Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Langkah 2: Unduh kunci publik pembungkus dan token impor
<a name="importing-keys-get-public-key-and-token"></a>

Setelah Anda [membuat materi AWS KMS key tanpa kunci](importing-keys-create-cmk.md), unduh kunci publik pembungkus dan token impor untuk kunci KMS tersebut dengan menggunakan AWS KMS konsol atau API. [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) Kunci publik pembungkus dan token impor adalah set tak terpisahkan yang harus digunakan bersama.

Anda akan menggunakan kunci publik pembungkus untuk [mengenkripsi materi utama Anda untuk transportasi](importing-keys-encrypt-key-material.md). [Sebelum mengunduh RSA wrapping key pair, Anda memilih length (key spec) dari RSA wrapping key pair dan algoritma wrapping yang akan Anda gunakan untuk mengenkripsi material kunci impor Anda untuk diangkut pada langkah 3.](importing-keys-encrypt-key-material.md) AWS KMS juga mendukung spesifikasi kunci SM2 pembungkus (hanya Wilayah Tiongkok).

Setiap pembungkus kunci publik dan set token impor berlaku selama 24 jam. Jika Anda tidak menggunakannya untuk mengimpor materi kunci dalam waktu 24 jam setelah mengunduhnya, Anda harus mengunduh set baru. Anda dapat mengunduh kunci publik pembungkus baru dan mengimpor set token kapan saja. Ini memungkinkan Anda mengubah panjang kunci pembungkus RSA Anda (“spesifikasi kunci”) atau mengganti set yang hilang.

Anda juga dapat mengunduh kunci publik pembungkus dan set token impor untuk [mengimpor kembali materi kunci yang sama ke kunci](importing-keys-import-key-material.md#reimport-key-material) KMS. Anda dapat melakukan ini untuk mengatur atau mengubah waktu kedaluwarsa untuk materi kunci, atau untuk memulihkan materi kunci yang kedaluwarsa atau dihapus. Anda harus mengunduh dan mengenkripsi ulang materi kunci Anda setiap kali Anda mengimpornya. AWS KMS

**Penggunaan kunci publik pembungkus**  
Unduhan menyertakan kunci publik yang unik untuk Anda Akun AWS, juga disebut *kunci publik pembungkus*.  
Sebelum Anda mengimpor materi kunci, Anda mengenkripsi materi kunci dengan kunci pembungkus publik, dan kemudian mengunggah materi kunci terenkripsi ke. AWS KMS Saat AWS KMS menerima materi kunci terenkripsi Anda, ia mendekripsi materi kunci dengan kunci pribadi yang sesuai, kemudian mengenkripsi ulang materi kunci di bawah kunci simetris AES, semuanya dalam modul keamanan perangkat keras (HSM). AWS KMS 

**Penggunaan token impor**  
Unduhan menyertakan token impor dengan metadata yang memastikan bahwa materi kunci Anda diimpor dengan benar. Saat Anda mengunggah materi kunci terenkripsi AWS KMS, Anda harus mengunggah token impor yang sama dengan yang Anda unduh di langkah ini.

## Pilih spesifikasi kunci publik pembungkus
<a name="select-wrapping-key-spec"></a>

Untuk melindungi materi kunci Anda selama impor, Anda mengenkripsinya menggunakan kunci publik pembungkus yang Anda unduh AWS KMS, dan algoritme [pembungkus](#select-wrapping-algorithm) yang didukung. Anda memilih spesifikasi kunci sebelum mengunduh kunci publik pembungkus dan token impor. Semua pasangan kunci pembungkus dihasilkan dalam modul keamanan AWS KMS perangkat keras (HSMs). Kunci pribadi tidak pernah meninggalkan HSM dalam teks biasa.

**Spesifikasi kunci pembungkus RSA**  
*Spesifikasi kunci* dari kunci publik pembungkus menentukan panjang kunci dalam key pair RSA yang melindungi material kunci Anda selama pengangkutannya. AWS KMS Secara umum, kami sarankan menggunakan kunci publik pembungkus terpanjang yang praktis. Kami menawarkan beberapa spesifikasi kunci publik yang lengkap untuk mendukung berbagai manajer HSMs kunci.  
AWS KMS mendukung spesifikasi kunci berikut untuk kunci pembungkus RSA yang digunakan untuk mengimpor bahan kunci dari semua jenis, kecuali seperti yang disebutkan.   
+ RSA\$14096 (disarankan)
+ RSA\$13072
+ RSA\$12048
**catatan**  
Kombinasi berikut TIDAK didukung: bahan kunci ECC\$1NIST\$1P521, spesifikasi kunci pembungkus publik RSA\$12048, dan algoritma pembungkus RSAES\$1OAEP\$1SHA\$1\$1.  
Anda tidak dapat langsung membungkus materi kunci ECC\$1NIST\$1P521 dengan kunci pembungkus publik RSA\$12048. Gunakan kunci pembungkus yang lebih besar atau algoritma pembungkus RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1\$1.

