Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Kunci KMS di toko kunci eksternal Untuk membuat, melihat, mengelola, menggunakan, dan menjadwalkan penghapusan kunci KMS di toko kunci eksternal, Anda menggunakan prosedur yang sangat mirip dengan yang Anda gunakan untuk kunci KMS lainnya. Namun, ketika Anda membuat kunci KMS di penyimpanan kunci eksternal, Anda menentukan [penyimpanan kunci eksternal](keystore-external.md#concept-external-key-store) dan [kunci eksternal](keystore-external.md#concept-external-key). Saat Anda menggunakan kunci KMS di penyimpanan kunci eksternal, [operasi enkripsi dan dekripsi](keystore-external.md#xks-how-it-works) dilakukan oleh manajer kunci eksternal Anda menggunakan kunci eksternal yang ditentukan. AWS KMS tidak dapat membuat, melihat, memperbarui, atau menghapus kunci kriptografi apa pun di pengelola kunci eksternal Anda. AWS KMS tidak pernah langsung mengakses manajer kunci eksternal Anda atau kunci eksternal apa pun. Semua permintaan untuk operasi kriptografi dimediasi oleh proxy [penyimpanan kunci eksternal](keystore-external.md#concept-xks-proxy) Anda. Untuk menggunakan kunci KMS di penyimpanan kunci eksternal, penyimpanan kunci eksternal yang meng-host kunci KMS harus [terhubung](xks-connect-disconnect.md) ke proxy penyimpanan kunci eksternal. **Fitur yang didukung** Selain prosedur yang dibahas di bagian ini, Anda dapat melakukan hal berikut dengan kunci KMS di toko kunci eksternal: + Gunakan [kebijakan utama, kebijakan](key-policies.md) [IAM](iam-policies.md), dan [hibah](grants.md) untuk mengontrol akses ke kunci KMS. + [Aktifkan dan nonaktifkan](enabling-keys.md) tombol KMS. Tindakan ini tidak memengaruhi kunci eksternal di manajer kunci eksternal Anda. + Tetapkan [tag](tagging-keys.md) dan buat [alias](kms-alias.md), dan gunakan [kontrol akses berbasis atribut (ABAC) untuk mengotorisasi akses](abac.md) ke kunci KMS. + Gunakan tombol KMS untuk melakukan operasi kriptografi berikut: + [Enkripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) + [Dekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) Operasi yang menghasilkan pasangan kunci data asimetris, [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)dan [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html), *tidak* didukung di penyimpanan kunci khusus. + Gunakan kunci KMS [Layanan AWS yang terintegrasi dengan AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration) dan dukung [kunci yang dikelola pelanggan](concepts.md#customer-mgn-key). **Fitur yang tidak didukung** + Toko kunci eksternal hanya mendukung kunci [KMS enkripsi simetris](symm-asymm-choose-key-spec.md#symmetric-cmks). Anda tidak dapat membuat kunci KMS HMAC atau kunci KMS asimetris di penyimpanan kunci eksternal. + [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)dan tidak [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)didukung pada kunci KMS di toko kunci eksternal. + Anda tidak dapat menggunakan [AWS::KMS::Key CloudFormation template](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) untuk membuat penyimpanan kunci eksternal atau kunci KMS di penyimpanan kunci eksternal. + [Tombol Multi-Region](multi-region-keys-overview.md) tidak didukung di penyimpanan kunci eksternal. + Kunci KMS dengan [bahan kunci impor](importing-keys.md) tidak didukung di toko kunci eksternal. + [Rotasi tombol otomatis](rotate-keys.md) tidak didukung untuk kunci KMS di penyimpanan kunci eksternal. **Menggunakan kunci KMS di toko kunci eksternal** Ketika Anda menggunakan kunci KMS Anda dalam permintaan, identifikasi kunci KMS dengan [ID kunci, kunci ARN, alias, atau alias ARN](concepts.md#key-id). Anda tidak perlu menentukan toko kunci eksternal. Respons mencakup bidang yang sama yang dikembalikan untuk kunci KMS enkripsi simetris apa pun. Namun, ketika Anda menggunakan kunci KMS di penyimpanan kunci eksternal, operasi enkripsi dan dekripsi dilakukan oleh manajer kunci eksternal Anda menggunakan kunci eksternal yang terkait dengan kunci KMS. [Untuk memastikan bahwa ciphertext yang dienkripsi oleh kunci KMS di penyimpanan