Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Manajemen kunci
Saat membuat peternakan baru, Anda dapat memilih salah satu kunci berikut untuk mengenkripsi data pertanian Anda:
+ **AWS kunci KMS yang dimiliki** — Jenis enkripsi default jika Anda tidak menentukan kunci saat membuat peternakan. Kunci KMS dimiliki oleh AWS Deadline Cloud. Anda tidak dapat melihat, mengelola, atau menggunakan kunci AWS yang dimiliki. Namun, Anda tidak perlu mengambil tindakan apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi selengkapnya, lihat [kunci yang AWS dimiliki](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) di *panduan AWS Key Management Service pengembang*.
+ **Kunci KMS yang dikelola pelanggan** — Anda menentukan kunci yang dikelola pelanggan saat membuat peternakan. Semua konten di dalam peternakan dienkripsi dengan kunci KMS. Kunci disimpan di akun Anda dan dibuat, dimiliki, dan dikelola oleh Anda dan AWS KMS dikenakan biaya. Anda memiliki kontrol penuh atas tombol KMS. Anda dapat melakukan tugas-tugas seperti:
+ Menetapkan dan memelihara kebijakan utama
+ Menetapkan dan memelihara kebijakan dan hibah IAM
+ Mengaktifkan dan menonaktifkan kebijakan utama
+ Menambahkan tanda
+ Membuat alias kunci
Anda tidak dapat memutar kunci milik pelanggan secara manual yang digunakan dengan Deadline Cloud peternakan. Rotasi otomatis tombol didukung.
Untuk informasi selengkapnya, lihat [Kunci milik pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan AWS Key Management Service Pengembang*.
Untuk membuat kunci terkelola pelanggan, ikuti langkah-langkah untuk [Membuat kunci terkelola pelanggan simetris](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) di *Panduan AWS Key Management Service Pengembang*.
## Bagaimana Deadline Cloud menggunakan AWS KMS hadiah
Deadline Cloud membutuhkan [hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) untuk menggunakan kunci yang dikelola pelanggan Anda. Saat Anda membuat peternakan yang dienkripsi dengan kunci yang dikelola pelanggan, Deadline Cloud buat hibah atas nama Anda dengan mengirimkan `[CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)` permintaan untuk mendapatkan akses AWS KMS ke kunci KMS yang Anda tentukan.
Deadline Cloud menggunakan beberapa hibah. Setiap hibah digunakan oleh bagian yang berbeda Deadline Cloud yang perlu mengenkripsi atau mendekripsi data Anda. Deadline Cloud juga menggunakan hibah untuk memungkinkan akses ke AWS layanan lain yang digunakan untuk menyimpan data atas nama Anda, seperti Amazon Simple Storage Service, Amazon Elastic Block Store, atau OpenSearch.
Hibah yang memungkinkan Deadline Cloud untuk mengelola mesin dalam armada yang dikelola layanan mencakup nomor Deadline Cloud akun dan peran dalam `GranteePrincipal` alih-alih prinsip layanan. Meskipun tidak khas, ini diperlukan untuk mengenkripsi volume Amazon EBS untuk pekerja dalam armada yang dikelola layanan menggunakan kunci KMS terkelola pelanggan yang ditentukan untuk pertanian.
## Kebijakan kunci yang dikelola pelanggan
Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci harus memiliki persis satu kebijakan kunci yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat [Mengelola akses ke kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) di *Panduan AWS Key Management Service Pengembang*.
### Kebijakan IAM minimal untuk CreateFarm
Untuk menggunakan kunci terkelola pelanggan Anda untuk membuat farm menggunakan konsol atau operasi `[CreateFarm](https://docs.aws.amazon.com/deadline-cloud/latest/APIReference/API_CreateFarm.html)` API, operasi AWS KMS API berikut harus diizinkan:
+ `[kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)`— Menambahkan hibah ke kunci yang dikelola pelanggan. Memberikan akses konsol ke AWS KMS kunci tertentu. Untuk informasi selengkapnya, lihat [Menggunakan hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) di panduan *AWS Key Management Service pengembang*.
+ `[kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)`— Memungkinkan Deadline Cloud untuk mendekripsi data di peternakan.
+ `[kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)`— Memberikan detail kunci yang dikelola pelanggan untuk memungkinkan Deadline Cloud memvalidasi kunci.
+ `[kms:GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)`— Memungkinkan Deadline Cloud untuk mengenkripsi data menggunakan kunci data yang unik.
Pernyataan kebijakan berikut memberikan izin yang diperlukan untuk operasi. `CreateFarm`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DeadlineCreateGrants",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234567890abcdef0}}",
"Condition": {
"StringEquals": {
"kms:ViaService": "deadline.us-west-2.amazonaws.com"
}
}
}
]
}
```
------
### Kebijakan IAM minimal untuk operasi hanya-baca
Untuk menggunakan kunci yang dikelola pelanggan Anda untuk Deadline Cloud operasi hanya-baca, seperti mendapatkan informasi tentang peternakan, antrian, dan armada. Operasi AWS KMS API berikut harus diizinkan:
+ `[kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)`— Memungkinkan Deadline Cloud untuk mendekripsi data di peternakan.
