Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Langkah 4: Impor material kunci
Setelah Anda mengenkripsi materi kunci Anda, Anda dapat mengimpor materi kunci untuk digunakan dengan file AWS KMS key. Untuk mengimpor material kunci, Anda mengunggah materi kunci terenkripsi dari Langkah 3: Enkripsi material kunci dan token impor yang Anda unduh di Langkah 2: Unduh kunci publik pembungkus dan token impor. Anda harus mengimpor materi kunci ke kunci KMS yang sama dengan yang Anda tentukan saat mengunduh kunci publik dan token impor. Ketika materi kunci berhasil diimpor, status kunci kunci KMS berubah menjadiEnabled
, dan Anda dapat menggunakan kunci KMS dalam operasi kriptografi.
Saat Anda mengimpor materi kunci, Anda dapat mengatur waktu kedaluwarsa opsional untuk materi utama. Ketika materi kunci kedaluwarsa, AWS KMS menghapus materi kunci dan kunci KMS menjadi tidak dapat digunakan. Setelah mengimpor materi kunci, Anda tidak dapat mengatur, mengubah, atau membatalkan tanggal kedaluwarsa untuk impor saat ini. Untuk mengubah nilai-nilai ini, Anda harus mengimpor ulang materi kunci yang sama.
Untuk semua kunci KMS dengan EXTERNAL
asal, bahan kunci pertama yang diimpor ke dalamnya menjadi terkini dan secara permanen terkait dengannya. Single-Region, kunci enkripsi simetris dengan dukungan EXTERNAL
asal rotasi sesuai permintaan. Anda dapat mengaitkan beberapa materi utama dengan kunci impor yang mendukung rotasi sesuai permintaan. Anda harus mengatur importType
parameter NEW_KEY_MATERIAL
dengan ImportKeyMaterialtindakan untuk mengaitkan materi kunci baru dengan kunci KMS. Materi kunci ini tidak terkait secara permanen dengan kunci sampai Anda melakukan RotateKeyOnDemandtindakan. Sampai saat itu, bahan utama ini dalam PENDING_ROTATION
keadaan. Nilai default dari ImportType
parameter opsional adalahEXISTING_KEY_MATERIAL
. Ketika Anda menghilangkan ImportType
parameter atau menentukannya sebagaiEXISTING_KEY_MATERIAL
, Anda harus mengimpor bahan kunci yang sebelumnya dikaitkan dengan kunci KMS.
Untuk kunci KMS asimetris, HMAC atau Multi-wilayah dengan EXTERNAL
asal, hanya satu bahan kunci yang dapat dikaitkan dengan kunci tersebut. AWS KMS akan menolak permintaan ImportKeyMaterialAPI dengan ImportType
parameter.
Ketika semua materi kunci yang secara permanen terkait dengan kunci KMS diimpor, kunci KMS tersedia untuk digunakan dalam operasi kriptografi. Jika salah satu dari materi utama ini dihapus atau dibiarkan kedaluwarsa, status kunci KMS berubah menjadi PendingImport
dan kuncinya tidak dapat digunakan untuk operasi kriptografi.
Untuk mengimpor materi kunci, Anda dapat menggunakan AWS KMS
konsol atau ImportKeyMaterialAPI. Anda dapat menggunakan API secara langsung dengan membuat permintaan HTTP, atau dengan menggunakan AWS SDKs
Saat Anda mengimpor materi kunci, ImportKeyMaterialentri ditambahkan ke AWS CloudTrail log Anda untuk merekam ImportKeyMaterial
operasi. CloudTrail Entri adalah sama apakah Anda menggunakan AWS KMS konsol atau AWS KMS API.
Mengatur waktu kedaluwarsa (opsional)
Ketika Anda mengimpor materi kunci untuk kunci KMS Anda, Anda dapat menetapkan tanggal kedaluwarsa opsional dan waktu untuk materi kunci hingga 365 hari dari tanggal impor. Ketika materi kunci impor kedaluwarsa, AWS KMS menghapusnya. Tindakan ini mengubah status kunci kunci KMSPendingImport
, yang mencegahnya digunakan dalam operasi kriptografi apa pun. Untuk menggunakan kunci KMS, Anda harus mengimpor ulang salinan materi kunci asli.
Memastikan bahwa materi kunci impor sering kedaluwarsa dapat membantu Anda memenuhi persyaratan peraturan, tetapi menimbulkan risiko tambahan pada data yang dienkripsi di bawah kunci KMS. Sampai Anda mengimpor ulang salinan materi kunci asli, kunci KMS dengan materi kunci kedaluwarsa tidak dapat digunakan, dan data apa pun yang dienkripsi di bawah kunci KMS tidak dapat diakses. Jika Anda gagal mengimpor ulang materi kunci karena alasan apa pun, termasuk kehilangan salinan materi kunci asli, kunci KMS tidak dapat digunakan secara permanen, dan data yang dienkripsi di bawah kunci KMS tidak dapat dipulihkan.
