Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # KMS Key \| Buat Buat AWS KMS Customer Master Key (CMK) menggunakan dokumen otomatisasi SSM dengan validasi kebijakan. **Klasifikasi lengkap:** Penerapan \| Komponen tumpukan lanjutan \| Kunci KMS \| Buat ## Ubah Detail Jenis **** | | | | --- |--- | | Ubah tipe ID | ct-1d84keiri1jhg | | Versi saat ini | 2.0 | | Durasi eksekusi yang diharapkan | 30 menit | | Persetujuan AWS | Diperlukan | | Persetujuan pelanggan | Tidak diperlukan | | Mode eksekusi | Otomatis | ## Informasi tambahan ### Buat kunci KMS #### Membuat Kunci AWS KMS dengan Konsol Tangkapan layar dari jenis perubahan ini di konsol AMS: ![](http://docs.aws.amazon.com/id_id/managedservices/latest/ctref/images/guiKmsKeyCreateCT.png) Cara kerjanya: 1. Arahkan ke halaman **Buat RFC**: Di panel navigasi kiri konsol AMS klik **RFCs**untuk membuka halaman RFCs daftar, lalu klik **Buat** RFC. 1. Pilih jenis perubahan populer (CT) di tampilan default **Jelajahi jenis perubahan**, atau pilih CT dalam tampilan **Pilih menurut kategori**. + **Jelajahi berdasarkan jenis perubahan**: Anda dapat mengklik CT populer di area **Buat cepat** untuk segera membuka halaman **Jalankan RFC**. Perhatikan bahwa Anda tidak dapat memilih versi CT yang lebih lama dengan pembuatan cepat. Untuk mengurutkan CTs, gunakan area **Semua jenis perubahan** dalam tampilan **Kartu** atau **Tabel**. Di kedua tampilan, pilih CT dan kemudian klik **Buat RFC** untuk membuka halaman **Jalankan RFC**. Jika berlaku, opsi **Buat dengan versi yang lebih lama** muncul di sebelah tombol **Buat RFC**. + **Pilih berdasarkan kategori**: Pilih kategori, subkategori, item, dan operasi dan kotak detail CT terbuka dengan opsi untuk **Membuat dengan versi yang lebih lama** jika berlaku. Klik **Buat RFC** untuk membuka halaman **Jalankan RFC**. 1. Pada halaman **Jalankan RFC**, buka area nama CT untuk melihat kotak detail CT. **Subjek** diperlukan (ini diisi untuk Anda jika Anda memilih CT Anda di tampilan **jenis perubahan Jelajahi**). Buka area **konfigurasi tambahan** untuk menambahkan informasi tentang RFC. Di area **konfigurasi Eksekusi**, gunakan daftar drop-down yang tersedia atau masukkan nilai untuk parameter yang diperlukan. Untuk mengkonfigurasi parameter eksekusi opsional, buka area **konfigurasi tambahan**. 1. Setelah selesai, klik **Jalankan**. Jika tidak ada kesalahan, halaman **RFC berhasil dibuat** ditampilkan dengan detail RFC yang dikirimkan, dan output **Run** awal. 1. Buka area **parameter Jalankan** untuk melihat konfigurasi yang Anda kirimkan. Segarkan halaman untuk memperbarui status eksekusi RFC. Secara opsional, batalkan RFC atau buat salinannya dengan opsi di bagian atas halaman. #### Membuat Kunci AWS KMS dengan CLI Cara kerjanya: 1. Gunakan Inline Create (Anda mengeluarkan `create-rfc` perintah dengan semua RFC dan parameter eksekusi disertakan), atau Template Create (Anda membuat dua file JSON, satu untuk parameter RFC dan satu untuk parameter eksekusi) dan mengeluarkan `create-rfc` perintah dengan dua file sebagai input. Kedua metode tersebut dijelaskan di sini. 1. Kirim `aws amscm submit-rfc --rfc-id {{ID}}` perintah RFC: dengan ID RFC yang dikembalikan. Pantau `aws amscm get-rfc --rfc-id {{ID}}` perintah RFC:. Untuk memeriksa versi jenis perubahan, gunakan perintah ini: ``` aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value={{CT_ID}} ``` **catatan** Anda dapat menggunakan `CreateRfc` parameter apa pun dengan RFC apa pun apakah itu bagian dari skema untuk jenis perubahan atau tidak. Misalnya, untuk mendapatkan pemberitahuan ketika status RFC berubah, tambahkan baris ini, `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"` ke bagian parameter RFC dari permintaan (bukan parameter eksekusi). Untuk daftar semua CreateRfc parameter, lihat [Referensi AMS Change Management API](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html). *BUAT SEBARIS*: Keluarkan perintah create RFC dengan parameter eksekusi yang disediakan sebaris (tanda kutip saat memberikan parameter eksekusi sebaris), lalu kirimkan ID RFC yang dikembalikan. Misalnya, Anda dapat mengganti konten dengan sesuatu seperti ini: Parameter yang diperlukan saja: ``` aws amscm create-rfc --title {{my-app-key}} --change-type-id ct-1d84keiri1jhg --change-type-version {{1.0}} --execution-parameters '{"Description":"{{KMS key for my-app}}","VpcId":"{{VPC_ID}}","Name":"{{my-app-key}}","StackTemplateId":"stm-enf1j068fhg34vugt","TimeoutInMinutes":60,"Parameters":{"Description":"{{KMS key for my-app}}"}}' ``` *TEMPLATE MEMBUAT*: 1. Output parameter eksekusi skema JSON untuk jenis perubahan ini ke file; contoh ini menamainya CreateKmsKeyAutoParams .json. ``` aws amscm get-change-type-version --change-type-id "ct-1d84keiri1jhg" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateKmsKeyAutoParams.json ``` 1. Ubah dan simpan CreateKmsKeyAutoParams file. Contohnya mengikuti. **Berikan pengguna atau peran, izin untuk mendekripsi CMK yang dibuat**. Contoh parameter eksekusi: ``` { "Description": "{{KMS key for my-app}}", "VpcId": "{{VPC_ID}}”, "Name": "{{my-app-key-decrypt}}", "StackTemplateId": "stm-enf1j068fhg34vugt", "TimeoutInMinutes": 60, "Parameters": { "IAMPrincipalsRequiringDecryptPermissions": [ "{{ARN:role/roleA}}", "{{ARN:user/userB}}", "{{ARN:role/instanceProfileA}}" ], "Description": "{{KMS key for my-app}}" } } ``` Untuk kebijakan yang dihasilkan, lihat[Memberikan Izin untuk Mendekripsi dengan CMLuntuk Pengguna IAM atau Peran](#kms-key-grant-cmk-decrypt-for-user-or-role). **Berikan pengguna atau peran, izin untuk mengenkripsi menggunakan CMK yang dibuat**. Contoh parameter eksekusi: ``` { "Description": "{{KMS key for my-app}}", "VpcId": "{{VPC_ID}}", "Name": "{{my-app-key-encrypt}}", "Tags": [ { "Key": "Name", "Value": "{{my-app-key}}" } ], "StackTemplateId": "stm-enf1j068fhg34vugt", "TimeoutInMinutes": 60, "Parameters": { "IAMPrincipalsRequiringEncryptPermissions": [ "{{ARN:role/roleA}}", "{{ARN:user/userB}}", "{{ARN:role/instanceProfileA}}" ], "Description": "KMS key for my-app" } } ``` Untuk kebijakan yang dihasilkan, lihat[Memberikan Izin untuk Mengenkripsi dengan CMLuntuk Pengguna IAM atau Peran](#kms-key-grant-cmk-encrypt-for-user-or-role). **Berikan izin kepada pengguna, peran, atau akun untuk membuat hibah menggunakan CMK yang dibuat**. Contoh parameter eksekusi: ``` { "Description": "{{KMS key for my-app}}", "VpcId": "{{VPC_ID}}", "Name": "{{my-app-key-create-grants}}", "StackTemplateId": "stm-enf1j068fhg34vugt", "TimeoutInMinutes": 60, "Parameters": { "IAMPrincipalsRequiringGrantsPermissions": [ "{{arn:aws:iam::999999999999:role/roleA}}", "{{888888888888}}" ], "Description": "{{KMS key