+ `[kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)`— Memberikan detail kunci yang dikelola pelanggan untuk memungkinkan Deadline Cloud memvalidasi kunci.
Pernyataan kebijakan berikut memberikan izin yang diperlukan untuk operasi hanya-baca.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DeadlineReadOnly",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}",
"Condition": {
"StringEquals": {
"kms:ViaService": "deadline.us-west-2.amazonaws.com"
}
}
}
]
}
```
------
### Kebijakan IAM minimal untuk operasi baca-tulis
Untuk menggunakan kunci terkelola pelanggan Anda untuk Deadline Cloud operasi baca-tulis, seperti membuat dan memperbarui peternakan, antrian, dan armada. Operasi AWS KMS API berikut harus diizinkan:
+ `[kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)`— Memungkinkan Deadline Cloud untuk mendekripsi data di peternakan.
+ `[kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)`— Memberikan detail kunci yang dikelola pelanggan untuk memungkinkan Deadline Cloud memvalidasi kunci.
+ `[kms:GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)`— Memungkinkan Deadline Cloud untuk mengenkripsi data menggunakan kunci data yang unik.
Pernyataan kebijakan berikut memberikan izin yang diperlukan untuk operasi. `CreateFarm`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DeadlineReadWrite",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}",
"Condition": {
"StringEquals": {
"kms:ViaService": "deadline.us-west-2.amazonaws.com"
}
}
}
]
}
```
------
## Memantau kunci enkripsi Anda
Saat menggunakan kunci terkelola AWS KMS pelanggan dengan Deadline Cloud peternakan, Anda dapat menggunakan [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)atau [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) untuk melacak permintaan yang Deadline Cloud dikirim AWS KMS.
### CloudTrail acara untuk hibah
Contoh CloudTrail peristiwa berikut terjadi ketika hibah dibuat, biasanya ketika Anda memanggil`CreateFarm`,`CreateMonitor`, atau `CreateFleet` operasi.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "{{AROAIGDTESTANDEXAMPLE}}:{{SampleUser01}}",
"arn": "arn:aws::sts::{{111122223333}}:assumed-role/Admin/{{SampleUser01}}",
"accountId": "{{111122223333}}",
"accessKeyId": "{{AKIAIOSFODNN7EXAMPLE3}}",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "{{AROAIGDTESTANDEXAMPLE}}",
"arn": "arn:aws::iam::{{111122223333}}:role/Admin",
"accountId": "{{111122223333}}",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-04-23T02:05:26Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "deadline.amazonaws.com"
},
"eventTime": "2024-04-23T02:05:35Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "deadline.amazonaws.com",
"userAgent": "deadline.amazonaws.com",
"requestParameters": {
"operations": [
"CreateGrant",
"Decrypt",
"DescribeKey",
"Encrypt",
"GenerateDataKey"
],
"constraints": {
"encryptionContextSubset": {
"aws:deadline:farmId": "farm-{{abcdef12345678900987654321fedcba}}",
"aws:deadline:accountId": "{{111122223333}}"
}
},
"granteePrincipal": "deadline.amazonaws.com",
"keyId": "arn:aws::kms:us-west-2:{{111122223333}}:key/{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}",
"retiringPrincipal": "deadline.amazonaws.com"
},
"responseElements": {
"grantId": "{{6bbe819394822a400fe5e3a75d0e9ef16c1733143fff0c1fc00dc7ac282a18a0}}",
"keyId": "arn:aws::kms:us-west-2:{{111122223333}}:key/{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}"
},
"requestID": "{{a1b2c3d4-5678-90ab-cdef-EXAMPLE22222}}",
"eventID": "{{a1b2c3d4-5678-90ab-cdef-EXAMPLE33333}}",
"readOnly": false,
"resources": [
{
"accountId": "AWS Internal",
"type": "AWS::KMS::Key",
"ARN": "arn:aws::kms:us-west-2:{{111122223333}}:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE44444"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "{{111122223333}}",
"eventCategory": "Management"
}
```
### CloudTrail acara untuk dekripsi
Contoh CloudTrail peristiwa berikut terjadi ketika mendekripsi nilai menggunakan kunci KMS yang dikelola pelanggan.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "{{AROAIGDTESTANDEXAMPLE}}:{{SampleUser01}}",
"arn": "arn:aws::sts::111122223333:assumed-role/{{SampleRole}}/{{SampleUser01}}",
"accountId": "111122223333",
"accessKeyId": "{{AKIAIOSFODNN7EXAMPLE}}",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "{{AROAIGDTESTANDEXAMPLE}}",
"arn": "arn:aws::iam::{{111122223333}}:role/{{SampleRole}}",
"accountId": "{{111122223333}}",
"userName": "{{SampleRole}}"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-04-23T18:46:51Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "deadline.amazonaws.com"
},