Untuk mengurangi risiko ini, pastikan salinan materi kunci impor Anda dapat diakses, dan rancang sistem untuk menghapus dan mengimpor kembali materi kunci sebelum kedaluwarsa dan mengganggu beban kerja Anda. AWS Kami menyarankan Anda menyetel alarm untuk kedaluwarsa materi kunci impor Anda yang memberi Anda banyak waktu untuk mengimpor kembali materi kunci sebelum kedaluwarsa. Anda juga dapat menggunakan CloudTrail log untuk mengaudit operasi yang mengimpor (dan mengimpor ulang) materi kunci dan menghapus materi kunci yang diimpor, dan AWS KMS operasi untuk menghapus materi kunci yang kedaluwarsa.
AWS KMS tidak dapat memulihkan, memulihkan, atau mereproduksi materi kunci yang dihapus. Alih-alih menetapkan waktu kedaluwarsa, Anda dapat menghapus dan mengimpor ulang materi kunci yang diimpor secara terprogram secara berkala, tetapi persyaratan untuk menyimpan salinan materi kunci asli adalah sama.
Anda menentukan apakah dan kapan materi kunci impor kedaluwarsa saat Anda mengimpor materi kunci. Namun Anda dapat mengaktifkan dan menonaktifkan kedaluwarsa, atau mengatur waktu kedaluwarsa baru dengan mengimpor ulang materi utama. Gunakan ExpirationModel
parameter ImportKeyMaterialuntuk mengaktifkan expiration on (KEY_MATERIAL_EXPIRES
) dan off (KEY_MATERIAL_DOES_NOT_EXPIRE
) dan ValidTo
parameter untuk mengatur waktu kedaluwarsa. Waktu maksimum adalah 365 hari dari data impor; tidak ada minimum, tetapi waktunya harus di masa depan.
Tetapkan deskripsi bahan utama
Single-Region, kunci enkripsi simetris dengan EXTERNAL
asal dapat memiliki beberapa materi utama yang terkait dengannya. Anda dapat menentukan deskripsi materi kunci opsional saat mengimpor materi kunci ke kunci tersebut. Deskripsi dapat digunakan untuk melacak di mana bahan kunci yang sesuai dipertahankan dengan tahan lama di luar AWS KMS.
Impor ulang bahan kunci
Jika Anda mengelola kunci KMS dengan materi kunci impor, Anda mungkin perlu mengimpor ulang materi kunci. Anda dapat mengimpor ulang materi kunci untuk menggantikan materi kunci yang kedaluwarsa atau dihapus, atau untuk mengubah model kedaluwarsa atau tanggal kedaluwarsa materi kunci.
Anda dapat mengimpor ulang materi kunci kapan saja, pada jadwal apa pun yang memenuhi persyaratan keamanan Anda. Anda tidak perlu menunggu sampai materi kunci berada pada atau mendekati waktu kedaluwarsa.
Prosedur untuk mengimpor ulang materi kunci adalah prosedur yang sama yang Anda gunakan untuk mengimpor materi kunci pertama kali, dengan pengecualian berikut.
-
Gunakan kunci KMS yang ada, alih-alih membuat kunci KMS baru. Anda dapat melewatkan Langkah 1 dari prosedur impor.
-
Saat Anda mengimpor ulang materi kunci, Anda dapat mengubah model kedaluwarsa dan tanggal kedaluwarsa.
Setiap kali Anda mengimpor materi kunci ke kunci KMS, Anda perlu mengunduh dan menggunakan kunci pembungkus baru dan token impor untuk kunci KMS. Prosedur pembungkus tidak memengaruhi konten materi utama, sehingga Anda dapat menggunakan kunci publik pembungkus yang berbeda dan algoritme pembungkus yang berbeda untuk mengimpor materi kunci yang sama.
Impor bahan kunci baru
Untuk melakukan rotasi sesuai permintaan pada kunci KMS enkripsi simetris dengan materi kunci yang diimpor, Anda harus terlebih dahulu mengimpor materi kunci baru, yang sebelumnya tidak terkait dengan kunci. Gunakan ImportKeyMaterialoperasi dengan ImportType
parameter yang disetel NEW_KEY_MATERIAL
untuk menyelesaikan tugas ini. Materi kunci yang diimpor dengan cara ini akan dalam PENDING_ROTATION
keadaan sampai Anda melakukan RotateKeyOnDemandoperasi atau memutar kunci di AWS Management Console. Kunci KMS dapat memiliki paling banyak satu materi kunci dalam PENDING_ROTATION
keadaan kapan saja.
Material kunci impor (konsol)
Anda dapat menggunakan bahan kunci AWS Management Console untuk mengimpor.
-
Jika Anda berada di halaman Unggah materi kunci yang dibungkus, lewati keTahapĀ 8.
-
Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms
. -
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
-
Di panel navigasi, pilih Kunci yang dikelola pelanggan.
-
Pilih ID kunci atau alias kunci KMS yang Anda unduh kunci publik dan token impor.
-
Pilih tab Konfigurasi kriptografi dan lihat nilainya. Tab ada di halaman detail untuk kunci KMS di bawah bagian konfigurasi Umum.
Anda hanya dapat mengimpor materi kunci ke kunci KMS dengan Origin of External (Import key material). Untuk informasi tentang membuat kunci KMS dengan materi kunci impor, lihatMengimpor bahan kunci untuk AWS KMS kunci.
-
Untuk kunci asimetris, HMAC, dan Multi-wilayah, pilih tab Materi kunci dan kemudian pilih Impor bahan kunci. Untuk kunci enkripsi simetris wilayah tunggal, pilih tab Materi kunci dan rotasi. Kemudian, pilih Impor materi kunci awal atau Impor materi kunci baru atau Impor ulang materi kunci. Opsi Reimport material kunci tersedia di
Actions
menu di tabel bahan utama.Jika Anda mengunduh materi kunci, mengimpor token, dan mengenkripsi materi kunci, pilih Berikutnya.
-
Di bagian Materi kunci terenkripsi dan token impor, lakukan hal berikut.
-
Di bawah Bahan kunci yang dibungkus, pilih Pilih file. Kemudian unggah file yang berisi material kunci Anda yang dibungkus (dienkripsi).
-
Di bawah Impor token, pilih Pilih file. Unggah file yang berisi token impor yang Anda unduh.
-
-
Di bagian Opsi kedaluwarsa, Anda menentukan apakah material kunci kedaluwarsa. Untuk menetapkan tanggal dan waktu kedaluwarsa, pilih Material kunci kedaluwarsa, dan gunakan kalender untuk memilih tanggal dan waktu. Anda dapat menentukan tanggal hingga 365 hari dari tanggal dan waktu saat ini.
-
Untuk kunci enkripsi simetris, Anda dapat secara opsional menentukan deskripsi untuk materi kunci yang diimpor.
-
Pilih Impor bahan kunci.
Impor bahan kunci (AWS KMS API)
Untuk mengimpor bahan utama, gunakan ImportKeyMaterialoperasi. Contoh berikut menggunakan AWS CLI
Untuk menggunakan contoh ini:
-
Ganti
dengan ID kunci kunci KMS yang Anda tentukan saat mengunduh kunci publik dan token impor. Untuk mengidentifikasi kunci KMS, gunakan ID kunci atau kunci ARN. Anda tidak dapat menggunakan nama alias atau alias ARN untuk operasi ini.1234abcd-12ab-34cd-56ef-1234567890ab
-
Ganti
dengan nama file yang berisi material kunci terenkripsi.EncryptedKeyMaterial.bin
-
Ganti
dengan nama file yang berisi token impor.ImportToken.bin
-
Jika Anda ingin materi kunci yang diimpor kedaluwarsa, atur nilai
expiration-model
parameter ke nilai defaultnyaKEY_MATERIAL_EXPIRES
, atau hilangkan parameternya.expiration-model
Kemudian, ganti nilaivalid-to
parameter dengan tanggal dan waktu yang Anda inginkan materi kunci kedaluwarsa. Tanggal dan waktu bisa sampai 365 hari dari waktu permintaan.$
aws kms import-key-material --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
\ --encrypted-key-material fileb://EncryptedKeyMaterial.bin
\ --import-token fileb://ImportToken.bin
\ --expiration-modelKEY_MATERIAL_EXPIRES
\ --valid-to2023-06-17T12:00:00-08:00
Jika Anda tidak ingin materi kunci yang diimpor kedaluwarsa, atur nilai
expiration-model
parameter keKEY_MATERIAL_DOES_NOT_EXPIRE
dan hilangkanvalid-to
parameter dari perintah.$
aws kms import-key-material --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
\ --encrypted-key-material fileb://EncryptedKeyMaterial.bin
\ --import-token fileb://ImportToken.bin
\ --expiration-modelKEY_MATERIAL_DOES_NOT_EXPIRE
-
Jika Anda ingin mengimpor materi kunci baru, yang sebelumnya tidak terkait dengan kunci KMS, atur
ImportType
parameternya keNEW_KEY_MATERIAL
. Opsi ini hanya dapat digunakan dengan kunci enkripsi simetris wilayah tunggal. Untuk kunci ini, Anda juga dapat menggunakanKeyMaterialDescription
parameter opsional untuk mengatur deskripsi untuk materi kunci yang diimpor dalam contoh baris perintah berikut:$
aws kms import-key-material --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
\ --encrypted-key-material fileb://EncryptedKeyMaterial.bin
\ --import-token fileb://ImportToken.bin
\ --expiration-modelKEY_MATERIAL_EXPIRES
\ --valid-to2023-06-17T12:00:00-08:00
\ --import-type NEW_KEY_MATERIAL \ --key-material-description"Q2 2025 Rotation"
Tip
Jika perintah tidak berhasil, Anda mungkin melihat a KMSInvalidStateException
atau aNotFoundException
. Anda dapat mencoba kembali permintaan tersebut.