Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Buat kunci KMS di toko kunci eksternal
Setelah Anda [membuat](create-xks-keystore.md) dan [menghubungkan](xks-connect-disconnect.md) toko kunci eksternal Anda, Anda dapat membuat AWS KMS keys di toko kunci Anda. Mereka harus [enkripsi simetris kunci KMS](symm-asymm-choose-key-spec.md#symmetric-cmks) dengan nilai asal dari **External key store** ()`EXTERNAL_KEY_STORE`. Anda tidak dapat membuat kunci [KMS asimetris, kunci](symmetric-asymmetric.md) KMS [HMAC atau kunci KMS](hmac.md) dengan [bahan kunci yang diimpor di toko kunci khusus](importing-keys.md). Selain itu, Anda tidak dapat menggunakan kunci KMS enkripsi simetris di toko kunci khusus untuk menghasilkan pasangan kunci data asimetris.
Kunci KMS di toko kunci eksternal mungkin memiliki latensi, daya tahan, dan ketersediaan yang lebih buruk daripada kunci KMS standar karena tergantung pada komponen yang berada di luar. AWS Sebelum membuat atau menggunakan kunci KMS di toko kunci eksternal, verifikasi bahwa Anda memerlukan kunci dengan properti penyimpanan kunci eksternal.
**catatan**
Beberapa manajer kunci eksternal menyediakan metode yang lebih sederhana untuk membuat kunci KMS di toko kunci eksternal. Untuk detailnya, lihat dokumentasi pengelola kunci eksternal Anda.
Untuk membuat kunci KMS di toko kunci eksternal Anda, Anda menentukan yang berikut ini:
+ ID toko kunci eksternal Anda.
+ [Asal bahan utama](create-keys.md#key-origin) dari toko kunci Eksternal (`EXTERNAL_KEY_STORE`).
+ ID [kunci eksternal](keystore-external.md#concept-external-key) yang ada di [pengelola kunci eksternal](keystore-external.md#concept-ekm) yang terkait dengan penyimpanan kunci eksternal Anda. Kunci eksternal ini berfungsi sebagai bahan utama untuk kunci KMS. Anda tidak dapat mengubah ID kunci eksternal setelah Anda membuat kunci KMS.
AWS KMS menyediakan ID kunci eksternal ke proxy penyimpanan kunci eksternal Anda dalam permintaan untuk operasi enkripsi dan dekripsi. AWS KMS tidak dapat langsung mengakses manajer kunci eksternal Anda atau kunci kriptografinya.
Selain kunci eksternal, kunci KMS di toko kunci eksternal juga memiliki bahan AWS KMS utama. Semua data yang dienkripsi di bawah kunci KMS pertama kali dienkripsi AWS KMS menggunakan bahan kunci kunci dan kemudian oleh manajer AWS KMS kunci eksternal Anda menggunakan kunci eksternal Anda. Proses [enkripsi ganda](keystore-external.md#concept-double-encryption) ini memastikan bahwa ciphertext yang dilindungi oleh kunci KMS di penyimpanan kunci eksternal setidaknya sekuat ciphertext yang hanya dilindungi oleh. AWS KMS Lihat perinciannya di [Cara kerja toko kunci eksternal](keystore-external.md#xks-how-it-works).
Ketika `CreateKey` operasi berhasil, [status kunci](key-state.md) dari kunci KMS baru adalah. `Enabled` Ketika Anda [melihat kunci KMS di penyimpanan kunci eksternal](identify-key-types.md#view-xks-key), Anda dapat melihat properti tipikal, seperti ID kunci, [spesifikasi kunci](create-keys.md#key-spec), [penggunaan kunci](create-keys.md#key-usage), [status kunci](key-state.md), dan tanggal pembuatan. Tetapi Anda juga dapat melihat ID dan [status koneksi](xks-connect-disconnect.md#xks-connection-state) dari penyimpanan kunci eksternal dan ID kunci eksternal.
Jika upaya Anda untuk membuat kunci KMS di penyimpanan kunci eksternal gagal, gunakan pesan kesalahan untuk mengidentifikasi penyebabnya. Ini mungkin menunjukkan bahwa penyimpanan kunci eksternal tidak terhubung (`CustomKeyStoreInvalidStateException`), bahwa proxy penyimpanan kunci eksternal Anda tidak dapat menemukan kunci eksternal dengan ID kunci eksternal yang ditentukan (`XksKeyNotFoundException`), atau bahwa kunci eksternal sudah dikaitkan dengan kunci KMS di penyimpanan `XksKeyAlreadyInUseException` kunci eksternal yang sama.
