Langkah 4: Impor material kunci - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 4: Impor material kunci

Setelah Anda mengenkripsi materi kunci Anda, Anda dapat mengimpor materi kunci untuk digunakan dengan file AWS KMS key. Untuk mengimpor material kunci, Anda mengunggah materi kunci terenkripsi dari Langkah 3: Enkripsi material kunci dan token impor yang Anda unduh di Langkah 2: Unduh kunci publik pembungkus dan token impor. Anda harus mengimpor materi kunci ke kunci KMS yang sama dengan yang Anda tentukan saat mengunduh kunci publik dan token impor. Ketika materi kunci berhasil diimpor, status kunci kunci KMS berubah menjadiEnabled, dan Anda dapat menggunakan kunci KMS dalam operasi kriptografi.

Saat Anda mengimpor materi kunci, Anda dapat mengatur waktu kedaluwarsa opsional untuk materi utama. Ketika materi kunci kedaluwarsa, AWS KMS menghapus materi kunci dan kunci KMS menjadi tidak dapat digunakan. Setelah mengimpor materi kunci, Anda tidak dapat mengatur, mengubah, atau membatalkan tanggal kedaluwarsa untuk impor saat ini. Untuk mengubah nilai-nilai ini, Anda harus mengimpor ulang materi kunci yang sama.

Untuk semua kunci KMS dengan EXTERNAL asal, bahan kunci pertama yang diimpor ke dalamnya menjadi terkini dan secara permanen terkait dengannya. Single-Region, kunci enkripsi simetris dengan dukungan EXTERNAL asal rotasi sesuai permintaan. Anda dapat mengaitkan beberapa materi utama dengan kunci impor yang mendukung rotasi sesuai permintaan. Anda harus mengatur importType parameter NEW_KEY_MATERIAL dengan ImportKeyMaterialtindakan untuk mengaitkan materi kunci baru dengan kunci KMS. Materi kunci ini tidak terkait secara permanen dengan kunci sampai Anda melakukan RotateKeyOnDemandtindakan. Sampai saat itu, bahan utama ini dalam PENDING_ROTATION keadaan. Nilai default dari ImportType parameter opsional adalahEXISTING_KEY_MATERIAL. Ketika Anda menghilangkan ImportType parameter atau menentukannya sebagaiEXISTING_KEY_MATERIAL, Anda harus mengimpor bahan kunci yang sebelumnya dikaitkan dengan kunci KMS.

Untuk kunci KMS asimetris, HMAC atau Multi-wilayah dengan EXTERNAL asal, hanya satu bahan kunci yang dapat dikaitkan dengan kunci tersebut. AWS KMS akan menolak permintaan ImportKeyMaterialAPI dengan ImportType parameter.

Ketika semua materi kunci yang secara permanen terkait dengan kunci KMS diimpor, kunci KMS tersedia untuk digunakan dalam operasi kriptografi. Jika salah satu dari materi utama ini dihapus atau dibiarkan kedaluwarsa, status kunci KMS berubah menjadi PendingImport dan kuncinya tidak dapat digunakan untuk operasi kriptografi.

Untuk mengimpor materi kunci, Anda dapat menggunakan AWS KMS konsol atau ImportKeyMaterialAPI. Anda dapat menggunakan API secara langsung dengan membuat permintaan HTTP, atau dengan menggunakan AWS SDKs, AWS Command Line Interfaceatau Alat AWS untuk PowerShell.

Saat Anda mengimpor materi kunci, ImportKeyMaterialentri ditambahkan ke AWS CloudTrail log Anda untuk merekam ImportKeyMaterial operasi. CloudTrail Entri adalah sama apakah Anda menggunakan AWS KMS konsol atau AWS KMS API.

Mengatur waktu kedaluwarsa (opsional)

Ketika Anda mengimpor materi kunci untuk kunci KMS Anda, Anda dapat menetapkan tanggal kedaluwarsa opsional dan waktu untuk materi kunci hingga 365 hari dari tanggal impor. Ketika materi kunci impor kedaluwarsa, AWS KMS menghapusnya. Tindakan ini mengubah status kunci kunci KMSPendingImport, yang mencegahnya digunakan dalam operasi kriptografi apa pun. Untuk menggunakan kunci KMS, Anda harus mengimpor ulang salinan materi kunci asli.

Memastikan bahwa materi kunci impor sering kedaluwarsa dapat membantu Anda memenuhi persyaratan peraturan, tetapi menimbulkan risiko tambahan pada data yang dienkripsi di bawah kunci KMS. Sampai Anda mengimpor ulang salinan materi kunci asli, kunci KMS dengan materi kunci kedaluwarsa tidak dapat digunakan, dan data apa pun yang dienkripsi di bawah kunci KMS tidak dapat diakses. Jika Anda gagal mengimpor ulang materi kunci karena alasan apa pun, termasuk kehilangan salinan materi kunci asli, kunci KMS tidak dapat digunakan secara permanen, dan data yang dienkripsi di bawah kunci KMS tidak dapat dipulihkan.

