan seperti ini, ganti Akun AWS ID placeholder dan titik akhir VPC IDs dengan nilai yang valid untuk akun Anda.
------
#### [ JSON ]
****
```
{
"Id": "example-key-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAdminActionsFromVPC12345678",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"payment-cryptography:Create*",
"payment-cryptography:Encrypt*",
"payment-cryptography:ImportKey*",
"payment-cryptography:GetParametersForImport*",
"payment-cryptography:TagResource",
"payment-cryptography:UntagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-12345678"
}
}
},
{
"Sid": "AllowKeyUsageFromVPC2b2b2b2b",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"payment-cryptography:Encrypt*",
"payment-cryptography:Decrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-2b2b2b2b"
}
}
},
{
"Sid": "AllowListReadActionsFromEverywhere",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"payment-cryptography:List*",
"payment-cryptography:Get*"
],
"Resource": "*"
}
]
}
```
------
## Mencatat VPC endpoint Anda
AWS CloudTrail mencatat semua operasi yang menggunakan titik akhir VPC. Ketika permintaan ke Kriptografi AWS Pembayaran menggunakan titik akhir VPC, ID titik akhir VPC muncul di entri log yang mencatat permintaan [AWS CloudTrail tersebut](monitoring-cloudtrail.md). Anda dapat menggunakan ID titik akhir untuk mengaudit penggunaan titik akhir VPC Kriptografi AWS Pembayaran Anda.
Untuk melindungi VPC Anda, permintaan yang ditolak oleh [kebijakan titik akhir VPC](#vpce-policy), tetapi sebaliknya diizinkan, tidak dicatat. [AWS CloudTrail](monitoring-cloudtrail.md)
Misalnya, entri log contoh ini mencatat [GenerateMac](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_GenerateMac.html)permintaan yang menggunakan titik akhir VPC. Bidang `vpcEndpointId` muncul di akhir entri log.
```
{
"eventVersion": "1.08",
"userIdentity": {
"principalId": "TESTXECZ5U9M4LGF2N6Y5:i-98761b8890c09a34a",
"arn": "arn:aws:sts::111122223333:assumed-role/samplerole/i-98761b8890c09a34a",
"accountId": "111122223333",
"accessKeyId": "TESTXECZ5U2ZULLHHMJG",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTXECZ5U9M4LGF2N6Y5",
"arn": "arn:aws:iam::111122223333:role/samplerole",
"accountId": "111122223333",
"userName": "samplerole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-05-27T19:34:10Z",
"mfaAuthenticated": "false"
},
"ec2RoleDelivery": "2.0"
}
},
"eventTime": "2024-05-27T19:49:54Z",
"eventSource": "payment-cryptography.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.31.85.253",
"userAgent": "aws-cli/2.14.5 Python/3.9.16 Linux/6.1.79-99.167.amzn2023.x86_64 source/x86_64.amzn.2023 prompt/off command/payment-cryptography.create-key",
"requestParameters": {
"keyAttributes": {
"keyUsage": "TR31_M1_ISO_9797_1_MAC_KEY",
"keyClass": "SYMMETRIC_KEY",
"keyAlgorithm": "TDES_2KEY",
"keyModesOfUse": {
"encrypt": false,
"decrypt": false,
"wrap": false,
"unwrap": false,
"generate": true,
"sign": false,
"verify": true,
"deriveKey": false,
"noRestrictions": false
}
},
"exportable": true
},
"responseElements": {
"key": {
"keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
"keyAttributes": {
"keyUsage": "TR31_M1_ISO_9797_1_MAC_KEY",
"keyClass": "SYMMETRIC_KEY",
"keyAlgorithm": "TDES_2KEY",
"keyModesOfUse": {
"encrypt": false,
"decrypt": false,
"wrap": false,
"unwrap": false,
"generate": true,
"sign": false,
"verify": true,
"deriveKey": false,
"noRestrictions": false
}
},
"keyCheckValue": "A486ED",
"keyCheckValueAlgorithm": "ANSI_X9_24",
"enabled": true,
"exportable": true,
"keyState": "CREATE_COMPLETE",
"keyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"createTimestamp": "May 27, 2024, 7:49:54 PM",
"usageStartTimestamp": "May 27, 2024, 7:49:54 PM"
}
},
"requestID": "f3020b3c-4e86-47f5-808f-14c7a4a99161",
"eventID": "b87c3d30-f3ab-4131-87e8-bc54cfef9d29",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"vpcEndpointId": "vpce-1234abcdf5678c90a",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "vpce-1234abcdf5678c90a-oo28vrvr.controlplane.payment-cryptography.us-east-1.vpce.amazonaws.com"
}
}
```
# Menggunakan TLS pasca-kuantum hibrida
AWS Kriptografi Pembayaran dan banyak layanan lainnya mendukung opsi pertukaran kunci pasca-kuantum hibrida untuk protokol enkripsi jaringan Transport Layer Security (TLS). Anda dapat menggunakan opsi TLS ini saat Anda terhubung ke titik akhir API atau saat menggunakan AWS. SDKs Fitur pertukaran kunci pasca-kuantum hibrida opsional ini setidaknya seaman enkripsi TLS yang kami gunakan saat ini dan cenderung memberikan manfaat keamanan jangka panjang tambahan.