**SM2 spesifikasi kunci pembungkus (hanya Wilayah Tiongkok)**  
AWS KMS mendukung spesifikasi kunci berikut untuk kunci SM2 pembungkus yang digunakan untuk mengimpor bahan kunci asimetris.  
+ SM2

## Pilih algoritme pembungkus
<a name="select-wrapping-algorithm"></a>

Untuk melindungi materi kunci Anda selama impor, Anda mengenkripsinya menggunakan kunci publik pembungkus yang diunduh dan algoritme pembungkus yang didukung. 

AWS KMS mendukung beberapa algoritma pembungkus RSA standar dan algoritma pembungkus hibrida dua langkah. Secara umum, sebaiknya gunakan algoritme pembungkus paling aman yang kompatibel dengan bahan kunci impor dan spesifikasi kunci [pembungkus](#select-wrapping-key-spec) Anda. Biasanya, Anda memilih algoritme yang didukung oleh modul keamanan perangkat keras (HSM) atau sistem manajemen kunci yang melindungi material kunci Anda.

Tabel berikut menunjukkan algoritma pembungkus yang didukung untuk setiap jenis bahan kunci dan kunci KMS. Algoritma tercantum dalam urutan preferensi.


| Material kunci | Algoritma dan spesifikasi pembungkus yang didukung | 
| --- | --- | 
| Kunci enkripsi simetris Kunci AES 256-bit    SM4 Kunci 128-bit (hanya Wilayah Tiongkok) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Kunci pribadi RSA asimetris  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Kunci pribadi kurva elips asimetris (ECC)   Anda tidak dapat menggunakan algoritma pembungkus RSAES\$1OAEP\$1SHA\$1\$1 dengan spesifikasi kunci pembungkus RSA\$12048 untuk membungkus materi kunci ECC\$1NIST\$1P521. |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Kunci SM2 pribadi asimetris (hanya Wilayah Tiongkok) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Kunci HMAC |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 

**catatan**  
Algoritma `RSA_AES_KEY_WRAP_SHA_256` dan `RSA_AES_KEY_WRAP_SHA_1` pembungkus tidak didukung di Wilayah Tiongkok.
+ `RSA_AES_KEY_WRAP_SHA_256`— Algoritma pembungkus hibrida dua langkah yang menggabungkan enkripsi materi kunci Anda dengan kunci simetris AES yang Anda hasilkan, dan kemudian mengenkripsi kunci simetris AES dengan kunci pembungkus publik RSA yang diunduh dan algoritma pembungkus RSAES\$1OAEP\$1SHA\$1256.

  Algoritma `RSA_AES_KEY_WRAP_SHA_*` pembungkus diperlukan untuk membungkus materi kunci pribadi RSA, kecuali di Wilayah Tiongkok, di mana Anda harus menggunakan algoritma pembungkus. `SM2PKE`
+ `RSA_AES_KEY_WRAP_SHA_1`— Algoritma pembungkus hibrida dua langkah yang menggabungkan enkripsi materi kunci Anda dengan kunci simetris AES yang Anda hasilkan, dan kemudian mengenkripsi kunci simetris AES dengan kunci publik pembungkus RSA yang diunduh dan algoritma pembungkus RSAES\$1OAEP\$1SHA\$11.

  Algoritma `RSA_AES_KEY_WRAP_SHA_*` pembungkus diperlukan untuk membungkus materi kunci pribadi RSA, kecuali di Wilayah Tiongkok, di mana Anda harus menggunakan algoritma pembungkus. `SM2PKE`
+ `RSAES_OAEP_SHA_256`— Algoritma enkripsi RSA dengan Optimal Asymmetric Encryption Padding (OAEP) dengan fungsi hash SHA-256.
+ `RSAES_OAEP_SHA_1`— Algoritma enkripsi RSA dengan Optimal Asymmetric Encryption Padding (OAEP) dengan fungsi hash SHA-1.
+ `RSAES_PKCS1_V1_5`(Usang; per 10 Oktober 2023, AWS KMS tidak mendukung algoritma pembungkus RSAES\$1 PKCS1 \$1V1\$15) — Algoritma enkripsi RSA dengan format padding yang ditentukan dalam PKCS \$11 Versi 1.5.
+ `SM2PKE`(Hanya Wilayah Tiongkok) — Algoritma enkripsi berbasis kurva elips yang ditentukan oleh GM/T OSCCA pada 0003.4-2012.

