全部产品
Search

搜索本产品

    Key Management Service:CreateKey

    文档中心

    Key Management Service:CreateKey

    更新时间:Dec 21, 2025

    Membuat master key.

    Deskripsi operasi

    • Untuk informasi mengenai kebijakan akses yang diperlukan agar pengguna RAM atau role RAM dapat memanggil operasi OpenAPI ini, lihat Resource Access Management.

    • Alibaba Cloud Key Management Service (KMS) mendukung spesifikasi umum untuk kunci simetris dan asimetris. Untuk informasi selengkapnya, lihat Jenis manajemen kunci dan spesifikasi kunci.

    Coba sekarang

    Coba API ini di OpenAPI Explorer tanpa perlu penandatanganan manual. Panggilan yang berhasil akan secara otomatis menghasilkan contoh kode SDK sesuai dengan parameter Anda. Unduh kode tersebut dengan kredensial bawaan yang aman untuk penggunaan lokal.

    Test

    RAM authorization

    Tidak ada otorisasi untuk operasi ini. Jika Anda mengalami masalah saat menjalankan operasi ini, hubungi dukungan teknis.

    Parameter permintaan

    Parameter

    Type

    Required

    Description

    Example
    Description

    string

    No

    Deskripsi kunci.
    Panjang deskripsi dapat berkisar antara 0 hingga 8.192 karakter.

    key description example
    KeyUsage

    string

    No

    Penggunaan kunci. Nilai yang valid:

    • ENCRYPT/DECRYPT: mengenkripsi dan mendekripsi data.

    • SIGN/VERIFY: menghasilkan dan memverifikasi tanda tangan digital.

    Nilai default: Jika kunci mendukung verifikasi tanda tangan, nilai default-nya adalah SIGN/VERIFY. Jika tidak, nilai default-nya adalah ENCRYPT/DECRYPT.

    ENCRYPT/DECRYPT
    Origin

    string

    No

    Sumber bahan kunci. Nilai yang valid:

    • Aliyun_KMS (default): Bahan kunci dihasilkan oleh Alibaba Cloud KMS.

    • EXTERNAL: Bahan kunci diimpor.

    Catatan

    • Nilai ini bersifat case-sensitive.

    Aliyun_KMS
    ProtectionLevel

    string

    No

    Anda tidak perlu menentukan parameter ini. KMS secara otomatis menetapkan tingkat perlindungan yang sesuai untuk kunci Anda.

    Tingkat perlindungan kunci. Nilai yang valid:

    • SOFTWARE

    • HSM

    Catatan

    • Jika Anda menentukan DKMSInstanceId, parameter ini diabaikan. Jika instans tersebut merupakan instans manajemen kunci perangkat lunak, tingkat perlindungannya adalah SOFTWARE. Jika instans tersebut merupakan instans manajemen kunci perangkat keras, tingkat perlindungannya adalah HSM.

    • Jika Anda tidak menentukan DKMSInstanceId, biarkan parameter ini kosong. KMS akan menetapkan tingkat perlindungan. Jika managed HSM tersedia di wilayah tersebut, KMS menetapkan parameter ini ke HSM. Jika tidak, KMS menetapkannya ke SOFTWARE. Untuk informasi selengkapnya, lihat Ikhtisar Managed HSM.

    SOFTWARE
    EnableAutomaticRotation

    boolean

    No

    Menentukan apakah rotasi kunci otomatis diaktifkan. Nilai yang valid:

    • true: mengaktifkan rotasi kunci otomatis.

    • false (default): menonaktifkan rotasi kunci otomatis.

    Parameter ini hanya berlaku jika jenis manajemen kunci mendukung rotasi otomatis. Untuk informasi selengkapnya, lihat Rotasi kunci.

    true
    RotationInterval

    string

    No

    Periode rotasi otomatis. Formatnya adalah `integer[unit]`. `integer` menunjukkan panjang periode. `unit` menunjukkan satuan waktu. Satuan yang valid: d (hari), h (jam), m (menit), dan s (detik). Misalnya, baik 7d maupun 604800s merepresentasikan periode 7 hari.

    • Jika kuncinya adalah kunci default, nilainya adalah 365d.

    • Jika kuncinya adalah kunci yang dilindungi perangkat lunak, nilainya dapat berkisar antara 7d hingga 365d.

    • Jika kuncinya adalah kunci yang dilindungi perangkat keras, rotasi otomatis tidak didukung.

    Catatan

    Parameter ini wajib ditentukan jika Anda mengatur EnableAutomaticRotation ke true.

    365d
    KeySpec

    string

    No

    Spesifikasi kunci. Nilai yang valid bervariasi tergantung pada jenis manajemen kunci. Untuk informasi selengkapnya tentang spesifikasi kunci, standar yang didukung, dan algoritma, lihat Jenis manajemen kunci dan spesifikasi kunci.

    Catatan

    Jika Anda tidak menentukan parameter ini, spesifikasi kunci secara default adalah Aliyun_AES_256.

    Aliyun_AES_256
    DKMSInstanceId

    string

    No

    ID instans KMS.

