Topik ini menjelaskan cara membeli instans Cloud Hardware Security Module (HSM).
Cakupan Penggunaan
Instans HSM hanya dapat diakses dari instans Elastic Compute Service (ECS) dalam virtual private cloud (VPC) yang sama. Sebelum membeli instans HSM, pastikan persyaratan berikut terpenuhi:
VPC telah dibuat, dan setidaknya satu vSwitch dikonfigurasi di dalam VPC tersebut. Untuk informasi selengkapnya, lihat Buat VPC dengan blok CIDR IPv4.
Instans ECS telah dibuat di dalam VPC tersebut. Untuk informasi selengkapnya, lihat Beli instans kustom.
CatatanInstans ECS ini digunakan untuk menginstal tool manajemen HSM dan tidak dimaksudkan sebagai server bisnis.
Untuk mengelola instans HSM di Tiongkok daratan, instans ECS harus menjalankan sistem operasi Windows.
Untuk mengelola instans HSM di luar Tiongkok daratan, instans ECS harus menjalankan sistem operasi Linux.
Beli GVSM (SM), GVSM (NIST FIPS)
CloudHSM memerlukan penyebaran dua zona dan beroperasi dalam mode kluster. Saat Anda membeli instans HSM, Anda mengonfigurasi pengaturan kluster. Kluster akan dibuat secara otomatis setelah pembelian selesai.
Masuk ke HSM Management Console. Di bilah navigasi atas, pilih wilayah tujuan.
Pada halaman VSMs, klik Create HSM.
Pada halaman pembelian CloudHSM, konfigurasikan parameter seperti yang dijelaskan dalam tabel berikut. Lalu, klik Buy Now dan selesaikan pembayaran.
Parameter
Deskripsi
Region
Wilayah tempat instans HSM diterapkan. Untuk informasi lebih lanjut tentang wilayah yang tersedia, lihat Wilayah dan zona yang didukung.
CatatanInstans HSM harus berada di wilayah yang sama dengan instans ECS dan VPC Anda.
Device Model
Model perangkat instans HSM. Untuk informasi lebih lanjut tentang performa tiap model perangkat, lihat Performa instans HSM virtual.
Deployment Mode
Penyebaran dua zona mengharuskan Anda menerapkan minimal dua HSM di zona berbeda untuk menerapkan pemulihan bencana lintas zona dan mempermudah pembuatan kluster.
CatatanHanya zona dalam wilayah yang sama yang dapat saling berkomunikasi melalui jaringan.
Instans CloudHSM dan ECS dapat berada di zona yang berbeda.
Cluster Name
Nama harus terdiri dari 1 hingga 24 karakter. Nama harus dimulai dengan huruf Inggris, karakter Tionghoa, atau angka, serta dapat berisi angka, garis bawah (_), dan tanda hubung (-).
VPC ID
Pilih VPC tempat instans HSM berada.
Add to Whitelist
Yes (Direkomendasikan): HSM menambahkan blok CIDR VPC ke daftar putih kluster. Semua alamat IP dalam VPC ini dapat mengakses kluster HSM.
CatatanJika Anda hanya ingin alamat IP tertentu dalam VPC yang dapat mengakses kluster HSM, Anda dapat mengubah daftar putih setelah kluster dibuat. Untuk informasi selengkapnya, lihat Menggunakan kluster instans HSM.
No: Tidak ada daftar putih yang dikonfigurasi. Semua alamat IP dapat mengakses kluster HSM.
vSwitch
Pilih dua hingga empat vSwitch. vSwitch harus berada di zona yang berbeda.
Automatic Certificate Generation
Yes (Direkomendasikan): Sertifikat dibuat secara otomatis dan dapat dilihat pada halaman Instance Details HSM.
No: Anda harus membuat dan mengonfigurasi sertifikat secara manual. Untuk informasi selengkapnya, lihat (Opsional) Langkah 2: Buat Sertifikat dan Konfigurasi Autentikasi Mutual TLS dan Langkah 3: Impor Sertifikat Kluster.
Network Type
Jenis jaringan. Hanya VPC yang didukung.
Data Backup and Restoration
Mendukung pencadangan dan pemulihan HSM untuk memastikan keamanan dan persistensi data.
Jika HSM dilepas, gambar cadangannya disimpan selama 90 hari. Setelah periode tersebut berakhir, gambar cadangan akan dihapus secara otomatis. Fitur replikasi gambar cross-region disediakan untuk meningkatkan kemampuan pemulihan bencana.
Image Quota
Jumlah gambar cadangan. Setiap gambar mencatat data satu instans HSM.
Gambar HSM dibuat secara otomatis setiap hari pukul 00.00 (UTC+8) setelah HSM diinisialisasi. Ketika jumlah gambar mencapai batas maksimum, sistem secara otomatis menghapus gambar paling awal.
Quantity
Jumlah instans HSM yang akan dibeli. Nilai default adalah dua.
Duration
Periode langganan.
Kami merekomendasikan agar Anda mengaktifkan perpanjangan otomatis untuk mencegah gangguan layanan atau pelepasan resource akibat kedaluwarsa. Periode perpanjangan otomatis adalah bulanan. Biaya akan diproses secara otomatis berdasarkan harga pasar saat ini sebelum instans kedaluwarsa. Anda dapat menonaktifkan perpanjangan otomatis kapan saja. Untuk mengaktifkan perpanjangan otomatis, pilih Auto-renewal Recommended.
CatatanSaat Anda memilih Auto-renewal Recommended, Alibaba Cloud secara otomatis mendebet biaya dari akun pembayaran Anda sembilan hari kalender sebelum langganan kedaluwarsa. Pastikan saldo akun Anda mencukupi untuk menghindari kegagalan pembayaran.
Setelah pembelian selesai, lihat instans HSM pada halaman VSMs. Kluster HSM akan dibuat dalam waktu sekitar 5 menit.
(Opsional) Dapatkan UKEY untuk HSM: Jika Anda membeli HSM di Tiongkok daratan, tentukan apakah perlu mengonfigurasi UKEY sesuai kebutuhan. Berikut ini menjelaskan dampak penggunaan UKEY dan rekomendasi konfigurasinya:
CatatanInstans HSM di luar Tiongkok daratan tidak memerlukan konfigurasi UKEY.
Pengguna yang menggunakan instans manajemen kunci perangkat keras Alibaba Cloud KMS: Jangan mendaftarkan administrator UKEY menggunakan tool manajemen HSM. Jika tidak, sertifikat HSM tidak dapat diputar secara otomatis, sehingga memengaruhi penggunaan normal kunci yang dilindungi perangkat keras.
PentingJika tidak ada administrator UKEY yang didaftarkan, CloudHSM secara otomatis memutar sertifikat sebelum kedaluwarsa. Tidak diperlukan intervensi manual.
Pengguna lainnya:
Jika Anda mendaftarkan administrator UKEY: Rotasi sertifikat otomatis tidak didukung. Sebelum sertifikat kedaluwarsa, buat sertifikat baru dan perbarui di SDK client serta HSM sisi server.
Jika Anda tidak mendaftarkan administrator UKEY: Rotasi sertifikat otomatis didukung. Sebelum sertifikat kedaluwarsa, CloudHSM secara otomatis membuat sertifikat baru. Unduh dan perbarui sertifikat client dari konsol. CloudHSM secara otomatis mengunggah sertifikat server ke HSM.
Referensi
Untuk membeli dan mengonfigurasi kluster HSM yang terkait dengan instans manajemen kunci perangkat keras KMS, lihat Konfigurasi kluster HSM untuk instans manajemen kunci perangkat keras KMS.