Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Buat kunci KMS asimetris
<a name="asymm-create-key"></a>

[Anda dapat membuat [kunci KMS asimetris](symmetric-asymmetric.md) di AWS KMS konsol, dengan menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API, atau dengan menggunakan template. AWS::KMS::Key CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) Kunci KMS asimetris mewakili key pair publik dan pribadi yang dapat digunakan untuk enkripsi, penandatanganan, atau menurunkan rahasia bersama. Kunci privat tetap ada di dalam AWS KMS. Untuk mengunduh kunci publik untuk digunakan di luar AWS KMS, lihat[Unduh kunci publik](download-public-key.md).

Saat Anda membuat kunci KMS asimetris, Anda harus memilih spesifikasi kunci. Seringkali spesifikasi kunci yang Anda pilih ditentukan oleh persyaratan peraturan, keamanan, atau bisnis. Mungkin juga dipengaruhi oleh ukuran pesan yang harus Anda enkripsi atau tanda tangani. Secara umum, kunci enkripsi yang lebih panjang lebih tahan terhadap serangan brutal. Untuk penjelasan rinci tentang semua spesifikasi utama yang didukung, lihat[Referensi spesifikasi kunci](symm-asymm-choose-key-spec.md).

AWS layanan yang terintegrasi dengan AWS KMS tidak mendukung kunci KMS asimetris. Jika Anda ingin membuat kunci KMS yang mengenkripsi data yang Anda simpan atau kelola dalam suatu AWS layanan, [buat kunci KMS enkripsi simetris](create-symmetric-cmk.md). 

Untuk informasi tentang izin yang diperlukan untuk membuat kunci KMS, lihat. [Izin untuk membuat kunci KMS](create-keys.md#create-key-permissions)

## Menggunakan AWS KMS konsol
<a name="create-asymmetric-keys-console"></a>

Anda dapat menggunakan tombol Konsol Manajemen AWS untuk membuat asimetris AWS KMS keys (tombol KMS). Setiap kunci KMS asimetris mewakili public dan private key pair.

**penting**  
Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.

1. Pilih **Buat kunci**.

1. **Untuk membuat kunci KMS asimetris, dalam **Key type,** pilih Asymmetric.**

1. Untuk membuat kunci KMS asimetris untuk enkripsi kunci publik, dalam **penggunaan Kunci**, pilih **Enkripsi dan dekripsi**. 

   **Untuk membuat kunci KMS asimetris untuk menandatangani pesan dan memverifikasi tanda tangan, dalam **Penggunaan kunci**, pilih Masuk dan verifikasi.**

   **Untuk membuat kunci KMS asimetris untuk mendapatkan rahasia bersama, dalam **penggunaan Kunci**, pilih Perjanjian kunci.**

   Untuk bantuan memilih nilai penggunaan kunci, lihat [Memilih jenis kunci KMS apa yang akan dibuat](create-keys.md#symm-asymm-choose).

1. Pilih spesifikasi (**Spesifikasi kunci**) untuk kunci KMS asimetris Anda. 

1. Pilih **Berikutnya**.

1. Ketik [alias](kms-alias.md) untuk kunci KMS. Nama alias tidak dapat dimulai dengan **aws/**. **aws/**Awalan dicadangkan oleh Amazon Web Services untuk mewakili Kunci yang dikelola AWS di akun Anda.

   *Alias* adalah nama ramah yang dapat Anda gunakan untuk mengidentifikasi kunci KMS di konsol dan beberapa. AWS KMS APIs Kami menyarankan Anda memilih alias yang menunjukkan jenis data yang Anda rencanakan untuk dilindungi atau aplikasi yang Anda rencanakan untuk digunakan dengan kunci KMS. 

   Alias diperlukan saat Anda membuat kunci KMS di file. Konsol Manajemen AWS Anda tidak dapat menentukan alias ketika Anda menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi, tetapi Anda dapat menggunakan konsol atau [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operasi untuk membuat alias untuk kunci KMS yang ada. Lihat perinciannya di [Alias di AWS KMS](kms-alias.md).

1. (Opsional) Ketik deskripsi untuk kunci KMS.

   Masukkan deskripsi yang menjelaskan jenis data yang Anda rencanakan untuk dilindungi atau aplikasi yang Anda rencanakan untuk digunakan dengan kunci KMS.

   Anda dapat menambahkan deskripsi sekarang atau memperbaruinya kapan saja kecuali [status kuncinya](key-state.md) adalah `Pending Deletion` atau`Pending Replica Deletion`. Untuk menambah, mengubah, atau menghapus deskripsi kunci terkelola pelanggan yang ada, edit deskripsi pada halaman detail untuk kunci KMS di Konsol Manajemen AWS atau gunakan [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)operasi.

1. (Opsional) Ketik kunci tanda dan nilai tanda opsional. Untuk menambahkan lebih dari satu tag ke tombol KMS, pilih **Tambah tag**.