Data yang Anda kirim ke layanan yang diaktifkan dilindungi saat transit oleh enkripsi yang disediakan oleh koneksi Transport Layer Security (TLS). Suite cipher klasik berdasarkan RSA dan ECC yang didukung AWS Payment Cryptography untuk sesi TLS membuat serangan brute force pada mekanisme pertukaran kunci tidak layak dengan teknologi saat ini. Namun, jika komputer kuantum skala besar atau kriptografi yang relevan (CRQC) menjadi praktis di masa depan, mekanisme pertukaran kunci TLS yang ada akan rentan terhadap serangan ini. Ada kemungkinan bahwa musuh dapat mulai memanen data terenkripsi sekarang dengan harapan mereka dapat mendekripsi di masa depan (panen sekarang, dekripsi nanti). Jika Anda mengembangkan aplikasi yang mengandalkan kerahasiaan jangka panjang dari data yang melewati koneksi TLS, Anda harus mempertimbangkan rencana untuk bermigrasi ke kriptografi pasca-kuantum sebelum komputer kuantum skala besar tersedia untuk digunakan. AWS sedang bekerja untuk mempersiapkan masa depan ini, dan kami ingin Anda juga dipersiapkan dengan baik.
![\[Musuh yang sebelumnya merekam sesi TLS. Bertahun-tahun kemudian, ketika musuh memiliki CRQC, musuh pertama-tama dapat memulihkan kunci sesi dengan memecahkan pertukaran kunci klasik menggunakan CRQC. Musuh kemudian dapat mendekripsi data menggunakan kunci sesi yang ditemukan. Data yang dikirimkan sebelumnya, jika masih berharga, sekarang dikompromikan.\]](http://docs.aws.amazon.com/id_id/payment-cryptography/latest/userguide/images/pqtls-risk2.png)
*Untuk melindungi data yang dienkripsi hari ini terhadap potensi serangan future, AWS berpartisipasi dengan komunitas kriptografi dalam pengembangan algoritma tahan kuantum atau pasca-kuantum.* AWS telah menerapkan suite cipher pertukaran kunci pasca-kuantum *hibrida* yang menggabungkan elemen klasik dan pasca-kuantum untuk memastikan bahwa koneksi TLS Anda setidaknya sekuat dengan suite cipher klasik.
Suite sandi hibrida ini tersedia untuk digunakan pada beban kerja produksi Anda saat menggunakan AWS versi terbaru. SDKs Untuk informasi lebih lanjut tentang bagaimana perilaku enable/disable ini, silakan lihat [Mengaktifkan TLS pasca-kuantum hibrida](pqtls-details.md)
![\[Sesi TLS yang diamankan baik menggunakan kesepakatan kunci klasik dan kesepakatan kunci pasca-kuantum. Musuh saat ini tidak dapat mematahkan bagian klasik dari perjanjian kunci. Jika musuh merekam data dan mencoba mendekripsi di masa depan dengan CRQC, perjanjian kunci pasca-kuantum menjaga kunci sesi tetap aman. Dengan demikian, data yang dikirimkan saat ini tetap aman terhadap penemuan bahkan di masa depan. Inilah sebabnya mengapa TLS pasca-kuantum hibrida penting saat ini.\]](http://docs.aws.amazon.com/id_id/payment-cryptography/latest/userguide/images/pqtls-mitigation.png)
## Tentang pertukaran kunci pasca-kuantum hibrida di TLS
[Algoritma yang AWS digunakan adalah *hibrida* yang menggabungkan [Elliptic Curve Diffie-Hellman](https://en.wikipedia.org/wiki/Elliptic-curve_Diffie%E2%80%93Hellman) (ECDH), algoritma pertukaran kunci klasik yang digunakan saat ini di TLS, dengan [Module-Lattice-Based Key-Encapsulation Mechanism](https://csrc.nist.gov/pubs/fips/203/final) (), enkripsi kunci publik dan algoritma pembentukan kunci yang National Institute for Standards and Technology (NISTML-KEM) telah ditetapkan sebagai algoritma kesepakatan kunci pasca-kuantum standar pertama.](https://csrc.nist.gov/pubs/fips/203/final) Hibrida ini menggunakan masing-masing algoritma secara independen untuk menghasilkan kunci. Selanjutnya menggabungkan dua kunci kriptografi.
