All Products
Search

This Product

    Key Management Service:Konfigurasikan kluster HSM untuk instans perangkat keras KMS

    Document Center

    Key Management Service:Konfigurasikan kluster HSM untuk instans perangkat keras KMS

    Last Updated:Apr 01, 2026

    Untuk menggunakan instans manajemen kunci perangkat keras Key Management Service (KMS), sambungkan ke kluster Cloud Hardware Security Module (CloudHSM). Kluster CloudHSM menyediakan sinkronisasi data otomatis, load balancing, dan ketersediaan tinggi lintas zona.

    Cara kerja

    KMS mengelola siklus hidup kunci dan menerapkan kontrol akses yang ketat, sedangkan CloudHSM menyimpan bahan kunci dalam perangkat keras tahan gangguan. Integrasi ini memenuhi persyaratan kepatuhan seperti standar SM Tiongkok atau FIPS 140-2 Level 3. Komunikasi antara KMS dan kluster CloudHSM menggunakan saluran enkripsi terautentikasi Transport Layer Security (TLS) dua arah.

    Tool manajemen HSM hanya berjalan pada instans Elastic Compute Service (ECS). Sebarkan instans ECS di subnet virtual private cloud (VPC) dari HSM utama agar dapat tersambung ke HSM utama untuk konfigurasi. Atau, gunakan terminal lokal yang tersambung ke jaringan HSM.

    image

    Catatan penggunaan

    • Instans manajemen kunci perangkat keras KMS hanya dapat dikaitkan dengan General-purpose HSM.

    • HSM, instans manajemen kunci perangkat keras KMS, dan instans ECS harus berada di wilayah dan VPC yang sama.

    • Untuk mengelola HSM di Tiongkok daratan, instans ECS harus menjalankan Windows. Untuk mengelola HSM di luar Tiongkok daratan, instans ECS harus menjalankan CentOS 8 atau Alibaba Cloud Linux.

    Wilayah dan zona yang didukung

    • Tiongkok daratan

      Region

      Region ID

      Zone

      China (Hangzhou)

      cn-hangzhou

      Zone A, Zone G

      China (Shanghai)

      cn-shanghai

      Zone A, Zone B, Zone F

      China (Beijing)

      cn-beijing

      Zone A, Zone F, Zone K

      China (Shenzhen)

      cn-shenzhen

      Zone A, Zone E

      China (Chengdu)

      cn-chengdu

      Zone A, Zone B

      China (Heyuan)

      cn-heyuan

      Zone A, Zone B

    • Luar Tiongkok daratan

      Region

      Region ID

      Zone

      China (Hong Kong)

      cn-hongkong

      Zone B, Zone C

      Singapore

      ap-southeast-1

      Zone A, Zone B

      Malaysia (Kuala Lumpur)

      ap-southeast-3

      Zone A, Zone B

      SAU (Riyadh - Partner Region)

      me-central-1

      Zone A, Zone B

      Indonesia (Jakarta)

      ap-southeast-5

      Zone A, Zone B

    Tiongkok daratan

    RegionRegion IDZone
    China (Hangzhou)cn-hangzhouZone A, Zone G
    China (Shanghai)cn-shanghaiZone A, Zone B, Zone F
    China (Beijing)cn-beijingZone A, Zone F, Zone K
    China (Shenzhen)cn-shenzhenZone A, Zone E
    China (Chengdu)cn-chengduZone A, Zone B

    Luar Tiongkok daratan

    RegionRegion IDZone
    China (Hong Kong)cn-hongkongZone B, Zone C
    Singaporeap-southeast-1Zone A, Zone B
    Malaysia (Kuala Lumpur)ap-southeast-3Zone A, Zone B
    SAU (Riyadh - Partner Region)me-central-1Zone A, Zone B
    Indonesia (Jakarta)ap-southeast-5Zone A, Zone B

    Prasyarat

    Sebelum memulai, pastikan Anda telah memiliki:

    Jika Anda menggunakan terminal lokal alih-alih instans ECS, sambungkan ke VPC yang berisi HSM menggunakan VPN atau sirkuit Express Connect. Untuk informasi lebih lanjut, lihat Sambungkan client ke VPC menggunakan koneksi SSL-VPN atau Sambungkan IDC on-premises ke VPC menggunakan sirkuit Express Connect.