for my-app}}" } } ``` Untuk kebijakan yang dihasilkan, lihat[Memberikan Izin untuk Membuat Hibah dengan CMK untuk Pengguna, Peran, atau Akun IAM](#kms-key-create-cmk-grants-for-user-role-or-account). **Izinkan hanya layanan AWS yang terintegrasi dengan AWS KMS untuk melakukan operasi GRANT**. Contoh parameter eksekusi: ``` { "Description": "{{KMS key for my-app}}", "VpcId": "{{VPC_ID}}", "Name": "{{my-app-key-limit-to-services}}", "StackTemplateId": "stm-enf1j068fhg34vugt", "TimeoutInMinutes": 60, "Parameters": { "IAMPrincipalsRequiringGrantsPermissions": [ "{{arn:aws:iam::999999999999:role/roleA}}" ], "LimitGrantsToAWSResources": "true", "Description": "{{KMS key for my-app}}" } } ``` Untuk kebijakan yang dihasilkan, lihat[Izinkan hanya layanan AWS yang Terintegrasi dengan AWS KMS untuk Melakukan Operasi GRANT](#kms-key-limit-grants-to-aws-services). **Menegakkan penggunaan kunci konteks enkripsi dalam operasi kriptografi**. Contoh parameter eksekusi: ``` { "Description": "{{KMS key for my-app}}", "VpcId": "{{VPC_ID}}", "Name": "{{my-app-key-encryption-keys}}", "StackTemplateId": "stm-enf1j068fhg34vugt", "TimeoutInMinutes": 60, "Parameters": { "EnforceEncryptionContextKeys": "true", "Description": "{{KMS key for my-app}}" } } ``` Untuk kebijakan yang dihasilkan, lihat[Menegakkan penggunaan Kunci Konteks Enkripsi dalam Operasi Kriptografi](#kms-key-enforce-encryption-context-keys). **Menegakkan daftar spesifik kunci konteks enkripsi dalam operasi kriptografi**. Contoh parameter eksekusi: ``` { "Description": "{{KMS key for my-app}}", "VpcId": "{{VPC_ID}}", "Name": "{{my-app-key-encryption-list}}", "StackTemplateId": "stm-enf1j068fhg34vugt", "TimeoutInMinutes": 60, "Parameters": { "AllowedEncryptionContextKeys": [ "{{Name}}", "{{Application}}" ], "Description": "{{KMS key for my-app}}" } } ``` Untuk kebijakan yang dihasilkan, lihat[Menegakkan Daftar Khusus Kunci Konteks Enkripsi dalam Operasi Kriptografi](#kms-key-enforce-encryption-context-keys-list). **Izinkan layanan AWS mengakses CMK yang dibuat**. Contoh parameter eksekusi: ``` { "Description" : "KMS key for my-app", "VpcId" : "VPC_ID", "Name" : "my-app-key-allow-aws-service-access", "StackTemplateId" : "stm-enf1j068fhg34vugt", "TimeoutInMinutes" : 60, "Parameters" : { "AllowServiceRolesAccessKMSKeys": [ "ec2.us-east-1.amazonaws.com", "ecr.us-east-1.amazonaws.com" ], "Description": "KMS key for my-app" } } ``` Untuk kebijakan yang dihasilkan, lihat[Izinkan layanan AWS mengakses CMK yang dibuat](#kms-key-allow-services). 1. Keluarkan file JSON template RFC ke file; contoh ini menamainya CreateKmsKeyAutoRfc .json: ``` aws amscm create-rfc --generate-cli-skeleton > CreateKmsKeyAutoRfc.json ``` 1. Ubah dan simpan CreateKmsKeyAutoRfc file.json. Misalnya, Anda dapat mengganti konten dengan sesuatu seperti ini: ``` { "ChangeTypeId": "ct-1d84keiri1jhg", "ChangeTypeVersion": "1.0", "Title": "{{Create KMS Key}}" } ``` 1. Buat RFC, tentukan file CreateKmsKeyAuto Rfc dan file: CreateKmsKeyAutoParams ``` aws amscm create-rfc --cli-input-json file://CreateKmsKeyAutoRfc.json --execution-parameters file://CreateKmsKeyAutoParams.json ``` Anda menerima ID RFC baru dalam respons dan dapat menggunakannya untuk mengirimkan dan memantau RFC. Sampai Anda mengirimkannya, RFC tetap dalam kondisi pengeditan dan tidak dimulai. #### Kiat + CT ini