Untuk mengurangi risiko ini, pastikan salinan materi kunci impor Anda dapat diakses, dan rancang sistem untuk menghapus dan mengimpor kembali materi kunci sebelum kedaluwarsa dan mengganggu beban kerja Anda. AWS Kami menyarankan Anda menyetel alarm untuk kedaluwarsa materi kunci impor Anda yang memberi Anda banyak waktu untuk mengimpor kembali materi kunci sebelum kedaluwarsa. Anda juga dapat menggunakan CloudTrail log untuk mengaudit operasi yang mengimpor (dan mengimpor ulang) materi kunci dan menghapus materi kunci yang diimpor, dan AWS KMS operasi untuk menghapus materi kunci yang kedaluwarsa.

AWS KMS tidak dapat memulihkan, memulihkan, atau mereproduksi materi kunci yang dihapus. Alih-alih menetapkan waktu kedaluwarsa, Anda dapat menghapus dan mengimpor ulang materi kunci yang diimpor secara terprogram secara berkala, tetapi persyaratan untuk menyimpan salinan materi kunci asli adalah sama.

Anda menentukan apakah dan kapan materi kunci impor kedaluwarsa saat Anda mengimpor materi kunci. Namun Anda dapat mengaktifkan dan menonaktifkan kedaluwarsa, atau mengatur waktu kedaluwarsa baru dengan mengimpor ulang materi utama. Gunakan ExpirationModel parameter ImportKeyMaterialuntuk mengaktifkan expiration on (KEY_MATERIAL_EXPIRES) dan off (KEY_MATERIAL_DOES_NOT_EXPIRE) dan ValidTo parameter untuk mengatur waktu kedaluwarsa. Waktu maksimum adalah 365 hari dari data impor; tidak ada minimum, tetapi waktunya harus di masa depan.

Tetapkan deskripsi bahan utama

Single-Region, kunci enkripsi simetris dengan EXTERNAL asal dapat memiliki beberapa materi utama yang terkait dengannya. Anda dapat menentukan deskripsi materi kunci opsional saat mengimpor materi kunci ke kunci tersebut. Deskripsi dapat digunakan untuk melacak di mana bahan kunci yang sesuai dipertahankan dengan tahan lama di luar AWS KMS.

Impor ulang bahan kunci

Jika Anda mengelola kunci KMS dengan materi kunci impor, Anda mungkin perlu mengimpor ulang materi kunci. Anda dapat mengimpor ulang materi kunci untuk menggantikan materi kunci yang kedaluwarsa atau dihapus, atau untuk mengubah model kedaluwarsa atau tanggal kedaluwarsa materi kunci.

Anda dapat mengimpor ulang materi kunci kapan saja, pada jadwal apa pun yang memenuhi persyaratan keamanan Anda. Anda tidak perlu menunggu sampai materi kunci berada pada atau mendekati waktu kedaluwarsa.

Prosedur untuk mengimpor ulang materi kunci adalah prosedur yang sama yang Anda gunakan untuk mengimpor materi kunci pertama kali, dengan pengecualian berikut.

  • Gunakan kunci KMS yang ada, alih-alih membuat kunci KMS baru. Anda dapat melewatkan Langkah 1 dari prosedur impor.

  • Saat Anda mengimpor ulang materi kunci, Anda dapat mengubah model kedaluwarsa dan tanggal kedaluwarsa.

Setiap kali Anda mengimpor materi kunci ke kunci KMS, Anda perlu mengunduh dan menggunakan kunci pembungkus baru dan token impor untuk kunci KMS. Prosedur pembungkus tidak memengaruhi konten materi utama, sehingga Anda dapat menggunakan kunci publik pembungkus yang berbeda dan algoritme pembungkus yang berbeda untuk mengimpor materi kunci yang sama.

Impor bahan kunci baru

Untuk melakukan rotasi sesuai permintaan pada kunci KMS enkripsi simetris dengan materi kunci yang diimpor, Anda harus terlebih dahulu mengimpor materi kunci baru, yang sebelumnya tidak terkait dengan kunci. Gunakan ImportKeyMaterialoperasi dengan ImportType parameter yang disetel NEW_KEY_MATERIAL untuk menyelesaikan tugas ini. Materi kunci yang diimpor dengan cara ini akan dalam PENDING_ROTATION keadaan sampai Anda melakukan RotateKeyOnDemandoperasi atau memutar kunci di AWS Management Console. Kunci KMS dapat memiliki paling banyak satu materi kunci dalam PENDING_ROTATION keadaan kapan saja.

Material kunci impor (konsol)

Anda dapat menggunakan bahan kunci AWS Management Console untuk mengimpor.

  1. Jika Anda berada di halaman Unggah materi kunci yang dibungkus, lewati keTahapĀ 8.

  2. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  3. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  4. Di panel navigasi, pilih Kunci yang dikelola pelanggan.