    Konfigurasikan kluster HSM GVSM (Guomi)

    Ini adalah proses dua langkah: beli kluster HSM, lalu sinkronkan data kluster.

    Langkah 1: Beli kluster HSM

    Kluster HSM mengelompokkan instans HSM di zona berbeda dalam satu wilayah dan menyediakan ketersediaan tinggi, load balancing, serta skalabilitas horizontal untuk operasi kriptografi.

    1. Masuk ke Konsol Cloud Hardware Security Module. Di bilah navigasi atas, pilih wilayah.

    2. Pada tab VSMs, klik Create HSM.

    3. Di halaman pembelian CloudHSM, konfigurasikan parameter pada tabel berikut, klik Buy Now, lalu selesaikan pembayaran.

      ParameterDescription
      RegionPilih wilayah untuk instans HSM.
      Penting

      Instans HSM, VPC Anda, dan instans manajemen kunci perangkat keras KMS harus berada di wilayah yang sama.

      Crypto service typePilih General-purpose Server HSM GVSM.
      Deployment modePilih Dual-zone Deployment.
      Cluster nameMasukkan nama dengan panjang 1 hingga 24 karakter. Nama harus dimulai dengan huruf, angka, atau karakter Tionghoa, dan boleh mengandung angka, garis bawah (_), serta tanda hubung (-).
      VPCPilih VPC tempat HSM berada.
      WhitelistPilih Yes. HSM menambahkan segmen jaringan VPC ke daftar putih kluster sehingga semua alamat IP di VPC dapat mengakses kluster HSM.
      vSwitchPilih dua hingga empat vSwitch di zona berbeda.
      generate_certPilih Yes. HSM secara otomatis menghasilkan sertifikat untuk komunikasi terenkripsi dan menyelesaikan konfigurasi sertifikat. KMS mengambil sertifikat tersebut dan menyelesaikan konfigurasi klien secara otomatis — Anda tidak perlu mengelola proses ini. Sertifikat berlaku selama 10 tahun dan secara otomatis diputar sebelum kedaluwarsa.
      Penting

      Jangan mendaftarkan administrator UKEY untuk HSM. Jika Anda mendaftarkan administrator UKEY, rotasi sertifikat otomatis akan gagal.

      Data backup and restoreAktifkan fitur ini untuk mencadangkan dan memulihkan data instans HSM. Setiap cadangan menyimpan data dari satu HSM. Jika HSM dilepas, citra cadangannya disimpan selama 90 hari sebelum dihapus secara otomatis. Replikasi citra lintas wilayah juga tersedia untuk disaster recovery. Untuk informasi lebih lanjut, lihat Data backup and recovery.
      Image quotaJumlah maksimum citra cadangan. Setiap citra menyimpan satu cadangan HSM. Saat kuota tercapai, citra tertua akan ditimpa secara otomatis.
      QuantityNilai default adalah 2. Pertahankan nilai ini.
      Subscription periodPilih durasi langganan. Untuk mencegah kehilangan kunci permanen akibat kedaluwarsa layanan, pilih Auto-renewal. Saat perpanjangan otomatis diaktifkan, Alibaba Cloud akan menagih akun pembayaran Anda 9 hari kalender sebelum layanan kedaluwarsa. Pastikan saldo akun pembayaran Anda mencukupi.

    4. Baca Terms of Service, klik Buy Now, lalu klik Subscribe untuk menyelesaikan pembelian.

    Setelah pembelian, instans HSM akan muncul di halaman VSMs. Kluster dibuat dalam waktu sekitar 5 menit.

    Langkah 2: Sinkronkan data kluster

    Periksa mode sinkronisasi kluster untuk menentukan apakah sinkronisasi manual diperlukan.

    image

    Kluster sinkronisasi otomatis

    Data disinkronkan secara otomatis ke semua HSM dalam kluster. Tidak diperlukan tindakan tambahan.

