All Products
Search

This Product

    Key Management Service:Konfigurasikan kluster CloudHSM untuk instans manajemen kunci perangkat keras KMS

    Document Center

    Key Management Service:Konfigurasikan kluster CloudHSM untuk instans manajemen kunci perangkat keras KMS

    Last Updated:Jun 22, 2026

    Untuk menggunakan instans manajemen kunci perangkat keras Key Management Service (KMS), Anda harus menghubungkannya ke kluster CloudHSM yang menyediakan sinkronisasi data otomatis, load balancing, dan ketersediaan tinggi.

    Contoh arsitektur

    Integrasi KMS dengan kluster CloudHSM menawarkan fleksibilitas manajemen kunci dan keamanan tingkat perangkat keras, memenuhi persyaratan kepatuhan Guomi atau FIPS 140-2 Level 3. KMS mengelola seluruh siklus hidup kunci sehingga menyederhanakan penggunaan HSM, sedangkan HSM menyediakan lingkungan perangkat keras yang aman untuk menyimpan bahan kunci. Seluruh komunikasi diamankan melalui saluran Transport Layer Security (TLS) yang saling terotentikasi.

    Tool manajemen HSM hanya dapat diinstal pada instance ECS Alibaba Cloud, yang kemudian digunakan untuk terhubung ke HSM utama guna konfigurasi. Sebagai alternatif, Anda dapat menggunakan terminal lokal, asalkan terminal tersebut memiliki konektivitas jaringan ke HSM.

    Catatan penggunaan

    • Instans manajemen kunci perangkat keras KMS hanya dapat dikaitkan dengan GVSM.

    • HSM, instans manajemen kunci perangkat keras KMS, dan instance ECS harus berada di wilayah dan VPC yang sama.

    • Untuk mengelola HSM di Tiongkok daratan, instance ECS harus menjalankan sistem operasi Windows. Untuk mengelola HSM di luar Tiongkok daratan, instance ECS harus menjalankan CentOS 8 atau Alibaba Cloud Linux.

    Wilayah dan zona yang didukung

    • Tiongkok daratan

      Region

      Region ID

      Zone

      China (Hangzhou)

      cn-hangzhou

      Zone A, Zone G

      China (Shanghai)

      cn-shanghai

      Zone A, Zone B, Zone F

      China (Beijing)

      cn-beijing

      Zone A, Zone F, Zone K

      China (Shenzhen)

      cn-shenzhen

      Zone A, Zone E

      China (Chengdu)

      cn-chengdu

      Zone A, Zone B

      China (Heyuan)

      cn-heyuan

      Zone A, Zone B

    • Luar Tiongkok daratan

      Region

      Region ID

      Zone

      China (Hong Kong)

      cn-hongkong

      Zone B, Zone C

      Singapore

      ap-southeast-1

      Zone A, Zone B

      Malaysia (Kuala Lumpur)

      ap-southeast-3

      Zone A, Zone B

      SAU (Riyadh - Partner Region)

      me-central-1

      Zone A, Zone B

      Indonesia (Jakarta)

      ap-southeast-5

      Zone A, Zone B

    Prasyarat

    Konfigurasikan kluster

    Kluster GVSM (Guomi)

    Langkah 1: Beli kluster CloudHSM

    Kluster mengelompokkan sejumlah instance HSM yang berada di zona berbeda dalam satu wilayah dan digunakan untuk tujuan bisnis yang sama, memungkinkan manajemen terpadu serta menyediakan ketersediaan tinggi, load balancing, dan skalabilitas horizontal untuk operasi kriptografi.

    1. Login ke HSM Management Console. Di bilah navigasi atas, pilih wilayah tujuan.

    2. Pada tab VSMs, klik Create HSM.

    3. Di halaman pembelian CloudHSM, konfigurasikan parameter seperti dijelaskan di bawah ini, lalu klik Buy Now dan selesaikan pembayaran.

      Catatan

      Untuk parameter lainnya, konfigurasikan sesuai kebutuhan bisnis Anda. Untuk informasi lebih lanjut, lihat Beli instance GVSM (Guomi).

      • Crypto Service Type: Pilih General-purpose Server HSM GVSM.

      • Whitelist: Pilih Yes. Ini memungkinkan semua alamat IP di VPC mengakses kluster CloudHSM.

      • Auto-generate Certificates: Pilih Yes. HSM secara otomatis menghasilkan sertifikat yang diperlukan untuk komunikasi terenkripsi dan menyelesaikan konfigurasi sertifikat. KMS secara otomatis memperoleh file sertifikat terkait dan menyelesaikan konfigurasi sisi klien. Anda tidak perlu mengelola proses pembuatan dan konfigurasi sertifikat. KMS dan kluster CloudHSM menggunakan saluran TLS yang saling terotentikasi untuk mengamankan data saat transit.

        Penting

        • Jangan mendaftarkan administrator kunci USB untuk HSM. Sertifikat berlaku selama 10 tahun, dan HSM dapat secara otomatis memperbaruinya sebelum kedaluwarsa. Mendaftarkan administrator kunci USB menyebabkan proses pembaruan gagal.

      • Cluster Name: Nama kluster tempat HSM tersebut berada.

