Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Buat kunci KMS di toko AWS CloudHSM kunci
<a name="create-cmk-keystore"></a>

Setelah Anda membuat toko AWS CloudHSM kunci, Anda dapat membuat AWS KMS keys di toko kunci Anda. Mereka harus [enkripsi simetris kunci KMS](symm-asymm-choose-key-spec.md#symmetric-cmks) dengan bahan kunci yang AWS KMS menghasilkan. Anda tidak dapat membuat kunci [KMS asimetris, kunci](symmetric-asymmetric.md) KMS [HMAC atau kunci KMS](hmac.md) dengan [bahan kunci yang diimpor di toko kunci khusus](importing-keys.md). Selain itu, Anda tidak dapat menggunakan kunci KMS enkripsi simetris di toko kunci khusus untuk menghasilkan pasangan kunci data asimetris. KMS tidak dapat berkomunikasi IPv6 dengan toko-toko AWS CloudHSM utama.

Untuk membuat kunci KMS di penyimpanan AWS CloudHSM kunci, penyimpanan AWS CloudHSM kunci harus [terhubung ke AWS CloudHSM cluster terkait dan cluster](connect-keystore.md) harus berisi setidaknya dua aktif HSMs di Availability Zone yang berbeda. Untuk menemukan status koneksi dan jumlah HSMs, lihat [halaman toko AWS CloudHSM utama](view-keystore.md#view-keystore-console) di Konsol Manajemen AWS. Saat menggunakan operasi API, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi untuk memverifikasi bahwa penyimpanan AWS CloudHSM kunci terhubung. Untuk memverifikasi jumlah aktif HSMs di cluster dan Availability Zones mereka, gunakan AWS CloudHSM [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operasi.

Saat Anda membuat kunci KMS di toko AWS CloudHSM kunci Anda, AWS KMS buat kunci KMS. AWS KMS Tapi, itu menciptakan materi kunci untuk kunci KMS di AWS CloudHSM cluster terkait. Secara khusus AWS KMS , masuk ke cluster sebagai [`kmsuser`CU yang Anda buat](create-keystore.md#before-keystore). Kemudian ia menciptakan kunci simetris Advanced Encryption Standard (AES) 256-bit yang persisten, tidak dapat diekstraksi, di cluster. AWS KMS menetapkan nilai [atribut label kunci](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-attributes.html), yang hanya terlihat di cluster, ke Amazon Resource Name (ARN) dari kunci KMS.

Ketika perintah berhasil, [status kunci](key-state.md) dari kunci KMS baru adalah `Enabled` dan asalnya adalah. `AWS_CLOUDHSM` Anda tidak dapat mengubah asal kunci KMS apa pun setelah Anda membuatnya. Saat Anda melihat kunci KMS di penyimpanan AWS CloudHSM kunci di AWS KMS konsol atau dengan menggunakan [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operasi, Anda dapat melihat properti tipikal, seperti ID kunci, status kunci, dan tanggal pembuatannya. Tetapi Anda juga dapat melihat ID penyimpanan kunci kustom dan (secara opsional) ID klaster AWS CloudHSM . 

Jika upaya Anda untuk membuat kunci KMS di toko AWS CloudHSM kunci Anda gagal, gunakan pesan kesalahan untuk membantu Anda menentukan penyebabnya. Ini mungkin menunjukkan bahwa penyimpanan AWS CloudHSM kunci tidak terhubung (`CustomKeyStoreInvalidStateException`) atau AWS CloudHSM cluster terkait tidak memiliki dua aktif HSMs yang diperlukan untuk operasi ini (`CloudHsmClusterInvalidConfigurationException`). Untuk bantuan, lihat [Memecahkan masalah penyimpanan kunci kustom](fix-keystore.md).

Untuk contoh AWS CloudTrail log operasi yang membuat kunci KMS di toko AWS CloudHSM kunci, lihat[CreateKey](ct-createkey.md).

## Buat kunci KMS baru di toko kunci CloudHSM Anda
<a name="create-key-keystore"></a>

Anda dapat membuat kunci KMS enkripsi simetris di toko AWS CloudHSM kunci Anda di AWS KMS konsol atau dengan menggunakan operasi. [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)

### Menggunakan AWS KMS konsol
<a name="create-cmk-keystore-console"></a>

Gunakan prosedur berikut untuk membuat kunci KMS enkripsi simetris di toko AWS CloudHSM kunci. 