"eventTime": "2024-04-23T18:51:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "deadline.amazonaws.com",
"userAgent": "deadline.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:deadline:farmId": "farm-{{abcdef12345678900987654321fedcba}}",
"aws:deadline:accountId": "{{111122223333}}",
"aws-crypto-public-key": "{{AotL+SAMPLEVALUEiOMEXAMPLEaaqNOTREALaGTESTONLY+p/5H+EuKd4Q==}}"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws::kms:us-west-2:{{111122223333}}:key/{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}"
},
"responseElements": null,
"requestID": "{{aaaaaaaa-bbbb-cccc-dddd-eeeeeeffffff}}",
"eventID": "{{ffffffff-eeee-dddd-cccc-bbbbbbaaaaaa}}",
"readOnly": true,
"resources": [
{
"accountId": "{{111122223333}}",
"type": "AWS::KMS::Key",
"ARN": "arn:aws::kms:us-west-2:{{111122223333}}:key/{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "{{111122223333}}",
"eventCategory": "Management"
}
```
### CloudTrail acara untuk enkripsi
Contoh CloudTrail peristiwa berikut terjadi ketika mengenkripsi nilai menggunakan kunci KMS yang dikelola pelanggan.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "{{AROAIGDTESTANDEXAMPLE}}:{{SampleUser01}}",
"arn": "arn:aws::sts::{{111122223333}}:assumed-role/{{SampleRole}}/{{SampleUser01}}",
"accountId": "{{111122223333}}",
"accessKeyId": "{{AKIAIOSFODNN7EXAMPLE}}",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "{{AROAIGDTESTANDEXAMPLE}}",
"arn": "arn:aws::iam::{{111122223333}}:role/{{SampleRole}}",
"accountId": "{{111122223333}}",
"userName": "SampleRole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-04-23T18:46:51Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "deadline.amazonaws.com"
},
"eventTime": "2024-04-23T18:52:40Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "deadline.amazonaws.com",
"userAgent": "deadline.amazonaws.com",
"requestParameters": {
"numberOfBytes": 32,
"encryptionContext": {
"aws:deadline:farmId": "farm-{{abcdef12345678900987654321fedcba}}",
"aws:deadline:accountId": "{{111122223333}}",
"aws-crypto-public-key": "{{AotL+SAMPLEVALUEiOMEXAMPLEaaqNOTREALaGTESTONLY+p/5H+EuKd4Q==}}"
},
"keyId": "arn:aws::kms:us-west-2:{{111122223333}}:key/{{abcdef12-3456-7890-0987-654321fedcba}}"
},
"responseElements": null,
"requestID": "{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}",
"eventID": "{{a1b2c3d4-5678-90ab-cdef-EXAMPLE22222}}",
"readOnly": true,
"resources": [
{
"accountId": "{{111122223333}}",
"type": "AWS::KMS::Key",
"ARN": "arn:aws::kms:us-west-2:{{111122223333}}:key/{{a1b2c3d4-5678-90ab-cdef-EXAMPLE33333}}"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "{{111122223333}}",
"eventCategory": "Management"
}
```
## Menghapus kunci KMS yang dikelola pelanggan
Menghapus kunci KMS yang dikelola pelanggan di AWS Key Management Service (AWS KMS) bersifat merusak dan berpotensi berbahaya. Ini secara permanen menghapus materi kunci dan semua metadata yang terkait dengan kunci. Setelah kunci KMS yang dikelola pelanggan dihapus, Anda tidak dapat lagi mendekripsi data yang dienkripsi oleh kunci itu. Menghapus kunci berarti bahwa data menjadi tidak dapat dipulihkan.
Inilah sebabnya mengapa AWS KMS memberi pelanggan masa tunggu hingga 30 hari sebelum menghapus kunci KMS. Masa tunggu default adalah 30 hari.
### Tentang masa tunggu
Karena menghapus kunci KMS yang dikelola pelanggan merusak dan berpotensi berbahaya, kami mengharuskan Anda menetapkan masa tunggu 7-30 hari. Masa tunggu default adalah 30 hari.
Namun, masa tunggu sebenarnya mungkin hingga 24 jam lebih lama dari periode yang Anda jadwalkan. Untuk mendapatkan tanggal dan waktu aktual ketika kunci akan dihapus, gunakan [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operasi. Anda juga dapat melihat tanggal penghapusan kunci yang dijadwalkan di [AWS KMS konsol](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys-console.html#viewing-details-navigate) pada halaman detail kunci, di bagian **Konfigurasi umum**. Perhatikan zona waktu.
Selama masa tunggu, status dan status kunci yang dikelola pelanggan adalah **Penghapusan tertunda**.
+ [Kunci KMS yang dikelola pelanggan yang menunggu penghapusan tidak dapat digunakan dalam operasi kriptografi apa pun.](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#cryptographic-operations)
+ AWS KMS tidak [memutar kunci dukungan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html#rotate-keys-how-it-works) KMS yang dikelola pelanggan yang sedang menunggu penghapusan.
*Untuk informasi selengkapnya tentang menghapus kunci KMS yang dikelola pelanggan, lihat [Menghapus kunci master pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) di Panduan Pengembang AWS Key Management Service .*