**Topics**
+ [Pilih spesifikasi kunci publik pembungkus](#select-wrapping-key-spec)
+ [Pilih algoritme pembungkus](#select-wrapping-algorithm)
+ [Mengunduh kunci publik pembungkus dan token impor (konsol)](#importing-keys-get-public-key-and-token-console)
+ [Mengunduh kunci publik pembungkus dan token impor (AWS KMS API)](#importing-keys-get-public-key-and-token-api)

## Mengunduh kunci publik pembungkus dan token impor (konsol)
<a name="importing-keys-get-public-key-and-token-console"></a>

Anda dapat menggunakan AWS KMS konsol untuk mengunduh kunci publik pembungkus dan token impor.

1. Jika Anda baru saja menyelesaikan langkah-langkah untuk [membuat kunci KMS tanpa materi kunci](importing-keys-create-cmk.md#importing-keys-create-cmk-console) dan Anda berada di **tombol pembungkus Unduh dan halaman token impor**, lewati ke. [Step 10](#id-wrap-step)

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.
**Tip**  
Anda dapat mengimpor materi kunci hanya ke kunci KMS dengan **Origin** of **External (Import key material)**. Ini menunjukkan bahwa kunci KMS dibuat tanpa bahan kunci. Untuk menambahkan kolom **Asal** ke tabel Anda, di sudut kanan atas halaman, pilih ikon pengaturan (![\[Gear or cog icon representing settings or configuration options.\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/console-icon-settings-new.png)). Hidupkan **Asal**, lalu pilih **Konfirmasi**.

1. Pilih alias atau ID kunci kunci KMS yang menunggu impor.

1. Pilih tab **Konfigurasi kriptografi** dan lihat nilainya. Tab ada di bawah bagian **Konfigurasi umum**.

   Anda hanya dapat mengimpor materi kunci ke kunci KMS **Asal** **Eksternal (bahan Kunci Impor)**. Untuk informasi tentang membuat kunci KMS dengan materi kunci impor, lihat,[Mengimpor bahan kunci untuk AWS KMS kunci](importing-keys.md).

1. Pilih tab yang sesuai berdasarkan jenis kunci Anda. 
   + Untuk tombol asimetris dan HMAC, pilih tab **Bahan kunci**.
   + Untuk kunci enkripsi simetris, pilih tab **Bahan kunci dan rotasi.**

1. Pilih tindakan impor.
   + Untuk kunci asimetris dan HMAC, pilih **Impor bahan kunci**.
   + Untuk kunci enkripsi simetris, pilih salah satu dari berikut ini:
     + **Impor bahan kunci awal** (jika belum ada bahan kunci yang diimpor)
     + **Impor bahan kunci baru** (untuk menambahkan material baru untuk rotasi)
     + **Impor ulang materi kunci** (tersedia dari menu **Tindakan** di tabel bahan utama)
**catatan**  
Untuk kunci Multi-region, Anda harus terlebih dahulu mengimpor materi kunci baru ke kunci Region primer. Kemudian, impor bahan kunci yang sama ke setiap kunci Region replika.  
Untuk kunci Multi-wilayah utama, tabel **Bahan kunci** menyertakan kolom status **impor Replika** yang menampilkan status impor di semua wilayah replika (misalnya, “0 dari 3 yang diimpor”). Pilih nilai status impor replika untuk membuka modal yang menunjukkan status impor untuk setiap wilayah replika. Modal menyediakan tautan **materi kunci Impor** untuk wilayah replika di mana materi kunci baru belum diimpor.

1. Untuk **Pilih spesifikasi tombol pembungkus**, pilih konfigurasi untuk kunci KMS Anda. Setelah Anda membuat kunci ini, Anda tidak dapat mengubah spesifikasi kunci. 

1. <a name="id-wrap-step"></a>Untuk **Memilih algoritme pembungkus**, pilih opsi yang akan Anda gunakan untuk mengenkripsi material kunci Anda. Untuk informasi selengkapnya tentang opsi, lihat [Pilih Algoritme Pembungkus](#select-wrapping-algorithm).