## Pelajari lebih lanjut tentang PQC
Untuk informasi tentang proyek kriptografi pasca-kuantum di National Institute for Standards and Technology (NIST), lihat [Kriptografi Pasca Kuantum](https://csrc.nist.gov/Projects/Post-Quantum-Cryptography).
[Untuk informasi tentang standardisasi kriptografi pasca-kuantum NIST, lihat Standardisasi Kriptografi Pasca-Kuantum.](https://csrc.nist.gov/Projects/post-quantum-cryptography/post-quantum-cryptography-standardization)
# Mengaktifkan TLS pasca-kuantum hibrida
AWS SDKs dan alat memiliki kemampuan dan konfigurasi kriptografi yang berbeda antar bahasa dan runtime. Ada tiga cara AWS SDK atau alat saat ini menyediakan dukungan PQ TLS:
**Topics**
+ [SDKs dengan PQ TLS diaktifkan secara default](#pq-tls-default)
+ [Dukungan PQ TLS ikut serta](#pq-tls-opt-in)
+ [SDKs yang mengandalkan Sistem OpenSSL](#pq-tls-open-ssl)
+ [AWS SDKs dan alat tidak berencana untuk mendukung PQ TLS](#pq-tls-nosupport)
## SDKs dengan PQ TLS diaktifkan secara default
**catatan**
Mulai 6-Nov-2025, AWS SDK dan pustaka CRT yang mendasarinya untuk macOS dan Windows menggunakan pustaka sistem untuk TLS, sehingga kemampuan PQ TLS pada platform tersebut umumnya ditentukan oleh dukungan tingkat sistem.
### AWS SDK for Go
AWS SDK for Go menggunakan implementasi TLS Golang sendiri yang disediakan oleh pustaka standarnya. Golang mendukung dan lebih memilih PQ TLS pada v1.24, sehingga pengguna AWS SDK for Go dapat mengaktifkan PQ TLS hanya dengan memutakhirkan Golang ke v1.24
### AWS SDK untuk JavaScript (browser)
AWS SDK for JavaScript (browser) menggunakan tumpukan TLS browser, sehingga SDK akan menegosiasikan PQ TLS jika runtime browser mendukung dan memilihnya. Firefox meluncurkan dukungan untuk PQ TLS di v132.0. Chrome mengumumkan dukungan untuk PQ TLS di v131. Edge mendukung opt-in PQ TLS di v120 untuk desktop dan 140 untuk Android.
### AWS SDK for Node.js
Pada Node.js v22.20 (LTS) dan v24.9.0, Node.js secara statis menautkan dan membundel OpenSSL 3.5. Ini berarti bahwa PQ TLS diaktifkan dan disukai secara default untuk versi tersebut dan versi berikutnya.
### AWS SDK untuk Kotlin
Kotlin SDK mendukung dan lebih memilih PQ TLS di Linux pada v1.5.78. Karena AWS SDK untuk klien berbasis CRT Kotlin bergantung pada pustaka sistem untuk TLS di macOS dan Windows, dukungan untuk PQ TLS akan bergantung pada pustaka sistem yang mendasarinya.
### AWS SDK untuk Rust
AWS SDK for Rust mendistribusikan paket berbeda (dikenal sebagai “peti” di ekosistem Rust) untuk setiap klien layanan. Ini semua dikelola dalam GitHub repositori terkonsolidasi, tetapi setiap klien layanan mengikuti versi dan irama rilisnya sendiri. SDK terkonsolidasi merilis preferensi PQ TLS pada 8/29/25, sehingga setiap versi klien layanan individu yang dirilis setelah tanggal tersebut akan mendukung dan lebih memilih PQ TLS secara default.
Anda dapat menentukan versi minimum yang mendukung PQ TLS untuk klien layanan tertentu dengan menavigasi ke URL versi crates.io yang relevan (misalnya, Kriptografi AWS Pembayaran ada [di sini](https://crates.io/crates/aws-sdk-paymentcryptography/versions)) dan menemukan versi pertama yang diterbitkan setelah 29-Agustus-25. Setiap versi klien layanan yang diterbitkan setelah 29-Agustus-25 akan mengaktifkan PQ TLS dan disukai secara default.