    Kluster sinkronisasi manual

    Setelah membuat dan mengaktifkan kluster untuk pertama kali, sinkronkan data secara manual dari HSM utama ke HSM sekunder. Saat Anda melakukan penskalaan kluster di kemudian hari, data akan disinkronkan secara otomatis ke instans HSM baru.

    1. Pada kolom Actions, klik Synchronize Cluster. Status kluster berubah menjadi Synchronizing selama proses berlangsung.

      image

    2. Setelah sinkronisasi selesai, periksa apakah digest HSM identik. Lihat digest di halaman produk HSM. Jika digest kedua HSM sesuai, kluster telah dikonfigurasi dengan benar. Jika berbeda, ulangi sinkronisasi. Jika digest tetap berbeda setelah diulang, hubungi kami.

      image

    Konfigurasikan kluster HSM yang kompatibel FIPS

    Ini adalah proses tiga langkah: beli dua instans HSM, aktifkan HSM utama, lalu buat dan aktifkan kluster.

    Langkah 1: Beli dua instans HSM

    1. Masuk ke Konsol Cloud Hardware Security Module. Di bilah navigasi atas, pilih wilayah.

    2. Pada tab VSMs, klik Create HSM.

    3. Di halaman pembelian CloudHSM, konfigurasikan parameter pada tabel berikut dan klik Buy Now.

      ParameterDescription
      RegionPilih wilayah untuk instans HSM.
      Penting

      Instans HSM, VPC Anda, dan instans manajemen kunci perangkat keras KMS harus berada di wilayah yang sama.

      Crypto service typePilih GVSM.
      Deployment modePilih Dual-zone deployment. Zona spesifik ditetapkan oleh HSM.
      Data backup and restoreSetiap cadangan menyimpan data dari satu HSM. Setelah mengaktifkan fitur ini, pilih jumlah citra. Untuk informasi lebih lanjut, lihat Data backup and recovery.
      QuantityNilai default adalah 2. Pertahankan nilai ini.
      Subscription periodPilih durasi langganan yang sama dengan instans manajemen kunci perangkat keras KMS Anda.
      Catatan

      Pilih Auto-renewal untuk mencegah kehilangan kunci permanen jika layanan kedaluwarsa tanpa diperpanjang. Saat perpanjangan otomatis diaktifkan, Alibaba Cloud akan mendebet biaya dari akun pembayaran Anda sembilan hari kalender sebelum layanan kedaluwarsa.

    4. Baca Terms of Service, klik Buy Now, lalu klik Pay untuk menyelesaikan pembelian.

    Langkah 2: Aktifkan instans HSM

    Aktifkan hanya HSM utama. HSM sekunder tidak perlu diaktifkan secara terpisah.

    1. Buka halaman VSMs di Konsol Cloud Hardware Security Module. Di bilah navigasi atas, pilih wilayah.

    2. Aktifkan HSM utama. Di kotak dialog HSM Instance Configuration, konfigurasikan parameter pada tabel berikut dan klik OK. Status instans HSM berubah menjadi Enabled.

      ParameterDescription
      VPC IDPilih VPC tempat Anda ingin menyambungkan instans HSM. VPC harus sesuai dengan VPC instans manajemen kunci perangkat keras KMS.
      VPC subnetPilih subnet VPC (vSwitch) tempat instans HSM berada.
      Private IP addressTetapkan alamat IP pribadi dalam Blok CIDR subnet VPC yang dipilih.
      Penting

      Jangan gunakan alamat IP yang berakhiran 253, 254, atau 255 — alamat ini dicadangkan oleh sistem.

      Configure HSM whitelistBiarkan kosong. Daftar putih kluster memiliki prioritas lebih tinggi daripada daftar putih HSM individual, sehingga Anda akan mengonfigurasi daftar putih saat membuat kluster.

    Langkah 3: Buat dan aktifkan kluster

    Kluster HSM mengelompokkan instans HSM di zona berbeda dalam satu wilayah dan menyediakan ketersediaan tinggi, load balancing, serta skalabilitas horizontal untuk operasi kriptografi.

