Langkah 4: Impor material kunci - AWS Key Management Service
Mengatur waktu kedaluwarsa (opsional)Tetapkan deskripsi bahan utamaMengimpor materi kunci baruImpor ulang bahan kunciMaterial kunci impor (konsol)Impor bahan kunci (AWS KMS API)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 4: Impor material kunci

Setelah Anda mengenkripsi materi kunci Anda, Anda dapat mengimpor materi kunci untuk digunakan dengan file AWS KMS key. Untuk mengimpor material kunci, Anda mengunggah materi kunci terenkripsi dari Langkah 3: Enkripsi material kunci dan token impor yang Anda unduh di Langkah 2: Unduh kunci publik pembungkus dan token impor. Anda harus mengimpor materi kunci ke kunci KMS yang sama dengan yang Anda tentukan saat mengunduh kunci publik dan token impor. Ketika materi kunci berhasil diimpor, status kunci kunci KMS berubah menjadiEnabled, dan Anda dapat menggunakan kunci KMS dalam operasi kriptografi.

Saat Anda mengimpor materi kunci, Anda dapat mengatur waktu kedaluwarsa opsional untuk materi utama. Ketika materi kunci kedaluwarsa, AWS KMS menghapus materi kunci dan kunci KMS menjadi tidak dapat digunakan. Setelah mengimpor materi kunci, Anda tidak dapat mengatur, mengubah, atau membatalkan tanggal kedaluwarsa untuk impor saat ini. Untuk mengubah nilai-nilai ini, Anda harus mengimpor ulang materi kunci yang sama.

Untuk semua kunci KMS dengan EXTERNAL asal, bahan kunci pertama yang diimpor ke dalamnya menjadi terkini dan secara permanen terkait dengannya. Kunci enkripsi simetris dengan dukungan EXTERNAL asal rotasi sesuai permintaan. Anda dapat mengaitkan beberapa materi utama dengan kunci impor yang mendukung rotasi sesuai permintaan. Proses untuk mengimpor bahan kunci baru berbeda untuk kunci Single-region dan Multi-region seperti yang dijelaskan di bagian Impor materi kunci baru. Anda harus mengatur importType parameter NEW_KEY_MATERIAL dengan ImportKeyMaterialtindakan untuk mengaitkan materi kunci baru dengan kunci KMS. Nilai default dari ImportType parameter opsional adalahEXISTING_KEY_MATERIAL. Ketika Anda menghilangkan ImportType parameter atau menentukannya sebagaiEXISTING_KEY_MATERIAL, Anda harus mengimpor bahan kunci yang sebelumnya dikaitkan dengan kunci KMS.

Untuk kunci asimetris, atau HMAC KMS dengan EXTERNAL asal, hanya satu bahan kunci yang dapat dikaitkan dengan kunci tersebut. AWS KMS akan menolak permintaan ImportKeyMaterialAPI dengan ImportType parameter.

Ketika semua materi kunci yang secara permanen terkait dengan kunci KMS diimpor, kunci KMS tersedia untuk digunakan dalam operasi kriptografi. Jika salah satu dari materi utama ini dihapus atau dibiarkan kedaluwarsa, status kunci KMS berubah menjadi PendingImport dan kuncinya tidak dapat digunakan untuk operasi kriptografi.

Untuk mengimpor materi kunci, Anda dapat menggunakan AWS KMS konsol atau ImportKeyMaterialAPI. Anda dapat menggunakan API secara langsung dengan membuat permintaan HTTP, atau dengan menggunakan AWS SDKs, AWS Command Line Interfaceatau AWS Tools for PowerShell.

Saat Anda mengimpor materi kunci, ImportKeyMaterialentri ditambahkan ke AWS CloudTrail log Anda untuk merekam ImportKeyMaterial operasi. CloudTrail Entri adalah sama apakah Anda menggunakan AWS KMS konsol atau AWS KMS API.

Mengatur waktu kedaluwarsa (opsional)

Ketika Anda mengimpor materi kunci untuk kunci KMS Anda, Anda dapat menetapkan tanggal kedaluwarsa opsional dan waktu untuk materi kunci hingga 365 hari dari tanggal impor. Ketika materi kunci impor kedaluwarsa, AWS KMS menghapusnya. Tindakan ini mengubah status kunci kunci KMSPendingImport, yang mencegahnya digunakan dalam operasi kriptografi apa pun. Untuk menggunakan kunci KMS, Anda harus mengimpor ulang salinan materi kunci asli.