kunci eksternal setidaknya seaman ciphertext apa pun yang dienkripsi oleh kunci KMS standar, gunakan enkripsi ganda. AWS KMS](keystore-external.md#concept-double-encryption) Data pertama kali dienkripsi dalam AWS KMS menggunakan materi AWS KMS kunci. Kemudian dienkripsi oleh manajer kunci eksternal Anda menggunakan kunci eksternal untuk kunci KMS. Untuk mendekripsi ciphertext terenkripsi ganda, ciphertext pertama kali didekripsi oleh pengelola kunci eksternal Anda menggunakan kunci eksternal untuk kunci KMS. Kemudian didekripsi dalam AWS KMS menggunakan bahan AWS KMS kunci untuk kunci KMS. Untuk memungkinkan ini terjadi, syarat-syarat berikut diperlukan. + [Status kunci](key-state.md) dari kunci KMS harus`Enabled`. Untuk menemukan status kunci, lihat bidang **Status** untuk kunci terkelola pelanggan pada [AWS KMS konsol](finding-keys.md#viewing-console-details) atau `KeyState` bidang dalam [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)respons. + Penyimpanan kunci eksternal yang menampung kunci KMS harus terhubung ke [proxy penyimpanan kunci eksternalnya](keystore-external.md#concept-xks-proxy), yaitu, [status koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci eksternal harus`CONNECTED`. Anda dapat melihat status koneksi pada halaman **penyimpanan kunci eksternal** di AWS KMS konsol atau dalam [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respons. Status koneksi penyimpanan kunci eksternal juga ditampilkan pada halaman detail untuk kunci KMS di AWS KMS konsol. Pada halaman detail, pilih tab **Konfigurasi kriptografi** dan lihat bidang **Status koneksi** di bagian **Penyimpanan kunci khusus**. Jika status koneksi`DISCONNECTED`, Anda harus menghubungkannya terlebih dahulu. Jika status koneksi`FAILED`, Anda harus menyelesaikan masalah, lepaskan penyimpanan kunci eksternal, dan kemudian hubungkan. Untuk petunjuk, lihat [Connect dan lepaskan penyimpanan kunci eksternal](xks-connect-disconnect.md). + Proxy penyimpanan kunci eksternal harus dapat menemukan kunci eksternal. + Kunci eksternal harus diaktifkan dan harus melakukan enkripsi dan dekripsi. Status kunci eksternal independen dan tidak terpengaruh oleh perubahan [status kunci](key-state.md) KMS, termasuk mengaktifkan dan menonaktifkan kunci KMS. Demikian pula, menonaktifkan atau menghapus kunci eksternal tidak mengubah status kunci dari kunci KMS, tetapi operasi kriptografi menggunakan kunci KMS terkait akan gagal. Jika kondisi ini tidak terpenuhi, operasi kriptografi gagal, dan AWS KMS mengembalikan `KMSInvalidStateException` pengecualian. Anda mungkin perlu [menyambungkan kembali penyimpanan kunci eksternal](xks-connect-disconnect.md) atau menggunakan alat pengelola kunci eksternal untuk mengkonfigurasi ulang atau memperbaiki kunci eksternal Anda. Untuk bantuan tambahan, lihat [Memecahkan masalah toko kunci eksternal](xks-troubleshooting.md). Saat menggunakan kunci KMS di penyimpanan kunci eksternal, ketahuilah bahwa kunci KMS di setiap toko kunci eksternal berbagi [kuota permintaan toko kunci kustom](requests-per-second.md#rps-key-stores) untuk operasi kriptografi. Jika Anda melebihi kuota, AWS KMS mengembalikan a`ThrottlingException`. Untuk detail tentang kuota permintaan toko kunci kustom, lihat[Kuota permintaan toko kunci kustom](requests-per-second.md#rps-key-stores). **Pelajari selengkapnya** + Untuk mempelajari lebih lanjut tentang toko kunci eksternal, lihat[Toko kunci eksternal](keystore-external.md). + Untuk mempelajari lebih lanjut tentang materi utama di toko kunci eksternal, lihat[Kunci eksternal](keystore-external.md#concept-external-key). + Untuk membuat kunci KMS di toko kunci eksternal, lihat[Buat kunci KMS di toko kunci eksternal](create-xks-keys.md). + Untuk mengidentifikasi dan melihat kunci KMS di penyimpanan kunci eksternal, lihat[Identifikasi kunci KMS di toko kunci eksternal](identify-key-types.md#view-xks-key). + Untuk mempelajari tentang pertimbangan khusus untuk menghapus kunci KMS di penyimpanan kunci eksternal, lihat [Menghapus kunci KMS dari penyimpanan kunci](deleting-keys.md#delete-xks-key) eksternal.