1. Pilih **Download wrapping public key dan import token**, lalu simpan file. 

   Jika Anda memiliki opsi **Selanjutnya**, untuk melanjutkan proses sekarang, pilih **Selanjutnya**. Untuk melanjutkan nanti, pilih **Batalkan**. 

1. Dekompresi file `.zip` yang Anda simpan pada langkah sebelumnya (`Import_Parameters_<key_id>_<timestamp>`).

   Folder berisi file-file berikut:
   + Kunci publik pembungkus dalam file bernama`WrappingPublicKey.bin`.
   + Token impor dalam file bernama`ImportToken.bin`.
   + Sebuah file teks bernama README.txt. File ini berisi informasi tentang kunci publik pembungkus, algoritma pembungkus yang digunakan untuk mengenkripsi materi kunci Anda, dan tanggal dan waktu ketika kunci publik pembungkus dan token impor kedaluwarsa.

1. Untuk melanjutkan proses, lihat [mengenkripsi material kunci Anda](importing-keys-encrypt-key-material.md). 

## Mengunduh kunci publik pembungkus dan token impor (AWS KMS API)
<a name="importing-keys-get-public-key-and-token-api"></a>

Untuk mengunduh kunci publik dan token impor, gunakan [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)API. Tentukan kunci KMS yang akan dikaitkan dengan materi kunci yang diimpor. Kunci KMS ini harus memiliki nilai [Origin](create-keys.md#key-origin). `EXTERNAL`

**catatan**  
Anda tidak dapat mengimpor materi kunci untuk kunci KMS ML-DSA.

Contoh ini menentukan algoritma `RSA_AES_KEY_WRAP_SHA_256` pembungkus, spesifikasi kunci publik pembungkus RSA\$13072, dan ID kunci contoh. Ganti nilai contoh ini dengan nilai yang valid untuk unduhan Anda. Untuk ID kunci, Anda dapat menggunakan [ID kunci atau kunci](concepts.md#key-id-key-id) [ARN](concepts.md#key-id-key-ARN), tetapi Anda tidak dapat menggunakan [nama alias atau alias](concepts.md#key-id-alias-name) [ARN](concepts.md#key-id-alias-ARN) dalam operasi ini.

```
$ aws kms get-parameters-for-import \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --wrapping-algorithm RSA_AES_KEY_WRAP_SHA_256 \
    --wrapping-key-spec RSA_3072
```

Ketika perintah berhasil, Anda melihat output yang serupa dengan berikut ini:

```
{
    "ParametersValidTo": 1568290320.0,
    "PublicKey": "public key (base64 encoded)",
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "ImportToken": "import token (base64 encoded)"
}
```

Untuk menyiapkan data untuk langkah berikutnya, base64 memecahkan kode kunci publik dan token impor dan menyimpan nilai yang diterjemahkan dalam file.

Untuk base64 memecahkan kode kunci publik dan token impor:

1. Salin kunci publik yang dikodekan base64 (diwakili oleh *public key (base64 encoded)* dalam contoh output), tempelkan ke file baru, lalu simpan file tersebut. Berikan file nama deskriptif, seperti`PublicKey.b64`.

1. Gunakan [OpenSSL](https://openssl.org/) ke base64 mendekodekan isi file dan menyimpan data yang didekodekan ke file baru. Contoh berikut mendekodekan data dalam file yang Anda simpan di langkah sebelumnya (`PublicKey.b64`) dan menyimpan output ke file baru bernama `WrappingPublicKey.bin`.

   ```
   $ openssl enc -d -base64 -A -in PublicKey.b64 -out WrappingPublicKey.bin
   ```

1. Salin token impor yang dikodekan base64 (diwakili oleh *import token (base64 encoded)* dalam contoh output), tempelkan ke file baru, lalu simpan file tersebut. Berikan nama deskriptif pada file, misalnya `importtoken.b64`.

1. Gunakan [OpenSSL](https://openssl.org/) ke base64 mendekodekan isi file dan menyimpan data yang didekodekan ke file baru. Contoh berikut mendekodekan data dalam file yang Anda simpan di langkah sebelumnya (`ImportToken.b64`) dan menyimpan output ke file baru bernama `ImportToken.bin`.

   ```
   $ openssl enc -d -base64 -A -in importtoken.b64 -out ImportToken.bin
   ```

Lanjut ke [Langkah 3: Enkripsi material kunci](importing-keys-encrypt-key-material.md).