Untuk contoh AWS CloudTrail log operasi yang membuat kunci KMS di penyimpanan kunci eksternal, lihat[CreateKey](ct-createkey.md).
**Topics**
+ [Persyaratan untuk kunci KMS di toko kunci eksternal](#xks-key-requirements)
+ [Buat kunci KMS baru di toko kunci eksternal Anda](#create-key-xks)
## Persyaratan untuk kunci KMS di toko kunci eksternal
Untuk membuat kunci KMS di penyimpanan kunci eksternal, properti berikut diperlukan dari penyimpanan kunci eksternal, kunci KMS, dan kunci eksternal yang berfungsi sebagai bahan kunci kriptografi eksternal untuk kunci KMS.
**Persyaratan toko kunci eksternal**
+ Harus terhubung ke proxy penyimpanan kunci eksternal.
Untuk melihat [status koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci eksternal Anda, lihat[Lihat toko kunci eksternal](view-xks-keystore.md). Untuk menghubungkan toko kunci eksternal Anda, lihat[Connect dan lepaskan penyimpanan kunci eksternal](xks-connect-disconnect.md).
**Persyaratan utama KMS**
Anda tidak dapat mengubah properti ini setelah Anda membuat kunci KMS.
+ Spesifikasi kunci: SYMMETRIC\$1DEFAULT
+ Penggunaan kunci: ENCRYPT\$1DECRYPT
+ Asal bahan utama: EXTERNAL\$1KEY\$1STORE
+ Multi-Wilayah: SALAH
**Persyaratan kunci eksternal**
+ Kunci kriptografi AES 256-bit (256 bit acak). Kunci eksternal harus`AES_256`. `KeySpec`
+ Diaktifkan dan tersedia untuk digunakan. Kunci eksternal harus`ENABLED`. `Status`
+ Dikonfigurasi untuk enkripsi dan dekripsi. Kunci eksternal harus mencakup `ENCRYPT` dan`DECRYPT`. `KeyUsage`
+ Digunakan hanya dengan kunci KMS ini. Masing-masing `KMS key` di penyimpanan kunci eksternal harus dikaitkan dengan kunci eksternal yang berbeda.
AWS KMS juga merekomendasikan agar kunci eksternal digunakan secara eksklusif untuk penyimpanan kunci eksternal. Pembatasan ini membuatnya lebih mudah untuk mengidentifikasi dan menyelesaikan masalah dengan kunci.
+ Dapat diakses oleh [proxy penyimpanan kunci eksternal](keystore-external.md#concept-xks-proxy) untuk penyimpanan kunci eksternal.
Jika proxy penyimpanan kunci eksternal tidak dapat menemukan kunci menggunakan ID kunci eksternal yang ditentukan, `CreateKey` operasi gagal.
+ Dapat menangani lalu lintas yang diantisipasi yang Anda gunakan Layanan AWS menghasilkan. AWS KMS merekomendasikan agar kunci eksternal disiapkan untuk menangani hingga 1800 permintaan per detik.
## Buat kunci KMS baru di toko kunci eksternal Anda
Anda dapat membuat kunci KMS baru di toko kunci eksternal Anda di AWS KMS konsol atau dengan menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi.
### Menggunakan AWS KMS konsol
Ada dua cara untuk membuat kunci KMS di toko kunci eksternal.
+ Metode 1 (disarankan): Pilih penyimpanan kunci eksternal, lalu buat kunci KMS di toko kunci eksternal itu.
+ Metode 2: Buat kunci KMS, lalu tunjukkan bahwa itu ada di toko kunci eksternal.
Jika Anda menggunakan Metode 1, di mana Anda memilih penyimpanan kunci eksternal sebelum Anda membuat kunci Anda, AWS KMS memilih semua properti kunci KMS yang diperlukan untuk Anda dan mengisi ID penyimpanan kunci eksternal Anda. Metode ini menghindari kesalahan yang mungkin Anda buat saat membuat kunci KMS Anda.
**catatan**
Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.
**Metode 1 (disarankan): Mulai di toko kunci eksternal Anda**
Untuk menggunakan metode ini, pilih toko kunci eksternal Anda, lalu buat kunci KMS. AWS KMS Konsol memilih semua properti yang diperlukan untuk Anda dan mengisi ID penyimpanan kunci eksternal Anda. Metode ini menghindari banyak kesalahan yang mungkin Anda buat saat membuat kunci KMS Anda.
1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
1. Di panel navigasi, pilih **Toko kunci khusus, Toko** **kunci eksternal**.
1. Pilih nama toko kunci eksternal Anda.
1. Di pojok kanan atas, pilih **Buat kunci KMS di toko kunci ini**.
Jika toko kunci eksternal *tidak* terhubung, Anda akan diminta untuk menghubungkannya. Jika upaya koneksi gagal, Anda harus menyelesaikan masalah dan menghubungkan penyimpanan kunci eksternal sebelum Anda dapat membuat kunci KMS baru di dalamnya.
Jika penyimpanan kunci eksternal terhubung, Anda diarahkan ke halaman **kunci yang dikelola Pelanggan** untuk membuat kunci. Nilai **konfigurasi Kunci** yang diperlukan sudah dipilih untuk Anda. Juga, ID penyimpanan kunci khusus dari toko kunci eksternal Anda diisi, meskipun Anda dapat mengubahnya.
1. Masukkan ID kunci dari [kunci eksternal](keystore-external.md#concept-external-key) di [pengelola kunci eksternal](keystore-external.md#concept-ekm) Anda. Kunci eksternal ini harus [memenuhi persyaratan](#xks-key-requirements) untuk digunakan dengan kunci KMS. Anda tidak dapat mengubah nilai ini setelah kunci dibuat.
Jika kunci eksternal memiliki beberapa IDs, masukkan ID kunci yang digunakan proxy penyimpanan kunci eksternal untuk mengidentifikasi kunci eksternal.
1. Konfirmasikan bahwa Anda bermaksud membuat kunci KMS di toko kunci eksternal yang ditentukan.
1. Pilih **Berikutnya**.
Sisa dari prosedur ini sama dengan [membuat kunci KMS standar](create-keys.md).
1. Ketik alias (wajib) dan deskripsi (opsional) untuk kunci KMS.
1. (Opsional). Pada halaman **Tambah Tag**, tambahkan tag yang mengidentifikasi atau mengkategorikan kunci KMS Anda.
Saat Anda menambahkan tag ke AWS sumber daya Anda, AWS buat laporan alokasi biaya dengan penggunaan dan biaya yang dikumpulkan berdasarkan tag. Tag juga dapat digunakan untuk mengontrol akses ke kunci KMS. Untuk informasi tentang menandai kunci KMS, lihat [Tag di AWS KMS](tagging-keys.md) dan. [ABAC untuk AWS KMS](abac.md)
1. Pilih **Berikutnya**.
1. Di bagian **Key Administrators**, pilih pengguna IAM dan peran yang dapat mengelola kunci KMS. Untuk informasi selengkapnya, lihat [Mengizinkan administrator kunci mengelola kunci KMS](key-policy-default.md#key-policy-default-allow-administrators).
**catatan**
Kebijakan IAM dapat memberikan izin kepada pengguna dan peran IAM lainnya untuk menggunakan kunci KMS.
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensyal jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.
1. (Opsional) Untuk mencegah administrator kunci ini menghapus kunci KMS ini, hapus kotak centang **Izinkan administrator kunci untuk menghapus kunci ini**.
Menghapus kunci KMS adalah operasi destruktif dan ireversibel yang dapat membuat ciphertext tidak dapat dipulihkan. Anda tidak dapat membuat ulang kunci KMS simetris di penyimpanan kunci eksternal, bahkan jika Anda memiliki materi kunci eksternal. Namun, menghapus kunci KMS tidak berpengaruh pada kunci eksternal yang terkait. Untuk informasi tentang menghapus kunci KMS dari penyimpanan kunci eksternal, lihat [Pertimbangan khusus untuk](deleting-keys.md#special-considerations-delete) menghapus kunci.
1. Pilih **Berikutnya**.
1. Di bagian **Akun ini**, pilih pengguna IAM dan peran dalam hal ini Akun AWS yang dapat menggunakan kunci KMS dalam operasi [kriptografi](kms-cryptography.md#cryptographic-operations). Untuk informasi selengkapnya, lihat [Mengizinkan pengguna kunci menggunakan kunci KMS](key-policy-default.md#key-policy-default-allow-users).
**catatan**
Kebijakan IAM dapat memberikan izin kepada pengguna dan peran IAM lainnya untuk menggunakan kunci KMS.
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensyal jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di *Panduan Pengguna IAM*.
1. (Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, di Akun AWS bagian **Lain** di bagian bawah halaman, pilih **Tambahkan yang lain Akun AWS** dan masukkan Akun AWS ID akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.
