Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Hasilkan kunci data
*Kunci data adalah kunci* simetris yang dapat Anda gunakan untuk mengenkripsi data, termasuk sejumlah besar data dan kunci enkripsi data lainnya. Tidak seperti kunci KMS simetris, yang tidak dapat diunduh, kunci data dikembalikan kepada Anda untuk digunakan di luar. AWS KMS
Saat AWS KMS menghasilkan kunci data, ia mengembalikan kunci data plaintext untuk segera digunakan (opsional) dan salinan kunci data terenkripsi yang dapat Anda simpan dengan aman bersama data. Ketika Anda siap untuk mendekripsi data, pertama-tama Anda meminta AWS KMS untuk mendekripsi kunci data terenkripsi.
AWS KMS menghasilkan, mengenkripsi, dan mendekripsi kunci data. Namun, AWS KMS tidak menyimpan, mengelola, atau melacak kunci data Anda, atau melakukan operasi kriptografi dengan kunci data. Anda harus menggunakan dan mengelola kunci data di luar AWS KMS. Untuk bantuan menggunakan kunci data dengan aman, lihat. [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)
**Topics**
+ [Membuat kunci data](#data-keys-create)
+ [Bagaimana operasi kriptografi dengan kunci data bekerja](#use-data-keys)
+ [Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data](unusable-kms-keys.md)
## Membuat kunci data
Untuk membuat kunci data, panggil [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operasi. AWS KMS menghasilkan kunci data. Kemudian mengenkripsi salinan kunci data di bawah kunci [KMS enkripsi simetris](symm-asymm-choose-key-spec.md#symmetric-cmks) yang Anda tentukan. Operasi mengembalikan salinan plaintext dari kunci data dan salinan kunci data yang dienkripsi di bawah kunci KMS. Gambar berikut menunjukkan operasi ini.
AWS KMS juga mendukung [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)operasi, yang mengembalikan hanya kunci data terenkripsi. Saat Anda perlu menggunakan kunci data, minta AWS KMS untuk [mendekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html).
## Bagaimana operasi kriptografi dengan kunci data bekerja
Topik berikut menjelaskan bagaimana kunci data yang dihasilkan oleh pekerjaan [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)atau [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)operasi.
### Mengenkripsi data dengan kunci data
AWS KMS tidak dapat menggunakan kunci data untuk mengenkripsi data. Tetapi Anda dapat menggunakan kunci data di luar AWS KMS, seperti dengan menggunakan OpenSSL atau pustaka kriptografi seperti. [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)
Setelah menggunakan kunci data plaintext untuk mengenkripsi data, hapus kunci data dari memori sesegera mungkin. Anda dapat dengan aman menyimpan kunci data terenkripsi dengan data terenkripsi sehingga tersedia untuk mendekripsi data.
### Mendekripsi data dengan kunci data
[Untuk mendekripsi data Anda, teruskan kunci data terenkripsi ke operasi Dekripsi.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) AWS KMS menggunakan kunci KMS Anda untuk mendekripsi kunci data dan kemudian mengembalikan kunci data plaintext. Gunakan kunci data plaintext untuk mendekripsi data Anda kemudian hapus kunci data plaintext dari memori sesegera mungkin.
Diagram berikut menunjukkan cara menggunakan operasi `Decrypt` untuk mendekripsi kunci data terenkripsi.