Memastikan bahwa materi kunci impor sering kedaluwarsa dapat membantu Anda memenuhi persyaratan peraturan, tetapi menimbulkan risiko tambahan pada data yang dienkripsi di bawah kunci KMS. Sampai Anda mengimpor ulang salinan materi kunci asli, kunci KMS dengan materi kunci kedaluwarsa tidak dapat digunakan, dan data apa pun yang dienkripsi di bawah kunci KMS tidak dapat diakses. Jika Anda gagal mengimpor ulang materi kunci karena alasan apa pun, termasuk kehilangan salinan materi kunci asli, kunci KMS tidak dapat digunakan secara permanen, dan data yang dienkripsi di bawah kunci KMS tidak dapat dipulihkan.

Untuk mengurangi risiko ini, pastikan salinan materi kunci impor Anda dapat diakses, dan rancang sistem untuk menghapus dan mengimpor kembali materi kunci sebelum kedaluwarsa dan mengganggu beban kerja Anda. AWS Kami menyarankan Anda menyetel alarm untuk kedaluwarsa materi kunci impor Anda yang memberi Anda banyak waktu untuk mengimpor kembali materi kunci sebelum kedaluwarsa. Anda juga dapat menggunakan CloudTrail log untuk mengaudit operasi yang mengimpor (dan mengimpor ulang) materi kunci dan menghapus materi kunci yang diimpor, dan AWS KMS operasi untuk menghapus materi kunci yang kedaluwarsa.

AWS KMS tidak dapat memulihkan, memulihkan, atau mereproduksi materi kunci yang dihapus. Alih-alih menetapkan waktu kedaluwarsa, Anda dapat menghapus dan mengimpor ulang materi kunci yang diimpor secara terprogram secara berkala, tetapi persyaratan untuk menyimpan salinan materi kunci asli adalah sama.

Anda menentukan apakah dan kapan materi kunci impor kedaluwarsa saat Anda mengimpor materi kunci. Namun Anda dapat mengaktifkan dan menonaktifkan kedaluwarsa, atau mengatur waktu kedaluwarsa baru dengan mengimpor ulang materi utama. Gunakan ExpirationModel parameter ImportKeyMaterialuntuk mengaktifkan expiration on (KEY_MATERIAL_EXPIRES) dan off (KEY_MATERIAL_DOES_NOT_EXPIRE) dan ValidTo parameter untuk mengatur waktu kedaluwarsa. Waktu maksimum adalah 365 hari dari data impor; tidak ada minimum, tetapi waktunya harus di masa depan.

Tetapkan deskripsi bahan utama

Kunci enkripsi simetris dengan EXTERNAL asal dapat memiliki beberapa bahan utama yang terkait dengannya. Anda dapat menentukan deskripsi materi kunci opsional saat mengimpor materi kunci ke kunci tersebut. Deskripsi dapat digunakan untuk melacak di mana bahan kunci yang sesuai dipertahankan dengan tahan lama di luar AWS KMS.

Untuk kunci Multi-wilayah, Anda dapat mengatur atau mengubah deskripsi materi kunci hanya pada kunci Wilayah utama. AWS KMS secara otomatis menyebarkan deskripsi material kunci ke kunci Region replika.

Mengimpor materi kunci baru

Untuk melakukan rotasi sesuai permintaan pada kunci KMS enkripsi simetris dengan materi kunci yang diimpor, Anda harus terlebih dahulu mengimpor materi kunci baru, yang sebelumnya tidak terkait dengan kunci.

  • Kunci Wilayah Tunggal

    • Gunakan ImportKeyMaterialoperasi dengan ImportType parameter yang disetel NEW_KEY_MATERIAL untuk menyelesaikan tugas ini. Materi kunci ini tidak secara permanen terkait dengan kunci sampai Anda melakukan RotateKeyOnDemandoperasi atau memutar kunci di Konsol Manajemen AWS. Sampai saat itu, bahan utama ini dalam PENDING_ROTATION keadaan. Kunci KMS dapat memiliki paling banyak satu materi kunci dalam PENDING_ROTATION keadaan kapan saja. Materi kunci dalam PENDING_ROTATION keadaan dapat dihapus tanpa memengaruhi kegunaan kunci dalam operasi kriptografi.

  • Kunci Multi-Region

    • Untuk mengimpor materi kunci ke kunci Multi-wilayah, Anda harus terlebih dahulu mengimpor materi kunci baru ke kunci Wilayah utama. Anda tidak dapat langsung mengimpor materi kunci baru ke kunci Region replika. Setelah mengimpor materi kunci baru ke kunci Region primer, Anda dapat mengimpor bahan kunci yang sama ke dalam kunci Region replika.