**catatan**  
Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.

1. Pilih **Buat kunci**.

1. Pilih **Simetris**.

1. Dalam **Penggunaan kunci**, opsi **Enkripsi dan dekripsi** dipilih untuk Anda. Jangan mengubahnya. 

1. Pilih **Opsi lanjutan**.

1. Untuk **asal bahan utama**, pilih **toko AWS CloudHSM kunci**.

   Anda tidak dapat membuat kunci Multi-wilayah di toko AWS CloudHSM kunci.

1. Pilih **Berikutnya**.

1. Pilih toko AWS CloudHSM kunci untuk kunci KMS baru Anda. Untuk membuat toko AWS CloudHSM kunci baru, pilih **Buat toko kunci khusus**.

   Toko AWS CloudHSM kunci yang Anda pilih harus memiliki status **Terhubung**. AWS CloudHSM Cluster yang terkait harus aktif dan berisi setidaknya dua aktif HSMs di Availability Zone yang berbeda. 

   Untuk bantuan menghubungkan toko AWS CloudHSM kunci, lihat[Putuskan sambungan toko AWS CloudHSM kunci](connect-keystore.md). Untuk bantuan menambahkan HSMs, lihat [Menambahkan HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm) di *Panduan AWS CloudHSM Pengguna*.

1. Pilih **Berikutnya**.

1. Ketik alias dan deskripsi opsional untuk kunci KMS.

1. (Opsional). Pada halaman **Tambah Tag**, tambahkan tag yang mengidentifikasi atau mengkategorikan kunci KMS Anda.

   Saat menambahkan tag ke AWS sumber daya, buat AWS laporan alokasi biaya dengan penggunaan dan biaya yang dikumpulkan berdasarkan tag. Tag juga dapat digunakan untuk mengontrol akses ke kunci KMS. Untuk informasi tentang menandai kunci KMS, lihat [Tag di AWS KMS](tagging-keys.md) dan. [ABAC untuk AWS KMS](abac.md) 

1. Pilih **Berikutnya**.

1. Di bagian **Administrator Kunci**, pilih pengguna IAM dan peran yang dapat mengelola kunci KMS. Untuk informasi selengkapnya, lihat [Mengizinkan administrator kunci mengelola kunci KMS](key-policy-default.md#key-policy-default-allow-administrators).
**Catatan**  
Kebijakan IAM dapat memberikan izin kepada pengguna dan peran IAM lainnya untuk menggunakan kunci KMS.  
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.  
 AWS KMS Konsol menambahkan administrator kunci ke kebijakan kunci di bawah pengenal `"Allow access for Key Administrators"` pernyataan. Memodifikasi pengenal pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

1. (Opsional) Untuk mencegah administrator kunci ini menghapus kunci KMS ini, kosongkan kotak di bagian bawah halaman untuk **Izinkan administrator kunci untuk menghapus kunci** ini.

1. Pilih **Berikutnya**.

1. Di bagian **Akun ini**, pilih pengguna IAM dan peran dalam hal ini Akun AWS yang dapat menggunakan kunci KMS dalam operasi [kriptografi](kms-cryptography.md#cryptographic-operations). Untuk informasi selengkapnya, lihat [Mengizinkan pengguna kunci menggunakan kunci KMS](key-policy-default.md#key-policy-default-allow-users).
**Catatan**  
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.  
 AWS KMS Konsol menambahkan pengguna kunci ke kebijakan kunci di bawah pengidentifikasi pernyataan `"Allow use of the key"` dan`"Allow attachment of persistent resources"`. Memodifikasi pengidentifikasi pernyataan ini dapat memengaruhi cara konsol menampilkan pembaruan yang Anda buat pada pernyataan tersebut.

1. (Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, di Akun AWS bagian **Lain** di bagian bawah halaman, pilih **Tambahkan yang lain Akun AWS** dan masukkan Akun AWS ID akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.
**catatan**  
Administrator dari pihak lain juga Akun AWS harus mengizinkan akses ke kunci KMS dengan membuat kebijakan IAM untuk pengguna mereka. Untuk informasi selengkapnya, lihat [Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS](key-policy-modifying-external-accounts.md).

1. Pilih **Berikutnya**.

1. Tinjau pernyataan kebijakan utama untuk kunci tersebut. Untuk membuat perubahan pada kebijakan utama, pilih **Edit**.

1. Pilih **Berikutnya**.

1. Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.

1. Setelah selesai, pilih **Selesai** untuk membuat kunci.

Ketika prosedur berhasil, tampilan menunjukkan kunci KMS baru di toko AWS CloudHSM kunci yang Anda pilih. Saat Anda memilih nama atau alias kunci KMS baru, tab **konfigurasi Kriptografi** pada halaman detailnya menampilkan asal kunci KMS (**AWS CloudHSM**), nama, ID, dan jenis penyimpanan kunci khusus, dan ID cluster. AWS CloudHSM Jika prosedur gagal, muncul pesan kesalahan yang menjelaskan kegagalan.

**Tip**  
Untuk mempermudah mengidentifikasi kunci KMS di toko kunci kustom, pada halaman **Kunci yang dikelola Pelanggan**, tambahkan kolom **ID penyimpanan kunci kustom** ke tampilan. Klik ikon roda gigi di kanan atas dan pilih **ID penyimpanan kunci kustom**. Lihat perinciannya di [Sesuaikan tampilan konsol Anda](viewing-console-customize.md).

### Menggunakan AWS KMS API
<a name="create-cmk-keystore-api"></a>

Untuk membuat AWS KMS key (kunci KMS) baru di toko AWS CloudHSM kunci Anda, gunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi. Gunakan parameter `CustomKeyStoreId` untuk mengidentifikasi penyimpanan kunci kustom Anda dan menentukan nilai `Origin` dari `AWS_CLOUDHSM`. 

Anda mungkin juga ingin menggunakan parameter `Policy` untuk menentukan kebijakan kunci. Anda dapat mengubah kebijakan kunci ([PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)) dan menambahkan elemen opsional, seperti [deskripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) dan [tag](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) kapan saja.

Contoh dalam bagian ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Contoh berikut dimulai dengan panggilan ke [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi untuk memverifikasi bahwa penyimpanan AWS CloudHSM kunci terhubung ke AWS CloudHSM cluster terkait. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah Anda. Untuk menggambarkan hanya penyimpanan AWS CloudHSM kunci tertentu, gunakan `CustomKeyStoreId` atau `CustomKeyStoreName` parameternya (tetapi tidak keduanya).

Sebelum menjalankan perintah ini, ganti contoh ID penyimpanan kunci kustom dengan ID yang valid.

**catatan**  
Jangan sertakan informasi rahasia atau sensitif di `Tags` bidang `Description` atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS CloudHSM key store",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}
```

Contoh perintah berikutnya menggunakan [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operasi untuk memverifikasi bahwa AWS CloudHSM cluster yang terkait dengan `ExampleKeyStore` (cluster-1a23b4cdefg) memiliki setidaknya dua aktif. HSMs Jika cluster memiliki kurang dari dua HSMs, `CreateKey` operasi gagal.

```
$ aws cloudhsmv2 describe-clusters
{
    "Clusters": [
        {
            "SubnetMapping": {
               ...
            },
            "CreateTimestamp": 1507133412.351,
            "ClusterId": "cluster-1a23b4cdefg",
            "SecurityGroup": "sg-865af2fb",
            "HsmType": "hsm1.medium",
            "VpcId": "vpc-1a2b3c4d",
            "BackupPolicy": "DEFAULT",
            "Certificates": {
                "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n"
            },
            "Hsms": [
                {
                    "AvailabilityZone": "us-west-2a",
                    "EniIp": "10.0.1.11",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-a6b10bd1",
                    "HsmId": "hsm-abcdefghijk",
                    "State": "ACTIVE"
                },
                {
                    "AvailabilityZone": "us-west-2b",
                    "EniIp": "10.0.0.2",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-b6b10bd2",
                    "HsmId": "hsm-zyxwvutsrqp",
                    "State": "ACTIVE"
                },
            ],
            "State": "ACTIVE"
        }
    ]
}
```

Perintah contoh ini menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi untuk membuat kunci KMS di toko AWS CloudHSM kunci. Untuk membuat kunci KMS di toko AWS CloudHSM kunci, Anda harus memberikan ID penyimpanan kunci kustom dari toko AWS CloudHSM kunci dan menentukan `Origin` nilai`AWS_CLOUDHSM`.

Responsnya IDs mencakup penyimpanan kunci khusus dan AWS CloudHSM cluster. 

Sebelum menjalankan perintah ini, ganti contoh ID penyimpanan kunci kustom dengan ID yang valid.

```
$ aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-id cks-1234567890abcdef0
{
  "KeyMetadata": {
    "AWSAccountId": "111122223333",
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "CreationDate": 1.499288695918E9,
    "Description": "Example key",
    "Enabled": true,
    "MultiRegion": false,
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",    
    "Origin": "AWS_CLOUDHSM"
    "CloudHsmClusterId": "cluster-1a23b4cdefg",
    "CustomKeyStoreId": "cks-1234567890abcdef0"
    "KeySpec": "SYMMETRIC_DEFAULT",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "EncryptionAlgorithms": [
        "SYMMETRIC_DEFAULT"
    ]
  }
}
```