  5. Pilih ID kunci atau alias kunci KMS yang Anda unduh kunci publik dan token impor.

  6. Pilih tab Konfigurasi kriptografi dan lihat nilainya. Tab ada di halaman detail untuk kunci KMS di bawah bagian konfigurasi Umum.

    Anda hanya dapat mengimpor materi kunci ke kunci KMS dengan Origin of External (Import key material). Untuk informasi tentang membuat kunci KMS dengan materi kunci impor, lihatMengimpor bahan kunci untuk AWS KMS kunci.

  7. Untuk kunci asimetris, HMAC, dan Multi-wilayah, pilih tab Materi kunci dan kemudian pilih Impor bahan kunci. Untuk kunci enkripsi simetris wilayah tunggal, pilih tab Materi kunci dan rotasi. Kemudian, pilih Impor materi kunci awal atau Impor materi kunci baru atau Impor ulang materi kunci. Opsi Reimport material kunci tersedia di Actions menu di tabel bahan utama.

    Jika Anda mengunduh materi kunci, mengimpor token, dan mengenkripsi materi kunci, pilih Berikutnya.

  8. Di bagian Materi kunci terenkripsi dan token impor, lakukan hal berikut.

    1. Di bawah Bahan kunci yang dibungkus, pilih Pilih file. Kemudian unggah file yang berisi material kunci Anda yang dibungkus (dienkripsi).

    2. Di bawah Impor token, pilih Pilih file. Unggah file yang berisi token impor yang Anda unduh.

  9. Di bagian Opsi kedaluwarsa, Anda menentukan apakah material kunci kedaluwarsa. Untuk menetapkan tanggal dan waktu kedaluwarsa, pilih Material kunci kedaluwarsa, dan gunakan kalender untuk memilih tanggal dan waktu. Anda dapat menentukan tanggal hingga 365 hari dari tanggal dan waktu saat ini.

  10. Untuk kunci enkripsi simetris, Anda dapat secara opsional menentukan deskripsi untuk materi kunci yang diimpor.

  11. Pilih Impor bahan kunci.

Impor bahan kunci (AWS KMS API)

Untuk mengimpor bahan utama, gunakan ImportKeyMaterialoperasi. Contoh berikut menggunakan AWS CLI, tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

Untuk menggunakan contoh ini:

  1. Ganti 1234abcd-12ab-34cd-56ef-1234567890ab dengan ID kunci kunci KMS yang Anda tentukan saat mengunduh kunci publik dan token impor. Untuk mengidentifikasi kunci KMS, gunakan ID kunci atau kunci ARN. Anda tidak dapat menggunakan nama alias atau alias ARN untuk operasi ini.

  2. Ganti EncryptedKeyMaterial.bin dengan nama file yang berisi material kunci terenkripsi.

  3. Ganti ImportToken.bin dengan nama file yang berisi token impor.

  4. Jika Anda ingin materi kunci yang diimpor kedaluwarsa, atur nilai expiration-model parameter ke nilai defaultnyaKEY_MATERIAL_EXPIRES, atau hilangkan parameternya. expiration-model Kemudian, ganti nilai valid-to parameter dengan tanggal dan waktu yang Anda inginkan materi kunci kedaluwarsa. Tanggal dan waktu bisa sampai 365 hari dari waktu permintaan.

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --encrypted-key-material fileb://EncryptedKeyMaterial.bin \ --import-token fileb://ImportToken.bin \ --expiration-model KEY_MATERIAL_EXPIRES \ --valid-to 2023-06-17T12:00:00-08:00

    Jika Anda tidak ingin materi kunci yang diimpor kedaluwarsa, atur nilai expiration-model parameter ke KEY_MATERIAL_DOES_NOT_EXPIRE dan hilangkan valid-to parameter dari perintah.

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --encrypted-key-material fileb://EncryptedKeyMaterial.bin \ --import-token fileb://ImportToken.bin \ --expiration-model KEY_MATERIAL_DOES_NOT_EXPIRE
  5. Jika Anda ingin mengimpor materi kunci baru, yang sebelumnya tidak terkait dengan kunci KMS, atur ImportType parameternya keNEW_KEY_MATERIAL. Opsi ini hanya dapat digunakan dengan kunci enkripsi simetris wilayah tunggal. Untuk kunci ini, Anda juga dapat menggunakan KeyMaterialDescription parameter opsional untuk mengatur deskripsi untuk materi kunci yang diimpor dalam contoh baris perintah berikut:

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --encrypted-key-material fileb://EncryptedKeyMaterial.bin \ --import-token fileb://ImportToken.bin \ --expiration-model KEY_MATERIAL_EXPIRES \ --valid-to 2023-06-17T12:00:00-08:00 \ --import-type NEW_KEY_MATERIAL \ --key-material-description "Q2 2025 Rotation"
Tip

Jika perintah tidak berhasil, Anda mungkin melihat a KMSInvalidStateException atau aNotFoundException. Anda dapat mencoba kembali permintaan tersebut.