menciptakan CloudFormation tumpukan yang menciptakan kunci KMS dengan`DeletionPolicy: Retain`. Secara desain, kunci KMS yang dibuat akan tetap ada bahkan setelah Anda menghapus tumpukan. Jika Anda yakin ingin menghapus kunci KMS, buat RFC dengan Ubah Jenis [ct-2zxya20wmf5bf](schemas.md#ct-2zxya20wmf5bf-schema-section), Manajemen \| Komponen tumpukan lanjutan \| Kunci KMS \| Hapus (otomatisasi terkelola). + Jenis perubahan ini ExecutionMode = Otomatis, jadi jenis perubahan ini tidak memerlukan peninjauan manual oleh operasi AMS dan harus dijalankan lebih cepat daripada KMS Key: Create (otomatisasi terkelola); namun, jika Anda memiliki situasi yang tidak biasa, versi manual mungkin bekerja lebih baik untuk Anda. Lihat [Kunci KMS \| Buat (otomatisasi terkelola)](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-kms-key-create-review-required.html). + CT ini memiliki parameter baru, AllowServiceRolesAccess KMSKeys, yang menyediakan akses layanan AWS yang ditentukan ke kunci KMS. Perubahan dilakukan karena peran layanan grup Autoscaling tidak dapat memulai instans EC2 dengan volume EBS terenkripsi karena kurangnya izin ke kunci KMS. + Untuk mempelajari selengkapnya tentang kunci AWS KMS, lihat [AWS Key Management Service (KMS), AWS Key Management](https://aws.amazon.com/kms/) [Service, dan AWS Key Management FAQs](https://aws.amazon.com/kms/faqs/) [Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) Concepts. #### Kunci KMS Buat kebijakan yang dihasilkan Bergantung pada cara Anda membuat kunci KMS, Anda membuat kebijakan. Contoh kebijakan ini cocok dengan berbagai skenario pembuatan kunci KMS yang disediakan di[Buat kunci KMS](#ex-kms-key-create-col). ##### Memberikan Izin untuk Mendekripsi dengan CMLuntuk Pengguna IAM atau Peran Kebijakan contoh yang dihasilkan memberi pengguna IAM, peran atau profil instans, izin untuk mendekripsi menggunakan CMK: ``` { "Sid": "Allow decrypt using the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::999999999999:role/roleA", "arn:aws:iam::999999999999:user/userB", "arn:aws:iam::999999999999:role/instanceProfileA" ] }, "Action": [ "kms:DescribeKey", "kms:Decrypt" ], "Resource": "*" } ``` Untuk parameter eksekusi untuk membuat kebijakan ini dengan kunci KMS Buat tipe perubahan, lihat [Buat kunci KMS](#ex-kms-key-create-col) ##### Memberikan Izin untuk Mengenkripsi dengan CMLuntuk Pengguna IAM atau Peran Kebijakan contoh yang dihasilkan memberi pengguna IAM, peran atau profil instans, izin untuk mengenkripsi menggunakan CMK: ``` { "Sid": "Allow encrypt using the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::999999999999:role/roleA", "arn:aws:iam::999999999999:user/userB", "arn:aws:iam::999999999999:role/instanceProfileA" ] }, "Action": [ "kms:DescribeKey", "kms:Encrypt", "kms:ReEncrypt*", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*" } ``` Untuk parameter eksekusi untuk membuat kebijakan ini dengan kunci KMS Buat tipe perubahan, lihat [Buat kunci KMS](#ex-kms-key-create-col) ##### Memberikan Izin untuk Membuat Hibah dengan CMK untuk Pengguna, Peran, atau Akun IAM Kebijakan contoh yang dihasilkan: ``` { "Sid": "Allow grants", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::999999999999:role/roleA", "arn:aws:iam::888888888888:root" ] }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*" } ``` Untuk parameter eksekusi