## Dukungan PQ TLS ikut serta
### AWS SDK for C\$1\$1
Secara default, C\$1\$1 SDK menggunakan klien platform-native seperti libcurl dan. WinHttp Libcurl umumnya bergantung pada sistem OpenSSL untuk TLS, jadi PQ TLS hanya diaktifkan secara default jika sistem OpenSSL ≥ v3.5. Anda dapat mengganti default ini di C \$1\$1 SDK v1.11.673 atau yang lebih baru, dan memilih untuk mendukung dan mengaktifkan PQ TLS AwsCrtHttpClient secara default.
[Catatan tentang Membangun untuk Opt-In PQ TLS Anda dapat mengambil dependensi CRT SDK dengan skrip ini.](https://github.com/aws/aws-sdk-cpp/blob/main/prefetch_crt_dependency.sh) Membangun SDK dari sumber dijelaskan [di sini](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/sdk-from-source.html) dan [di sini](https://github.com/aws/aws-sdk-cpp/tree/main?tab=readme-ov-file#building-from-source), tetapi perhatikan bahwa Anda mungkin memerlukan beberapa CMake tanda tambahan:
```
-DUSE_CRT_HTTP_CLIENT=ON \
-DUSE_TLS_V1_2=OFF \
-DUSE_TLS_V1_3=ON \
-DUSE_OPENSSL=OFF \
```
### AWS SDK for Java
Mulai v2, AWS SDK for Java menyediakan Klien HTTP AWS Common Runtime (AWS CRT) yang dapat dikonfigurasi untuk melakukan PQ TLS. Mulai v2.35.11, AwsCrtHttpClient mengaktifkan dan lebih memilih PQ TLS secara default di mana pun digunakan.
## SDKs yang mengandalkan Sistem OpenSSL
Beberapa AWS SDKs dan alat bergantung pada libcrypto/libssl pustaka sistem untuk TLS. Perpustakaan sistem yang paling sering digunakan adalah OpenSSL. OpenSSL mengaktifkan dukungan PQ TLS di versi 3.5, jadi cara termudah untuk mengkonfigurasi SDKs ini dan alat untuk PQ TLS adalah dengan menggunakannya pada distribusi sistem operasi yang setidaknya memiliki OpenSSL 3.5 diinstal.
Anda juga dapat mengonfigurasi wadah Docker untuk menggunakan OpenSSL 3.5 untuk mengaktifkan PQ TLS pada sistem apa pun yang mendukung Docker. Lihat TLS pasca-kuantum dengan Python untuk contoh pengaturan ini untuk Python.
### AWS CLI
Dukungan PQ TLS dengan [penginstal AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) akan segera hadir. Untuk mengaktifkan segera, Anda dapat menggunakan penginstal alternatif untuk AWS CLI, yang bervariasi menurut sistem operasi, dan dapat mengaktifkan PQ TLS.
Untuk macOS, instal AWS CLI melalui [Homebrew dan pastikan OpenSSL yang dijual di Homebrew](https://brew.sh/) Anda ditingkatkan ke versi 3.5\$1. Anda dapat melakukan ini dengan “brew install openssl @3 .6" dan validasi dengan “brew list \$1 grep openssl”.
Untuk Ubuntu atau Debian Linux: pastikan distribusi Linux yang Anda gunakan memiliki OpenSSL 3.5\$1 diinstal sebagai sistem OpenSSL. [Kemudian, instal AWS CLI menggunakan apt atau PyPI.](https://pypi.org/project/awscliv2/) Dengan prasyarat ini, AWS CLI yang dijual oleh apt atau PyPI akan dikonfigurasi untuk menegosiasikan PQ-TLS. [Untuk step-by-step petunjuk untuk memvalidasi instalasi, lihat [repositori github](https://github.com/aws-samples/sample-post-quantum-tls-python/) dan posting blog yang menyertainya.](https://aws.amazon.com/blogs/security/post-quantum-tls-in-python/)
### AWS SDK for PHP
AWS SDK for PHP bergantung pada sistem libssl/libcrypto. Untuk menggunakan PQ TLS, gunakan SDK ini pada distribusi sistem operasi yang memiliki setidaknya OpenSSL 3.5 diinstal.
### AWS SDK untuk Python (Boto3)
AWS SDK for Python (Boto3) mengandalkan libssl/libcrypto sistem. Untuk menggunakan PQ TLS, gunakan SDK ini pada distribusi sistem operasi yang memiliki setidaknya OpenSSL 3.5 diinstal.