    • Gunakan ImportKeyMaterialoperasi dengan ImportType parameter yang disetel ke NEW_KEY_MATERIAL kunci Region primer untuk menyelesaikan tugas ini. Untuk kunci Region replika, gunakan EXISTING_KEY_MATERIAL parameter ImportType untuk ImportKeyMaterial operasi.

    • Materi kunci untuk enkripsi simetris Kunci multi-wilayah harus diimpor ke semua kunci Region replika dan kunci Region primer sebelum status material utama berubah menjadi status. PENDING_ROTATION Sampai saat itu, keadaan materi kunci baru adalahPENDING_MULTI_REGION_IMPORT_AND_ROTATION. Kunci KMS dapat memiliki paling banyak satu materi kunci dalam PENDING_ROTATION atau PENDING_MULTI_REGION_IMPORT_AND_ROTATION status kapan saja (lihat KeyMaterialState deskripsi di RotationsListEntry). Materi kunci dalam PENDING_MULTI_REGION_IMPORT_AND_ROTATION atau PENDING_ROTATION status tidak secara permanen terkait dengan kunci dan dapat dihapus tanpa memengaruhi kegunaan kunci dalam operasi kriptografi.

Impor ulang bahan kunci

Jika Anda mengelola kunci KMS dengan materi kunci yang diimpor, Anda mungkin perlu mengimpor ulang materi kunci. Anda dapat mengimpor ulang materi kunci untuk menggantikan materi kunci yang kedaluwarsa atau dihapus, atau untuk mengubah model kedaluwarsa atau tanggal kedaluwarsa materi kunci.

Anda dapat mengimpor ulang materi kunci kapan saja, pada jadwal apa pun yang memenuhi persyaratan keamanan Anda. Anda tidak perlu menunggu sampai materi kunci berada pada atau mendekati waktu kedaluwarsa.

Prosedur untuk mengimpor ulang materi kunci adalah prosedur yang sama yang Anda gunakan untuk mengimpor materi kunci pertama kali, dengan pengecualian berikut.

  • Gunakan kunci KMS yang ada, alih-alih membuat kunci KMS baru. Anda dapat melewatkan Langkah 1 dari prosedur impor.

  • Saat Anda mengimpor ulang materi kunci, Anda dapat mengubah model kedaluwarsa dan tanggal kedaluwarsa. Untuk kunci enkripsi simetris, Anda juga dapat mengubah deskripsi materi utama.

    Untuk kunci Multi-wilayah, Anda dapat mengatur atau mengubah deskripsi materi kunci hanya pada kunci Wilayah utama. AWS KMS secara otomatis menyebarkan deskripsi material kunci ke kunci Region replika.

Setiap kali Anda mengimpor materi kunci ke kunci KMS, Anda perlu mengunduh dan menggunakan kunci pembungkus baru dan token impor untuk kunci KMS. Prosedur pembungkus tidak memengaruhi konten materi utama, sehingga Anda dapat menggunakan kunci publik pembungkus yang berbeda dan algoritme pembungkus yang berbeda untuk mengimpor materi kunci yang sama.

Material kunci impor (konsol)

Anda dapat menggunakan bahan kunci Konsol Manajemen AWS untuk mengimpor.

  1. Jika Anda berada di halaman Unggah materi kunci yang dibungkus, lewati keTahap 10.

  2. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  3. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  4. Di panel navigasi, pilih Kunci yang dikelola pelanggan.

  5. Pilih ID kunci atau alias kunci KMS yang Anda unduh kunci publik dan token impor.

  6. Pilih tab Konfigurasi kriptografi dan lihat nilainya. Tab ada di halaman detail untuk kunci KMS di bawah bagian konfigurasi Umum.

    Anda hanya dapat mengimpor materi kunci ke kunci KMS dengan Origin of External (Import key material). Untuk informasi tentang membuat kunci KMS dengan materi kunci impor, lihatMengimpor bahan kunci untuk AWS KMS kunci.

  7. Pilih tab yang sesuai berdasarkan jenis kunci Anda.

    • Untuk tombol asimetris dan HMAC, pilih tab Bahan kunci.

    • Untuk kunci enkripsi simetris, pilih tab Bahan kunci dan rotasi.

  8. Pilih tindakan impor.

    • Untuk kunci asimetris dan HMAC, pilih Impor bahan kunci.

    • Untuk kunci enkripsi simetris, pilih salah satu dari berikut ini:

      • Impor bahan kunci awal (jika belum ada bahan kunci yang diimpor)

      • Impor bahan kunci baru (untuk menambahkan material baru untuk rotasi)

      • Impor ulang materi kunci (tersedia dari menu Tindakan di tabel bahan utama)

    catatan

    Untuk kunci Multi-Region, Anda harus terlebih dahulu mengimpor materi kunci baru ke kunci Region primer. Kemudian, impor bahan kunci yang sama ke setiap kunci Region replika.