    Gunakan HSM utama untuk membuat kluster, lalu tambahkan HSM sekunder.

    1. Buka halaman VSMs di Konsol Cloud Hardware Security Module. Di bilah navigasi atas, pilih wilayah.

    2. Temukan instans HSM utama dan klik Create Cluster di kolom Actions.

    3. Di panel Create and Activate Cluster, lengkapi ①Create Cluster dan klik Next.

      Configuration itemDescription
      Cluster nameMasukkan nama unik hingga 24 karakter.
      Configure whitelistMasukkan alamat IP dan Blok CIDR yang diizinkan mengakses kluster. Gunakan satu entri per baris, maksimal 10 entri. Sertakan hal berikut: Blok CIDR vSwitch tempat instans HSM berada (misalnya, 172.16.1.0/24 dan 172.16.2.0/24), alamat IP pribadi instans ECS, dan Blok CIDR vSwitch tempat instans KMS disambungkan.
      Penting

      Daftar putih kluster menggantikan daftar putih HSM individual. Jangan masukkan 0.0.0.0/0 — jika Anda perlu mengizinkan semua alamat IP, biarkan daftar putih kosong.

      Specify vSwitchesPilih vSwitch tempat instans HSM sekunder disambungkan.

    4. Di panel Create and Activate Cluster, lengkapi ②Activate Cluster. a. Impor sertifikat kluster Download command (langkah 1):

      1. Di bagian Upload Cluster Certificate, klik Cluster CSR Certificate untuk mengunduh file permintaan penandatanganan sertifikat (CSR). Unggah ke instans ECS dan simpan sebagai cluster.csr.

      2. Hasilkan kunci privat dengan passphrase: ``bash openssl genrsa -aes256 -out issuerCA.key 2048 ``

      3. Buat Sertifikat tanda tangan sendiri: ``bash openssl req -new -x509 -days 3652 -key issuerCA.key -out issuerCA.crt ``

      4. Tandatangani CSR kluster menggunakan cluster.csr, issuerCA.key, dan issuerCA.crt. Sertifikat kluster yang ditandatangani disimpan sebagai cluster.crt: ``bash openssl x509 -req -in cluster.csr -days 3652 -CA issuerCA.crt -CAkey issuerCA.key -set_serial 01 -out cluster.crt ``

      5. Kembali ke konsol CloudHSM, impor sertifikat, lalu klik Submit:

        • Di Enter the issuer certificate in the PEM format, tempel konten issuerCA.crt.

        • Di Enter the issued cluster certificate in the PEM format, tempel konten cluster.crt.

      b. Inisialisasi instans HSM utama

      StepDescription
      1. Download the HSM management tool
      Penting

      Tool manajemen HSM hanya berjalan di Linux. Unduh dengan salah satu metode berikut: langsung dari tautan ini, dengan menjalankan perintah di bawah pada instans ECS yang memiliki akses internet, dengan mengklik spesifikasi instans di halaman VSMs lalu mengklik image, atau dengan mengklik Download HSM Management Tool di halaman Activate Cluster.

      2. Install the HSM management toolJalankan perintah berikut untuk menginstal tool ke /opt/hsm:
      3. Modify the client configuration fileDi /opt/hsm/etc/hsm_mgmt_tool.cfg, atur name dan hostname ke alamat IP pribadi HSM utama, dan atur owner_cert_path ke path issuerCA.crt.
      4. Log on to the master HSM and view the user listJalankan tool dan daftar pengguna untuk mengonfirmasi status awal.
      5. Change the PRECO user to a CO userMasuk sebagai pengguna Pre-Crypto Officer (PRECO) dan ubah kata sandi. Mengubah kata sandi mengonversi pengguna PRECO menjadi pengguna Crypto Officer (CO).
      6. Create a Crypto User (CU)
      Peringatan

      Buat Crypto User (CU) sebelum menambahkan HSM sekunder. Jika tidak, CU tidak akan disinkronkan ke HSM sekunder secara otomatis. Untuk keamanan, instans manajemen kunci perangkat keras KMS mengakses kluster HSM sebagai pengguna CU bernama kmsuser. Ingat kata sandi awal; Anda akan membutuhkannya saat mengaktifkan instans manajemen kunci perangkat keras KMS.