   Saat Anda menambahkan tag ke AWS sumber daya Anda, AWS buat laporan alokasi biaya dengan penggunaan dan biaya yang dikumpulkan berdasarkan tag. Tag juga dapat digunakan untuk mengontrol akses ke kunci KMS. Untuk informasi tentang menandai kunci KMS, lihat [Tag di AWS KMS](tagging-keys.md) dan. [ABAC untuk AWS KMS](abac.md) 

1. Pilih **Berikutnya**.

1. Pilih pengguna IAM dan peran yang dapat mengelola kunci KMS.
**Catatan**  
Kebijakan kunci ini memberikan kontrol Akun AWS penuh atas kunci KMS ini. Ini memungkinkan administrator akun untuk menggunakan kebijakan IAM untuk memberikan izin kepada prinsipal lain untuk mengelola kunci KMS. Lihat perinciannya di [Kebijakan kunci default](key-policy-default.md).  
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensil jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.  
 AWS KMS Konsol menambahkan administrator kunci ke kebijakan kunci di bawah pengenal `"Allow access for Key Administrators"` pernyataan. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

1. (Opsional) Untuk mencegah pengguna dan peran IAM yang dipilih menghapus kunci KMS ini, di bagian **Penghapusan kunci** di bagian bawah halaman, kosongkan kotak centang **Izinkan administrator kunci untuk menghapus kunci** ini.

1. Pilih **Berikutnya**.

1. Pilih pengguna IAM dan peran yang dapat menggunakan kunci KMS untuk operasi [kriptografi](kms-cryptography.md#cryptographic-operations).
**Catatan**  
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensil jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.  
 AWS KMS Konsol menambahkan pengguna kunci ke kebijakan kunci di bawah pengidentifikasi pernyataan `"Allow use of the key"` dan`"Allow attachment of persistent resources"`. Memodifikasi pengidentifikasi pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

1. (Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, dalam bagian **Lainnya Akun AWS** di bawah halaman, pilih **Tambahkan Akun AWS lain** dan masukkan nomor identifikasi Akun AWS akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.
**catatan**  
Untuk mengizinkan prinsipal di akun eksternal menggunakan kunci KMS, administrator akun eksternal harus membuat kebijakan IAM yang memberikan izin ini. Untuk informasi selengkapnya, lihat [Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS](key-policy-modifying-external-accounts.md).

1. Pilih **Berikutnya**.

1. Tinjau pernyataan kebijakan utama untuk kunci tersebut. Untuk membuat perubahan pada kebijakan utama, pilih **Edit**.

1. Pilih **Berikutnya**.

1. Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.

1. Pilih **Selesai** untuk membuat kunci KMS.

## Menggunakan AWS KMS API
<a name="create-asymmetric-keys-api"></a>

Anda dapat menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi untuk membuat asimetris AWS KMS key. Contoh-contoh ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Saat Anda membuat kunci KMS asimetris, Anda harus menentukan `KeySpec` parameter, yang menentukan jenis kunci yang Anda buat. Juga, Anda harus menentukan `KeyUsage` nilai ENCRYPT\$1DECRYPT, SIGN\$1VERIFY, atau KEY\$1AGREEMENT. Anda tidak dapat mengubah properti ini setelah kunci KMS dibuat.

`CreateKey`Operasi tidak memungkinkan Anda menentukan alias, tetapi Anda dapat menggunakan [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operasi untuk membuat alias untuk kunci KMS baru Anda.

**penting**  
Jangan sertakan informasi rahasia atau sensitif di `Tags` bidang `Description` atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

**Buat key pair KMS asimetris untuk enkripsi publik**  
Contoh berikut menggunakan `CreateKey` operasi untuk membuat kunci KMS asimetris dari kunci RSA 4096-bit yang dirancang untuk enkripsi kunci publik.

```
$ aws kms create-key --key-spec RSA_4096 --key-usage ENCRYPT_DECRYPT
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1569973196.214,
        "MultiRegion": false,
        "KeySpec": "RSA_4096",
        "CustomerMasterKeySpec": "RSA_4096",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "EncryptionAlgorithms": [
            "RSAES_OAEP_SHA_1",
            "RSAES_OAEP_SHA_256"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}
```

**Buat key pair KMS asimetris untuk penandatanganan dan verifikasi**  
Contoh perintah berikut membuat kunci KMS asimetris yang mewakili sepasang kunci ECC yang digunakan untuk penandatanganan dan verifikasi. Anda tidak dapat membuat pasangan kunci kurva elips untuk enkripsi dan dekripsi.

```
$ aws kms create-key --key-spec ECC_NIST_P521 --key-usage SIGN_VERIFY
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1570824817.837,
        "Origin": "AWS_KMS",
        "SigningAlgorithms": [
            "ECDSA_SHA_512"
        ],
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "AWSAccountId": "111122223333",
        "KeySpec": "ECC_NIST_P521",
        "CustomerMasterKeySpec": "ECC_NIST_P521",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Enabled": true,
        "MultiRegion": false,
        "KeyUsage": "SIGN_VERIFY"
    }
}
```

**Buat key pair KMS asimetris untuk mendapatkan rahasia bersama**  
Contoh perintah berikut membuat kunci KMS asimetris yang mewakili sepasang kunci ECDH yang digunakan untuk menurunkan rahasia bersama. Anda tidak dapat membuat pasangan kunci kurva elips untuk enkripsi dan dekripsi.

```
$ aws kms create-key --key-spec ECC_NIST_P256 --key-usage KEY_AGREEMENT
{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": "2023-12-27T19:10:15.063000+00:00",
        "Enabled": true,
        "Description": "",
        "KeyUsage": "KEY_AGREEMENT",
        "KeyState": "Enabled",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "ECC_NIST_P256",
        "KeySpec": "ECC_NIST_P256",
        "KeyAgreementAlgorithms": [
            "ECDH"
        ],
        "MultiRegion": false
    }
}
```