### AWS SDK for Ruby
AWS SDK for Ruby bergantung pada sistem libssl/libcrypto. Untuk menggunakan PQ TLS, gunakan SDK ini pada distribusi sistem operasi yang memiliki setidaknya OpenSSL 3.5 diinstal.
## AWS SDKs dan alat tidak berencana untuk mendukung PQ TLS
Saat ini tidak ada rencana untuk mendukung bahasa SDKs dan alat berikut:
+ AWS SDK for .NET
+ AWS SDK untuk Swift
+ Alat AWS untuk Windows PowerShell
# Praktik terbaik keamanan untuk Kriptografi AWS Pembayaran
AWS Kriptografi Pembayaran mendukung banyak fitur keamanan yang built-in atau yang dapat Anda terapkan secara opsional untuk meningkatkan perlindungan kunci enkripsi Anda dan memastikan bahwa mereka digunakan untuk tujuan yang dimaksudkan, termasuk kebijakan [IAM, serangkaian kunci kondisi kebijakan](security_iam_service-with-iam.md) yang ekstensif untuk menyempurnakan kebijakan utama Anda dan kebijakan IAM dan penegakan aturan PIN PCI bawaan mengenai blok kunci.
**penting**
Pedoman umum yang diberikan tidak mewakili solusi keamanan yang lengkap. Karena tidak semua praktik terbaik sesuai untuk semua situasi, ini tidak dimaksudkan untuk menjadi preskriptif.
+ **Penggunaan Utama dan Mode Penggunaan**: Kriptografi AWS Pembayaran mengikuti dan memberlakukan pembatasan penggunaan utama dan mode penggunaan seperti yang dijelaskan dalam ANSI X9 TR 31-2018 Spesifikasi Blok Kunci Pertukaran Kunci Aman yang Dapat Dioperasikan dan konsisten dengan Persyaratan Keamanan PIN PCI 18-3. Ini membatasi kemampuan untuk menggunakan satu kunci untuk berbagai tujuan dan secara kriptografis mengikat metadata kunci (seperti operasi yang diizinkan) ke materi kunci itu sendiri. AWS Kriptografi Pembayaran secara otomatis memberlakukan pembatasan ini seperti kunci enkripsi kunci (TR31\$1K0\$1KEY\$1ENCRYPTION\$1KEY) juga tidak dapat digunakan untuk dekripsi data. Lihat [Memahami atribut kunci untuk kunci Kriptografi AWS Pembayaran](keys-validattributes.md) untuk detail selengkapnya.
+ **Batasi pembagian materi kunci simetris**: Hanya bagikan materi kunci simetris (seperti Kunci Enkripsi Pin atau Kunci Enkripsi Kunci) dengan paling banyak satu entitas lainnya. Jika ada kebutuhan untuk mentransmisikan materi sensitif ke lebih banyak entitas atau mitra, buat kunci tambahan. AWS Kriptografi Pembayaran tidak pernah mengekspos materi kunci simetris atau materi kunci pribadi asimetris secara jelas.
+ **Gunakan alias atau tag untuk mengaitkan kunci dengan kasus penggunaan atau mitra tertentu**: Alias dapat digunakan untuk dengan mudah menunjukkan kasus penggunaan yang terkait dengan kunci seperti alias/BIN\$112345\$1CVK untuk menunjukkan kunci verifikasi kartu yang terkait dengan BIN 12345. Untuk memberikan lebih banyak fleksibilitas, pertimbangkan untuk membuat tag seperti bin = 12345, use\$1case=acquiring, country=us, partner=foo. Alias dan tag juga dapat digunakan untuk membatasi akses seperti menegakkan kontrol akses antara mengeluarkan dan memperoleh kasus penggunaan.
+ **Praktekkan akses yang paling tidak istimewa**: IAM dapat digunakan untuk membatasi akses produksi ke sistem daripada individu, seperti melarang pengguna individu membuat kunci atau menjalankan operasi kriptografi. IAM juga dapat digunakan untuk membatasi akses ke perintah dan kunci yang mungkin tidak berlaku untuk kasus penggunaan Anda, seperti membatasi kemampuan untuk menghasilkan atau memvalidasi pin untuk pengakuisisi. Cara lain untuk menggunakan akses yang paling tidak memiliki hak istimewa adalah dengan membatasi operasi sensitif (seperti impor kunci) ke akun layanan tertentu. Lihat [AWS Contoh kebijakan berbasis identitas Kriptografi Pembayaran](security_iam_id-based-policy-examples.md) sebagai contoh.
**Lihat juga**
+ [Manajemen identitas dan akses untuk Kriptografi AWS Pembayaran](security-iam.md)
+ [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*