Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Langkah 1: Buat materi AWS KMS key tanpa kunci
Secara default, AWS KMS buat materi kunci untuk Anda saat Anda membuat kunci KMS. Untuk mengimpor materi kunci Anda sendiri, mulailah dengan membuat kunci KMS tanpa materi kunci. Kemudian impor bahan kunci. Untuk membuat kunci KMS tanpa bahan kunci, gunakan AWS KMS konsol atau [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi.
Untuk membuat kunci tanpa bahan kunci, tentukan [asal](create-keys.md#key-origin)`EXTERNAL`. Properti asal kunci KMS tidak dapat diubah. Setelah Anda membuatnya, Anda tidak dapat mengonversi kunci KMS yang dirancang untuk materi kunci yang diimpor menjadi kunci KMS dengan bahan kunci dari AWS KMS atau sumber lainnya.
[Status kunci](key-state.md) dari kunci KMS dengan `EXTERNAL` asal dan tidak ada bahan kunci adalah`PendingImport`. Kunci KMS dapat tetap dalam `PendingImport` keadaan tanpa batas waktu. Namun, Anda tidak dapat menggunakan kunci KMS dalam `PendingImport` keadaan dalam operasi kriptografi. Saat Anda mengimpor materi kunci, status kunci kunci KMS berubah menjadi`Enabled`, dan Anda dapat menggunakannya dalam operasi kriptografi.
AWS KMS merekam peristiwa di AWS CloudTrail log Anda saat Anda [membuat kunci KMS, mengunduh kunci](ct-createkey.md) [publik dan token impor](ct-getparametersforimport.md), dan [mengimpor materi kunci](ct-importkeymaterial.md). AWS KMS juga mencatat CloudTrail peristiwa saat Anda [menghapus materi kunci yang diimpor atau saat AWS KMS menghapus materi kunci](ct-deleteimportedkeymaterial.md) [yang kedaluwarsa](ct-deleteexpiredkeymaterial.md).
**Topics**
+ [Membuat kunci KMS tanpa bahan kunci (konsol)](#importing-keys-create-cmk-console)
+ [Membuat kunci KMS tanpa materi kunci (AWS KMS API)](#importing-keys-create-cmk-api)
## Membuat kunci KMS tanpa bahan kunci (konsol)
Anda hanya perlu membuat kunci KMS untuk materi kunci yang diimpor sekali. Anda dapat mengimpor dan mengimpor kembali materi kunci yang sama ke kunci KMS yang ada sesering yang Anda butuhkan, tetapi Anda tidak dapat mengimpor materi kunci yang berbeda ke dalam kunci KMS. Lihat perinciannya di [Langkah 2: Unduh kunci publik pembungkus dan token impor](importing-keys-get-public-key-and-token.md).
Untuk menemukan kunci KMS yang ada dengan materi kunci yang diimpor di tabel **kunci yang dikelola Pelanggan** Anda, gunakan ikon roda gigi di sudut kanan atas untuk menampilkan kolom **Asal** dalam daftar kunci KMS. Kunci yang diimpor memiliki nilai **Asal** **Eksternal (Bahan Kunci Impor)**.
Untuk membuat kunci KMS dengan materi kunci impor, mulailah dengan mengikuti [petunjuk untuk membuat kunci KMS dari jenis kunci pilihan Anda](create-keys.md), dengan pengecualian berikut.
Setelah memilih penggunaan kunci, lakukan hal berikut:
1. Perluas **Opsi lanjutan**.
1. Untuk **asal bahan utama**, pilih **Eksternal (Impor bahan kunci)**.
1. Pilih kotak centang di sebelah **Saya memahami implikasi keamanan dan daya tahan menggunakan kunci impor** untuk menunjukkan bahwa Anda memahami implikasi penggunaan bahan kunci impor. Untuk membaca tentang implikasi ini, lihat [Melindungi material kunci yang diimpor](import-keys-protect.md).
1. **Opsional: Untuk membuat kunci [KMS Multi-wilayah dengan bahan kunci](multi-region-keys-overview.md) yang diimpor, di bawah **Regionalitas pilih Multi-Region** key.**
1. Kembali ke instruksi dasar. Langkah-langkah yang tersisa dari prosedur dasar adalah sama untuk semua kunci KMS dari jenis itu.
Ketika Anda memilih **Selesai**, Anda telah membuat kunci KMS tanpa materi kunci dan status ([status kunci](key-state.md)) dari **impor Tertunda**.
Namun, alih-alih kembali ke tabel **kunci terkelola Pelanggan**, konsol menampilkan halaman tempat Anda dapat mengunduh kunci publik dan mengimpor token yang Anda perlukan untuk mengimpor materi kunci Anda. Anda dapat melanjutkan dengan langkah download sekarang, atau pilih **Cancel** untuk berhenti pada titik ini. Anda dapat kembali ke langkah pengunduhan ini kapan saja.
Selanjutnya: [Langkah 2: Unduh kunci publik pembungkus dan token impor](importing-keys-get-public-key-and-token.md).
## Membuat kunci KMS tanpa materi kunci (AWS KMS API)
Untuk menggunakan [AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) untuk membuat kunci KMS enkripsi simetris tanpa bahan kunci, kirim [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)permintaan dengan `Origin` parameter yang disetel ke. `EXTERNAL` Contoh berikut ini menunjukkan cara melakukan dengan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/).
```
$ aws kms create-key --origin EXTERNAL
```
Ketika perintah berhasil, Anda melihat output yang serupa dengan berikut ini. AWS KMS Kuncinya `Origin` adalah `EXTERNAL` dan `KeyState` itu adalah`PendingImport`.
**Tip**
Jika perintah tidak berhasil, Anda mungkin melihat a `KMSInvalidStateException` atau a`NotFoundException`. Anda dapat mencoba kembali permintaan tersebut.
```
{
"KeyMetadata": {
"Origin": "EXTERNAL",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"Enabled": false,
"MultiRegion": false,
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "PendingImport",
"CreationDate": 1568289600.0,
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"AWSAccountId": "111122223333",
"KeyManager": "CUSTOMER",
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
]
}
}
```
Salin `KeyId` nilai dari output perintah Anda untuk digunakan di langkah selanjutnya, dan kemudian lanjutkan ke[Langkah 2: Unduh kunci publik pembungkus dan token impor](importing-keys-get-public-key-and-token.md).
**catatan**
Perintah ini menciptakan kunci KMS enkripsi simetris dengan `KeySpec` dari `SYMMETRIC_DEFAULT` dan `KeyUsage` dari. `ENCRYPT_DECRYPT` Anda dapat menggunakan parameter opsional `--key-spec` dan `--key-usage` untuk membuat kunci KMS asimetris atau HMAC. Untuk informasi lebih lanjut, lihat [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi.