All Products
Search

This Product

    Key Management Service:Impor materi kunci simetris

    Document Center

    Key Management Service:Impor materi kunci simetris

    Last Updated:Jul 06, 2025

    Jika Anda mengatur parameter Origin ke EXTERNAL saat membuat customer master key (CMK) untuk instance Key Management Service (KMS) spesifikasi khusus edisi Standar, Dedicated KMS tidak akan menghasilkan materi kunci simetris di kluster modul keamanan perangkat keras (HSM) Anda. Anda harus mengimpor materi kunci simetris eksternal untuk CMK tersebut. Topik ini menjelaskan cara mengimpor materi kunci simetris eksternal.

    Informasi latar belakang

    Anda dapat memanggil operasi DescribeKey untuk melihat sumber materi kunci simetris dari CMK yang ada. Jika nilai parameter Origin adalah EXTERNAL, materi kunci simetris diimpor dari sumber eksternal. Dalam hal ini, CMK dianggap sebagai external CMK.

    Jika Anda mengatur parameter Origin ke EXTERNAL, perhatikan poin-poin berikut saat mengimpor materi kunci simetris eksternal:
    • Pastikan bahwa sumber keacakan tempat materi kunci simetris dihasilkan memenuhi persyaratan.
    • Materi kunci simetris diimpor ke kluster HSM Anda. Anda tidak dapat menghapus materi kunci simetris dengan memanggil operasi DeleteKeyMaterial. Namun, Anda dapat memanggil operasi ScheduleKeyDeletion untuk menjadwalkan tugas penghapusan CMK dan menentukan periode tunggu untuk deteksi. Saat CMK dihapus, materi kunci simetris juga dihapus.
    • CMK hanya dapat memiliki satu materi kunci simetris. Setelah Anda mengimpor materi kunci simetris untuk CMK, CMK terikat pada materi kunci simetris tersebut. Anda tidak dapat lagi mengimpor materi kunci simetris lainnya untuk CMK tersebut.
    • Materi kunci simetris harus berupa kunci simetris 128-, 192-, atau 256-bit.

    Langkah 1: Buat external CMK

    1. Masuk ke KMS console.
    2. Di bilah navigasi atas, pilih wilayah tempat instance Dedicated KMS edisi Standar Anda berada.
    3. Di panel navigasi di sebelah kiri, klik Dedicated KMS.
    4. Temukan instance Dedicated KMS yang ingin Anda kelola dan klik Manage di kolom Actions.
    5. Pada tab User master key, klik Create Key.
    6. Di kotak dialog Create Key, konfigurasikan parameter Key Spec.
      Dedicated KMS mendukung jenis kunci berikut:Aliyun_AES_128, Aliyun_AES_192, dan Aliyun_AES_256.
    7. Konfigurasikan parameter Alias Name dan Description.
    8. Klik Advanced dan atur parameter Key Material Source ke External.
    9. Pilih I understand the implications of using the external key materials key dan klik OK.

    Langkah 2: Dapatkan parameter yang digunakan untuk mengimpor materi kunci simetris

    Parameter tersebut mencakup kunci publik dan token impor. Kunci publik digunakan untuk mengenkripsi materi kunci simetris.
    1. Pada tab User master key, klik ID CMK yang diperlukan untuk masuk ke halaman manajemen kunci.
    2. Di bagian Key Material, klik Obtain Parameters Used to Import Key Material.
    3. Di kotak dialog Obtain Parameters Used to Import Key Material, konfigurasikan parameter Wrapping Key Type dan parameter Wrapping Algorithm dan klik Next.
      Catatan

      Jika Anda mengatur parameter Wrapping Key Type ke RSA_2048, Anda dapat mengatur parameter Algoritma Pembungkus ke RSAES_PKCS1_V1_5 atau RSAES_OAEP_SHA_256. Nilai defaultnya adalah RSAES_PKCS1_V1_5. Dalam contoh ini, nilai default digunakan.

    4. Klik Download di sebelah kanan Format Kunci Publik untuk mengunduh kunci publik. Klik Unduh di sebelah kanan Token Impor untuk mengunduh token impor. Lalu, klik Close.

    Langkah 3: Enkripsi materi kunci simetris

    Berikut ini menjelaskan cara menggunakan OpenSSL untuk mengenkripsi materi kunci simetris. Algoritma enkripsi harus sama dengan algoritma yang Anda tentukan saat mendapatkan parameter yang digunakan untuk mengimpor materi kunci simetris. Kunci publik dikodekan dalam Base64. Sebelum Anda dapat menggunakan kunci publik, Anda harus mendekode kunci publik tersebut.

    1. Buat materi kunci simetris. Dalam contoh ini, OpenSSL digunakan untuk menghasilkan angka acak 32-byte. Angka tersebut digunakan sebagai materi kunci simetris.
    2. Gunakan algoritma enkripsi yang ditentukan untuk mengenkripsi materi kunci simetris. Dalam contoh ini, algoritma RSAES_PKCS1_V1_5 digunakan.
    3. Kodekan materi kunci simetris yang dienkripsi dalam Base64 dan simpan materi kunci yang dikodekan ke file teks.
      openssl rand -out KeyMaterial.bin 32
openssl rsautl -encrypt -in KeyMaterial.bin -pkcs -inkey PublicKey.bin  -keyform DER  -pubin -out EncryptedKeyMaterial.bin
openssl enc -e -base64 -A -in EncryptedKeyMaterial.bin -out EncryptedKeyMaterial_base64.txt

    Langkah 4: Impor materi kunci simetris

    Setiap token impor terikat pada kunci publik yang digunakan untuk mengenkripsi materi kunci simetris. CMK ditentukan saat token impor dibuat. Token impor dapat digunakan untuk mengimpor materi kunci simetris hanya untuk CMK yang ditentukan. Masa berlaku token impor adalah 24 jam. Token tersebut dapat digunakan berulang kali dalam periode ini. Setelah token kedaluwarsa, Anda harus mendapatkan token impor baru dan kunci publik baru.

    1. Pada tab User master key, temukan CMK yang ingin Anda impor materi kunci simetrisnya dan klik ID-nya untuk masuk ke halaman manajemen kunci.
    2. Di bagian Key Material, klik Import Wrapped Key Material.
    3. Di kotak dialog Import Wrapped Key Material, konfigurasikan parameter Wrapped Key Material dan Import Token, dan klik OK.

    Hasil

    Setelah materi kunci simetris diimpor, status CMK berubah dari Pending Import menjadi Enabled.