    Untuk kunci Multi-wilayah utama, tabel Bahan kunci menyertakan kolom status impor Replika yang menampilkan status impor di semua wilayah replika (misalnya, “0 dari 3 yang diimpor”). Pilih nilai status impor replika untuk membuka modal yang menunjukkan status impor untuk setiap wilayah replika. Modal menyediakan tautan materi kunci Impor untuk wilayah replika di mana materi kunci baru belum diimpor.

  9. Jika Anda mengunduh materi kunci, mengimpor token, dan mengenkripsi materi kunci, pilih Berikutnya.

    catatan

    Untuk kunci Multi-Region, Anda harus terlebih dahulu mengimpor materi kunci baru ke kunci Region primer. Kemudian Anda dapat mengimpor bahan kunci yang sama ke dalam kunci Region replika.

  10. Di bagian Materi kunci terenkripsi dan token impor, lakukan hal berikut.

    1. Di bawah Bahan kunci yang dibungkus, pilih Pilih file. Kemudian unggah file yang berisi material kunci Anda yang dibungkus (dienkripsi).

    2. Di bawah Impor token, pilih Pilih file. Unggah file yang berisi token impor yang Anda unduh.

  11. Di bagian Opsi kedaluwarsa, Anda menentukan apakah material kunci kedaluwarsa. Untuk menetapkan tanggal dan waktu kedaluwarsa, pilih Material kunci kedaluwarsa, dan gunakan kalender untuk memilih tanggal dan waktu. Anda dapat menentukan tanggal hingga 365 hari dari tanggal dan waktu saat ini.

  12. Untuk kunci enkripsi simetris, Anda dapat secara opsional menentukan deskripsi untuk materi kunci yang diimpor.

  13. Pilih Impor bahan kunci.

Impor bahan kunci (AWS KMS API)

Untuk mengimpor bahan utama, gunakan ImportKeyMaterialoperasi. Contoh berikut menggunakan AWS CLI, tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

Untuk menggunakan contoh ini:

  1. Ganti 1234abcd-12ab-34cd-56ef-1234567890ab dengan ID kunci kunci KMS yang Anda tentukan saat mengunduh kunci publik dan token impor. Untuk mengidentifikasi kunci KMS, gunakan ID kunci atau kunci ARN. Anda tidak dapat menggunakan nama alias atau alias ARN untuk operasi ini.

  2. Ganti EncryptedKeyMaterial.bin dengan nama file yang berisi material kunci terenkripsi.

  3. Ganti ImportToken.bin dengan nama file yang berisi token impor.

  4. Jika Anda ingin materi kunci yang diimpor kedaluwarsa, atur nilai expiration-model parameter ke nilai defaultnyaKEY_MATERIAL_EXPIRES, atau hilangkan parameternya. expiration-model Kemudian, ganti nilai valid-to parameter dengan tanggal dan waktu yang Anda inginkan materi kunci kedaluwarsa. Tanggal dan waktu bisa sampai 365 hari dari waktu permintaan. 

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_EXPIRES \
    --valid-to 2023-06-17T12:00:00-08:00

    Jika Anda tidak ingin materi kunci yang diimpor kedaluwarsa, atur nilai expiration-model parameter ke KEY_MATERIAL_DOES_NOT_EXPIRE dan hilangkan valid-to parameter dari perintah.

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_DOES_NOT_EXPIRE

  5. Jika Anda ingin mengimpor materi kunci baru, yang sebelumnya tidak terkait dengan kunci KMS, atur ImportType parameternya keNEW_KEY_MATERIAL. Opsi ini hanya dapat digunakan dengan kunci enkripsi simetris. Untuk kunci ini, Anda juga dapat menggunakan KeyMaterialDescription parameter opsional untuk mengatur deskripsi untuk materi kunci yang diimpor dalam contoh baris perintah berikut: 

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_EXPIRES \
    --valid-to 2023-06-17T12:00:00-08:00 \
    --import-type NEW_KEY_MATERIAL \
    --key-material-description "Q2 2025 Rotation"

  6. Untuk kunci Multi-wilayah, Anda dapat mengatur atau mengubah deskripsi materi kunci hanya pada kunci Wilayah utama. AWS KMS secara otomatis menyebarkan deskripsi material kunci ke kunci Region replika.

Tip

Jika perintah tidak berhasil, Anda mungkin melihat a KMSInvalidStateException atau aNotFoundException. Anda dapat mencoba kembali permintaan tersebut.