untuk membuat kebijakan ini dengan kunci KMS Buat tipe perubahan, lihat [Buat kunci KMS](#ex-kms-key-create-col) ##### Izinkan hanya layanan AWS yang Terintegrasi dengan AWS KMS untuk Melakukan Operasi GRANT Kebijakan contoh yang dihasilkan: ``` { "Sid": "Allow grants", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::999999999999:role/roleA" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*" }, { "Sid": "Deny if grant is not for AWS resource", "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": "false" } } } } } ``` Untuk parameter eksekusi untuk membuat kebijakan ini dengan kunci KMS Buat tipe perubahan, lihat [Buat kunci KMS](#ex-kms-key-create-col) ##### Menegakkan penggunaan Kunci Konteks Enkripsi dalam Operasi Kriptografi Kebijakan contoh yang dihasilkan: ``` { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "kms:CreateGrant", "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt" ], "Resource": "*", "Condition": { "Null": { "kms:EncryptionContextKeys": "true" } } } ``` Untuk parameter eksekusi untuk membuat kebijakan ini dengan kunci KMS Buat tipe perubahan, lihat [Buat kunci KMS](#ex-kms-key-create-col) ##### Menegakkan Daftar Khusus Kunci Konteks Enkripsi dalam Operasi Kriptografi Kebijakan contoh yang dihasilkan: ``` { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "kms:CreateGrant", "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContextKeys": [ "Name", "Application" ] } } } ``` Untuk parameter eksekusi untuk membuat kebijakan ini dengan kunci KMS Buat tipe perubahan, lihat [Buat kunci KMS](#ex-kms-key-create-col) ##### Izinkan layanan AWS mengakses CMK yang dibuat Kebijakan contoh yang dihasilkan: ``` { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:ListGrants", "kms:CreateGrant", "kms:DescribeKey", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "ec2.us-west-2.amazonaws.com", "ecr.us-east-1.amazonaws.com" ], "kms:CallerAccount": "111122223333" } } } ``` Untuk parameter eksekusi untuk membuat kebijakan ini dengan kunci KMS Buat tipe perubahan, lihat [Buat kunci KMS](#ex-kms-key-create-col) ## Parameter Input Eksekusi Untuk informasi rinci tentang parameter input eksekusi, lihat[Skema untuk Ubah Tipe ct-1d84keiri1jhg](schemas.md#ct-1d84keiri1jhg-schema-section). ## Contoh: Parameter yang Diperlukan ``` { "DocumentName": "AWSManagedServices-CreateKMSKey", "Region": "us-east-1", "Parameters": { "Description": "Test key" } } ``` ## Contoh: Semua Parameter ``` { "DocumentName": "AWSManagedServices-CreateKMSKey", "Region": "us-west-2", "Parameters": { "Alias": "testkey", "EnableKeyRotation": true, "Description": "Test key for validation", "PendingWindow": 30, "IAMPrincipalsRequiringDecryptPermissions": [ "arn:aws:iam::123456789012:user/myuser", "arn:aws:iam::123456789012:role/myrole" ], "IAMPrincipalsRequiringEncryptPermissions": [ "arn:aws:iam::123456789012:user/myuser", "arn:aws:iam::123456789012:role/myrole" ], "IAMPrincipalsRequiringGrantsPermissions": [ "arn:aws:iam::123456789012:user/myuser", "arn:aws:iam::123456789012:role/myrole", "987654321098" ], "LimitGrantsToAWSResources": true, "EnforceEncryptionContextKeys": true, "AllowedEncryptionContextKeys": [ "App", "Environment" ], "AllowServiceRolesAccessKMSKeys": [ "ec2.us-west-2.amazonaws.com", "s3.us-west-2.amazonaws.com" ], "Tags": [ { "Key": "foo", "Value": "bar" } ] } } ```