

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Melakukan konfigurasi AWS KMS kunci untuk AWS Dukungan otorisasi
<a name="support-authorization-kms"></a>

## Persyaratan utama
<a name="support-authorization-kms-requirements"></a>

 AWS KMS Kunci yang dikelola pelanggan diperlukan untuk penandatanganan izin dukungan kriptografi. Kunci Anda harus memenuhi persyaratan berikut:
+ Spesifikasi kunci: `ECC_NIST_P384`
+ Penggunaan kunci: `SIGN_VERIFY`
+ Kuncinya harus berada di AWS Wilayah yang sama dengan izin dukungan.

Materi kunci pribadi Anda tidak pernah pergi AWS KMS. Anda membuat hibah pada kunci Anda yang memungkinkannya untuk memanggil`DescribeKey`,`GetPublicKey`, dan`Sign`. Hibah tersebut mencakup izin dukungan dan pensiun ketika izin dukungan dihapus atau dinonaktifkan.

## Bagaimana AWS Dukungan otorisasi menggunakan AWS KMS kunci
<a name="support-authorization-kms-how-used"></a>

Saat Anda membuat izin dukungan, AWS KMS kunci Anda digunakan dengan cara berikut:

1. Menggunakan [sesi akses penerusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) untuk menelepon `DescribeKey` atas nama Anda, memverifikasi bahwa kunci memenuhi spesifikasi (`ECC_NIST_P384`) dan penggunaan (`SIGN_VERIFY`) yang diperlukan.

1. Membuat hibah pada kunci dengan menelepon `CreateGrant` atas nama Anda. Hibah memungkinkan`DescribeKey`,`GetPublicKey`, dan `Sign` operasi.

1. Memverifikasi otorisasi saat AWS Dukungan permintaan cocok dengan izin dukungan yang ada dengan menggunakan hibah untuk memanggil `Sign` kunci. Tanda tangan yang dihasilkan memverifikasi bahwa AWS Dukungan yang berwenang untuk melakukan tindakan.

## Pernyataan kebijakan kunci yang diperlukan
<a name="support-authorization-kms-policy"></a>

Tambahkan pernyataan kebijakan berikut ke kebijakan AWS KMS utama Anda. Ini adalah izin minimum yang diperlukan untuk AWS Dukungan otorisasi untuk menggunakan kunci Anda.

```
{
  "Sid": "Allows access to CreateGrant through SupportAuthZ",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"},
  "Action": ["kms:CreateGrant"],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "supportauthz.us-east-1.amazonaws.com",
      "kms:GranteeServicePrincipal": "us-east-1.supportauthz.amazonaws.com",
      "kms:RetiringServicePrincipal": "us-east-1.supportauthz.amazonaws.com"
    },
    "ForAllValues:StringEquals": {
      "kms:GrantOperations": ["DescribeKey", "GetPublicKey", "Sign"]
    },
    "ArnLike": {
      "kms:GrantConstraintSourceArn": "arn:aws:supportauthz:us-east-1:111122223333:supportpermit/*"
    }
  }
},
{
  "Sid": "Allows access to DescribeKey through SupportAuthZ",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"},
  "Action": ["kms:DescribeKey"],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "supportauthz.us-east-1.amazonaws.com"
    }
  }
}
```

Pernyataan ini memberikan izin berikut:

CreateGrant  
Memungkinkan penciptaan hibah untuk`DescribeKey`,`GetPublicKey`, dan `Sign` operasi. Ketentuan membatasi pembuatan hibah untuk permintaan yang dibuat melalui layanan AWS Dukungan otorisasi dan dicakup untuk mendukung sumber daya izin di akun Anda. AWS Dukungan otorisasi menggunakan [sesi akses ke depan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) untuk menelepon `CreateGrant` sebagai bagian dari pembuatan izin dukungan.

DescribeKey  
Memungkinkan verifikasi bahwa kunci memenuhi spesifikasi dan jenis penggunaan yang diperlukan saat Anda membuat izin dukungan menggunakan sesi akses penerusan.

**catatan**  
Ganti `111122223333` dengan ID AWS akun Anda dan `us-east-1` dengan AWS Wilayah tempat Anda membuat izin dukungan.

## Mencabut AWS Dukungan akses otorisasi
<a name="support-authorization-kms-revoke"></a>

Cara yang disarankan untuk mencabut izin penandatanganan pada kunci Anda adalah dengan mencabut hibah. Ini mencegah operasi penandatanganan lebih lanjut tanpa mempengaruhi penggunaan kunci lainnya.

Untuk membuat daftar dan mencabut hibah untuk otorisasi: AWS Dukungan 

1. Daftar hibah pada kunci untuk menemukan ID hibah:

   ```
   aws kms list-grants \
       --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
   ```

   Identifikasi hibah dengan namanya atau `GrantConstraints` sumber ARN yang mereferensikan izin dukungan Anda.

1. Cabut hibah:

   ```
   aws kms revoke-grant \
       --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --grant-id grant-id-from-list-grants
   ```

Setelah Anda mencabut hibah, otorisasi baru yang ditandatangani tidak dapat lagi dikeluarkan untuk izin dukungan apa pun yang menggunakan kunci ini. Karena AWS KMS API mengikuti model konsistensi akhirnya, mungkin ada penundaan singkat sebelum perubahan tersedia di seluruh AWS KMS.

**catatan**  
Mencabut hibah tidak menghapus izin dukungan terkait. Izin dukungan tetap dalam status AKTIF, tetapi otorisasi tidak dapat ditandatangani untuk itu. Hibah khusus untuk setiap izin dukungan. Membuat izin dukungan baru dengan AWS KMS kunci yang sama tidak mengembalikan kemampuan AWS Dukungan otorisasi untuk menggunakan kunci untuk izin dukungan asli.

## Menonaktifkan atau menghapus kunci
<a name="support-authorization-kms-disable-delete"></a>

Anda juga dapat menonaktifkan atau menjadwalkan penghapusan AWS KMS kunci untuk mencegah AWS Dukungan otorisasi mengeluarkan otorisasi yang ditandatangani. Namun, ini memengaruhi semua penggunaan kunci, bukan hanya AWS Dukungan otorisasi.

**penting**  
Keduanya AWS KMS dan AWS Dukungan otorisasi pada akhirnya konsisten. Setelah Anda menonaktifkan atau menjadwalkan penghapusan kunci, diperlukan waktu hingga beberapa menit agar perubahan berlaku penuh. Selama periode ini, otorisasi yang ditandatangani dapat terus dikeluarkan dengan menggunakan kunci. Pencabutan hibah juga pada akhirnya konsisten.

Jika Anda menonaktifkan kunci, maka Anda dapat mengaktifkannya kembali di AWS KMS konsol atau dengan menelepon`EnableKey`. Jika Anda menghapus kunci, itu tidak dapat dipulihkan.

## Memantau penggunaan kunci
<a name="support-authorization-kms-monitoring"></a>

Ketika AWS KMS kunci Anda digunakan untuk menandatangani otorisasi, AWS CloudTrail mencatat operasi penandatanganan dalam riwayat peristiwa kunci. Anda dapat menggunakan acara ini untuk mengaudit kapan dan seberapa sering otorisasi ditandatangani atas nama Anda.