        Catatan

        Jika Anda mengonfigurasi informasi kluster, HSM akan secara otomatis membuat kluster berdasarkan pengaturan Anda.

      • VPC: Pilih VPC untuk HSM.

      • vSwitch: Pilih dua hingga empat vSwitch. vSwitch harus berada di zona berbeda.

    4. Setelah pembelian selesai, Anda dapat melihat instance HSM di halaman VSMs. Pembuatan kluster memerlukan waktu sekitar 5 menit.

    Langkah 2: Sinkronkan data kluster

    Periksa mode sinkronisasi kluster untuk menentukan apakah Anda perlu melakukan sinkronisasi data secara manual. Di halaman HSM instance, lihat jenis kluster di kolom Cluster pada daftar instance.

    • Automatic synchronization cluster

      Data di kluster disinkronkan secara otomatis. Tidak diperlukan tindakan manual.

    • Manual synchronization cluster

      Setelah Anda membuat dan mengaktifkan kluster untuk pertama kalinya, Anda harus melakukan sinkronisasi data secara manual dari HSM utama ke HSM sekunder. Saat Anda memperluas kluster, data secara otomatis disinkronkan ke instance HSM baru.

      1. Di kolom Actions, klik Synchronize Cluster untuk menyinkronkan data dari HSM utama ke HSM sekunder. Selama sinkronisasi, status kluster adalah Synchronizing.

      2. Setelah sinkronisasi selesai, verifikasi bahwa digest HSM konsisten.

        Di halaman detail instance, temukan Instance Digest dan klik tautan View. Di tabel yang muncul, verifikasi bahwa nilai hash digest identik untuk semua instance dalam kluster. Jika nilainya identik, konfigurasi kluster telah selesai. Jika berbeda, ulangi sinkronisasi. Jika digest tetap tidak konsisten setelah diulang, hubungi kami.

    Kluster yang memenuhi standar FIPS

    1. Login ke HSM Management Console. Di bilah navigasi atas, pilih wilayah tujuan.

    2. Pada tab VSMs, klik Create HSM.

    3. Di halaman pembelian CloudHSM, konfigurasikan parameter seperti dijelaskan di bawah ini, lalu klik Buy Now dan selesaikan pembayaran.

      Catatan

      Untuk parameter lainnya, konfigurasikan sesuai kebutuhan bisnis Anda. Untuk informasi lebih lanjut, lihat GVSM (NIST FIPS).

      • Crypto Service Type: Pilih GVSM.

      • Auto-generate Certificates: Pilih Yes. Ini secara otomatis menghasilkan sertifikat klien dan server. Anda dapat melihat sertifikat yang dihasilkan di halaman Instance Details HSM.

        Penting

        Jika Anda memilih Yes untuk Auto-generate Certificates, HSM akan secara otomatis mengaktifkan instans HSM dan mengaktifkan kluster. Jika Anda memilih No, lihat Use a GVSM (NIST FIPS) CloudHSM cluster untuk menyelesaikan langkah-langkah Create and activate the cluster dan Start the HSM client (hsm_proxy) secara manual.

      • Cluster Name: Nama kluster tempat HSM tersebut berada.

      • VPC: Pilih VPC untuk HSM.

      • vSwitch: Pilih dua hingga empat vSwitch. vSwitch harus berada di zona berbeda.

    4. Setelah pembelian selesai, Anda dapat melihat instance HSM di halaman VSMs. Pembuatan kluster memerlukan waktu sekitar 5 menit.

    Konfigurasikan instans manajemen kunci perangkat keras

    Di konsol Key Management Service, beli dan konfigurasikan instans manajemen kunci perangkat keras KMS.

    Langkah 1: Beli instans perangkat keras KMS

    1. Login ke Key Management Service console. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih Resource > Instances.

    2. Di halaman Instances, klik tab Hardware Key Management, lalu klik Create Instance.

    3. Pilih spesifikasi untuk instance KMS dan klik Buy Now.

      Catatan

      Untuk informasi lebih lanjut tentang parameter, lihat Beli dan aktifkan instance KMS.

      • Key Management Type: Hardware Key Management

      • Region: Pilih wilayah tempat HSM Anda berada.

    Langkah 2: Aktifkan instans perangkat keras

    1. Klik tab Hardware Key Management. Temukan instans manajemen kunci perangkat keras KMS yang dituju dan klik Actions di kolom Enable.

    2. Di panel Connect to HSM, konfigurasikan parameter dan klik Connect to HSM.

      Catatan

      Untuk informasi lebih lanjut tentang parameter, lihat Aktifkan instans manajemen kunci perangkat keras.

      • Select Cluster: Pilih kluster GVSM (Guomi) atau HSM yang memenuhi standar FIPS yang telah Anda beli dan konfigurasi.

      • Configure HSM Access Secret.: Jika Anda memilih Yes untuk Auto-generate Certificates saat membeli HSM GVSM (Guomi) atau yang memenuhi standar FIPS, HSM secara otomatis menghasilkan sertifikat yang diperlukan. Tidak diperlukan konfigurasi manual.

      • VPC: Nilai ini secara default menggunakan ID VPC dari HSM yang terikat. Nilai ini read-only dan tidak dapat diubah.