**catatan**
Administrator dari pihak lain juga Akun AWS harus mengizinkan akses ke kunci KMS dengan membuat kebijakan IAM untuk pengguna mereka. Untuk informasi selengkapnya, lihat [Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS](key-policy-modifying-external-accounts.md).
1. Pilih **Selanjutnya**.
1. Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.
1. Setelah selesai, pilih **Selesai** untuk membuat kunci.
**Metode 2: Mulai di kunci yang dikelola Pelanggan**
Prosedur ini sama dengan prosedur untuk membuat kunci enkripsi simetris dengan bahan AWS KMS kunci. Namun, dalam prosedur ini, Anda menentukan ID penyimpanan kunci khusus dari penyimpanan kunci eksternal dan ID kunci dari kunci eksternal. Anda juga harus menentukan [nilai properti yang diperlukan](#xks-key-requirements) untuk kunci KMS di penyimpanan kunci eksternal, seperti spesifikasi kunci dan penggunaan kunci.
1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.
1. Pilih **Buat kunci**.
1. Pilih **Simetris**.
1. Dalam **Penggunaan kunci**, opsi **Enkripsi dan dekripsi** dipilih untuk Anda. Jangan mengubahnya.
1. Pilih **Opsi lanjutan**.
1. Untuk **asal bahan utama**, pilih **Toko kunci eksternal**.
1. Konfirmasikan bahwa Anda bermaksud membuat kunci KMS di toko kunci eksternal yang ditentukan.
1. Pilih **Berikutnya**.
1. Pilih baris yang mewakili penyimpanan kunci eksternal untuk kunci KMS baru Anda.
Anda tidak dapat memilih toko kunci eksternal yang terputus. Untuk menghubungkan toko kunci yang terputus, pilih nama toko kunci, dan kemudian, dari **tindakan Key Store**, pilih, **Connect**. Lihat perinciannya di [Menggunakan AWS KMS konsol](about-xks-connecting.md#connect-xks-console).
1. Masukkan ID kunci dari [kunci eksternal](keystore-external.md#concept-external-key) di [pengelola kunci eksternal](keystore-external.md#concept-ekm) Anda. Kunci eksternal ini harus [memenuhi persyaratan](#xks-key-requirements) untuk digunakan dengan kunci KMS. Anda tidak dapat mengubah nilai ini setelah kunci dibuat.
Jika kunci eksternal memiliki beberapa IDs, masukkan ID kunci yang digunakan proxy penyimpanan kunci eksternal untuk mengidentifikasi kunci eksternal.
1. Pilih **Berikutnya**.
Sisa dari prosedur ini sama dengan [membuat kunci KMS standar](create-keys.md).
1. Ketik alias dan deskripsi opsional untuk kunci KMS.
1. (Opsional). Pada halaman **Tambah Tag**, tambahkan tag yang mengidentifikasi atau mengkategorikan kunci KMS Anda.
Saat Anda menambahkan tag ke AWS sumber daya Anda, AWS buat laporan alokasi biaya dengan penggunaan dan biaya yang dikumpulkan berdasarkan tag. Tag juga dapat digunakan untuk mengontrol akses ke kunci KMS. Untuk informasi tentang menandai kunci KMS, lihat [Tag di AWS KMS](tagging-keys.md) dan. [ABAC untuk AWS KMS](abac.md)
1. Pilih **Berikutnya**.
1. Di bagian **Key Administrators**, pilih pengguna IAM dan peran yang dapat mengelola kunci KMS. Untuk informasi selengkapnya, lihat [Mengizinkan administrator kunci mengelola kunci KMS](key-policy-default.md#key-policy-default-allow-administrators).
**catatan**
Kebijakan IAM dapat memberikan izin kepada pengguna dan peran IAM lainnya untuk menggunakan kunci KMS.
1. (Opsional) Untuk mencegah administrator kunci ini menghapus kunci KMS ini, hapus kotak centang **Izinkan administrator kunci untuk menghapus kunci ini**.
Menghapus kunci KMS adalah operasi destruktif dan ireversibel yang dapat membuat ciphertext tidak dapat dipulihkan. Anda tidak dapat membuat ulang kunci KMS simetris di penyimpanan kunci eksternal, bahkan jika Anda memiliki materi kunci eksternal. Namun, menghapus kunci KMS tidak berpengaruh pada kunci eksternal yang terkait. Untuk informasi tentang menghapus kunci KMS dari penyimpanan kunci eksternal, lihat. [Menghapus sebuah AWS KMS key](deleting-keys.md)
1. Pilih **Berikutnya**.
1. Di bagian **Akun ini**, pilih pengguna IAM dan peran dalam hal ini Akun AWS yang dapat menggunakan kunci KMS dalam operasi [kriptografi](kms-cryptography.md#cryptographic-operations). Untuk informasi selengkapnya, lihat [Mengizinkan pengguna kunci menggunakan kunci KMS](key-policy-default.md#key-policy-default-allow-users).