      7. Verify the master HSM statusKembali ke konsol CloudHSM. Di halaman Activate Cluster, klik ikon refresh untuk memperbarui status HSM, lalu klik Next.
      wget -O hsm-client-v2.03.15.10-1.x86_64.rpm 'https://yundun-hsm4.oss-ap-southeast-1.aliyuncs.com/hsm-client-v2.03.15.10-1.x86_64.rpm'

      Perintah instalasi (Langkah 2):

      sudo yum install -y hsm-client-v2.03.15.10-1.x86_64.rpm

      Contoh file konfigurasi (langkah 3):

      {
	"servers": [{
		"name": "172.16.XX.XX",
		"hostname": "172.16.XX.XX",
		"port": 2225,
		"certificate": "/opt/hsm/etc/client.crt",
		"pkey": "/opt/hsm/etc/client.key",
		"CAfile": "",
		"CApath": "/opt/hsm/etc/certs",
		"ssl_ciphers": "",
		"server_ssl": "yes",
		"enable": "yes",
		"owner_cert_path": "<issuerCA.crt file path>"
	}],
	"scard": {
		"enable": "no",
		"port": 2225,
		"ssl": "no",
		"ssl_ciphers": "",
		"certificate": "cert-sc",
		"pkey": "pkey-sc",
	}
}

      Masuk dan daftar pengguna (langkah 4):

      /opt/hsm/bin/hsm_mgmt_tool /opt/hsm/etc/hsm_mgmt_tool.cfg
      cloudmgmt>listUsers
Users on server 0(172.16.XX.XX):
Number of users found:2

    User Id            User Type          User Name                     MofnPubKey       LoginFailureCnt            2FA
         1             PRECO          admin                                       NO               0                     NO
         2             AU             app_user                                    NO               0                     NO

      Konversi PRECO ke CO (langkah 5): Masuk sebagai pengguna PRECO:

      server0>loginHSM PRECO admin password
loginHSM success

      Ubah kata sandi untuk mengonversi PRECO ke CO:

      cloudmgmt>changePswd PRECO admin <NewPassword>

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. Cav server does NOT synchronize these changes with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
Changing password for admin(PRECO) on 1 nodes

      Verifikasi konversi:

      cloudmgmt>listUsers
Users on server 0(172.16.XX.XX):
Number of users found:2

    User Id            User Type          User Name                     MofnPubKey       LoginFailureCnt            2FA
         1             CO             admin                                       NO               0                     NO
         2             AU             app_user                                    NO               0                     NO

      Buat kmsuser (langkah 6):

      createUser CU kmsuser <enter password>

      Verifikasi bahwa pengguna CU telah dibuat:

      cloudmgmt>listUsers
Users on server 0(172.16.XX.XX):
Number of users found:3

    User Id         User Type       User Name                  MofnPubKey    LoginFailureCnt         2FA
         1          CO          admin                                    NO               0               NO
         2          AU          app_user                                 NO               0               NO
         3          CU          kmsuser                                  NO               0               NO

      Keluar dari tool manajemen:

      cloudmgmt>quit
disconnecting from servers, please wait...

    5. Di halaman ③Add HSM, tambahkan HSM sekunder ke kluster sesuai petunjuk dan klik Complete. Setelah menambahkan HSM sekunder, kluster secara otomatis menyinkronkan data kunci utama — termasuk kmsuser — ke HSM sekunder. Periksa apakah informasi digest kedua HSM dalam kluster identik. Jika digest berbeda, hubungi kami.

      Jika instans HSM memiliki status Initialized, instans tersebut tidak dapat ditambahkan ke kluster. Dalam kasus ini, hubungi kami.

      image

    Langkah berikutnya

    Beli instans manajemen kunci perangkat keras KMS dan selesaikan konfigurasi yang diperlukan. Untuk informasi lebih lanjut, lihat Beli dan aktifkan instans KMS.