**catatan**
Kebijakan IAM dapat memberikan izin kepada pengguna dan peran IAM lainnya untuk menggunakan kunci KMS.
1. (Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan kunci KMS ini untuk operasi kriptografi. Untuk melakukannya, di Akun AWS bagian **Lain** di bagian bawah halaman, pilih **Tambahkan yang lain Akun AWS** dan masukkan Akun AWS ID akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.
**catatan**
Administrator dari pihak lain juga Akun AWS harus mengizinkan akses ke kunci KMS dengan membuat kebijakan IAM untuk pengguna mereka. Untuk informasi selengkapnya, lihat [Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS](key-policy-modifying-external-accounts.md).
1. Pilih **Selanjutnya**.
1. Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.
1. Setelah selesai, pilih **Selesai** untuk membuat kunci.
Ketika prosedur berhasil, tampilan menunjukkan kunci KMS baru di toko kunci eksternal yang Anda pilih. Ketika Anda memilih nama atau alias kunci KMS baru, tab **konfigurasi Kriptografi** pada halaman detailnya menampilkan asal kunci KMS (**penyimpanan kunci eksternal**), nama, ID, dan jenis penyimpanan kunci kustom, dan ID, penggunaan kunci, dan status kunci eksternal. Jika prosedur gagal, muncul pesan kesalahan yang menjelaskan kegagalan. Untuk, lihat[Memecahkan masalah toko kunci eksternal](xks-troubleshooting.md).
**Tip**
Untuk mempermudah mengidentifikasi kunci KMS di toko kunci kustom, pada halaman **Kunci yang dikelola Pelanggan**, tambahkan kolom **ID penyimpanan kunci **Asal** dan Kustom** ke tampilan. Untuk mengubah bidang tabel, pilih ikon roda gigi di sudut kanan atas halaman. Lihat perinciannya di [Sesuaikan tampilan konsol Anda](viewing-console-customize.md).
### Menggunakan AWS KMS API
Untuk membuat kunci KMS baru di toko kunci eksternal, gunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi. Parameter-parameter berikut diperlukan:
+ Nilai `Origin` haruslah `EXTERNAL_KEY_STORE`.
+ `CustomKeyStoreId`Parameter mengidentifikasi penyimpanan kunci eksternal Anda. Penyimpanan kunci eksternal yang ditentukan harus`CONNECTED`. [`ConnectionState`](xks-connect-disconnect.md#xks-connection-state) Untuk menemukan `CustomKeyStoreId` dan`ConnectionState`, gunakan `DescribeCustomKeyStores` operasi.
+ `XksKeyId`Parameter mengidentifikasi kunci eksternal. Kunci eksternal ini harus [memenuhi persyaratan](#xks-key-requirements) untuk asosiasi dengan kunci KMS.
Anda juga dapat menggunakan salah satu parameter opsional `CreateKey` operasi, seperti menggunakan parameter `Policy` atau [Tag](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html).
**catatan**
Jangan sertakan informasi rahasia atau sensitif di `Tags` bidang `Description` atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.
Contoh dalam bagian ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.
Perintah contoh ini menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi untuk membuat kunci KMS di toko kunci eksternal. Respons mencakup properti kunci KMS, ID penyimpanan kunci eksternal, dan ID, penggunaan, dan status kunci eksternal.
Sebelum menjalankan perintah ini, ganti contoh ID penyimpanan kunci kustom dengan ID yang valid.
```
$ aws kms create-key --origin EXTERNAL_KEY_STORE --custom-key-store-id cks-1234567890abcdef0 --xks-key-id bb8562717f809024
{
"KeyMetadata": {
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"AWSAccountId": "111122223333",
"CreationDate": "2022-12-02T07:48:55-07:00",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"CustomKeyStoreId": "cks-1234567890abcdef0",
"Description": "",
"Enabled": true,
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyManager": "CUSTOMER",
"KeySpec": "SYMMETRIC_DEFAULT",
"KeyState": "Enabled",
"KeyUsage": "ENCRYPT_DECRYPT",
"MultiRegion": false,
"Origin": "EXTERNAL_KEY_STORE",
"XksKeyConfiguration": {
"Id": "bb8562717f809024"
}
}
}
```