    Catatan

    Parameter ini wajib ditentukan saat Anda membuat kunci untuk instans KMS. Parameter ini tidak diperlukan saat Anda membuat kunci default (master key).

    kst-bjj62d8f5e0sgtx8h****
    Tags

    string

    No

    Tag yang akan di-bind ke kunci. Setiap tag terdiri dari pasangan kunci-nilai (Key:Value), yang mencakup kunci tag dan nilai tag.

    Tentukan maksimal 20 tag. Untuk menentukan beberapa tag, gunakan format berikut: [{"TagKey":"key1","TagValue":"value1"},{"TagKey":"key2","TagValue":"value2"},...].

    Panjang setiap kunci tag dan nilai tag dapat mencapai 128 karakter dan dapat berisi huruf besar, huruf kecil, angka, garis miring (/), garis miring terbalik (\), garis bawah (_), tanda hubung (-), titik (.), tanda plus (+), tanda sama dengan (=), titik dua (:), dan tanda at (@).

    Catatan

    Kunci tag tidak boleh diawali dengan aliyun atau acs:.

    [{"TagKey":"disk-encryption","TagValue":"true"}]
    Policy

    string

    No

    Konten kebijakan kunci. Nilainya dalam format JSON. Panjang kebijakan dapat mencapai 32.768 byte. Untuk informasi selengkapnya tentang kebijakan kunci, lihat Ikhtisar kebijakan kunci. Jika Anda tidak menentukan parameter ini, kebijakan kredensial default akan digunakan.

    Kebijakan kunci berisi konten berikut:

    • Version: Versi kebijakan kunci. Hanya versi 1 yang didukung.

    • Statement: Pernyataan kebijakan kunci. Setiap kebijakan kunci berisi satu atau beberapa pernyataan.

    Berikut adalah format kebijakan kunci:

    {
  "Version": "1",
  "Statement": [
    {
      "Sid": "Enable RAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "RAM": ["acs:ram::112890462****:root"]
      },
      "Action": [
        "kms:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "condition operator": {
          "condition key": "condition value"
        }
      }
    }
  ]
}

    Rincian pernyataan:

    • Sid: (Opsional) Pengidentifikasi pernyataan kustom. Pengidentifikasi dapat mencapai panjang 128 karakter dan dapat berisi huruf besar (A-Z), huruf kecil (a-z), angka (0-9), serta karakter khusus, termasuk garis bawah (_), garis miring (/), tanda plus (+), tanda sama dengan (=), titik (.), tanda at (@), dan tanda hubung (-).

    • Effect: (Wajib) Efek pernyataan kebijakan. Nilai yang valid: Allow dan Deny.

    • Principal: (Wajib) Pihak yang berwenang yang diberikan izin. Atur parameter ini ke Akun Alibaba Cloud saat ini (Akun Alibaba Cloud tempat kunci tersebut berada), RAM user atau RAM role dari Akun Alibaba Cloud saat ini, atau RAM user atau RAM role dari Akun Alibaba Cloud lain.

    • Action: (Wajib) Operasi API yang diizinkan atau ditolak. Nilainya harus diawali dengan "kms:". Untuk daftar operasi yang didukung, lihat Ikhtisar kebijakan kunci. Jika Anda menentukan operasi yang tidak ada dalam daftar, pengaturan tersebut tidak berlaku.

    • Resource: (Wajib) Nilainya hanya dapat berupa *, yang menunjukkan kunci KMS saat ini.

    • Condition: (Opsional) Kondisi agar otorisasi berlaku. Gunakan kondisi untuk mengevaluasi konteks permintaan API guna menentukan apakah pernyataan kebijakan diterapkan. Formatnya adalah "Condition": {"condition operator": {"condition key": "condition value"}}. Untuk informasi selengkapnya, lihat Ikhtisar kebijakan kunci.

    Catatan

    Setelah memberikan izin kepada RAM user atau RAM role dari Akun Alibaba Cloud lain, gunakan akun tersebut untuk memberikan izin kepada RAM user atau RAM role tersebut agar dapat menggunakan kunci di Konsol RAM. RAM user atau RAM role tersebut hanya dapat menggunakan kunci setelah langkah ini selesai. Untuk informasi selengkapnya, lihat Kebijakan kustom untuk Key Management Service, Memberikan izin kepada RAM user, dan Memberikan izin kepada RAM role.

    {"Statement":[{"Action":["kms:*"],"Effect":"Allow","Principal":{"RAM":["acs:ram::119285303511****:*"]},"Resource":["*"],"Sid":"kms default key policy"},{"Action":["kms:List*","kms:Describe*","kms:Create*","kms:Enable*","kms:Disable*","kms:Get*","kms:Set*","kms:Update*","kms:Delete*","kms:Cancel*","kms:TagResource","kms:UntagResource","kms:ImportKeyMaterial","kms:ScheduleKeyDeletion"],"Effect":"Allow","Principal":{"RAM":["acs:ram::119285303511****:user/for_test_policy"]},"Resource":["*"]}],"Version":"1"}
    KeyStorageMechanism

    string

    No

    Lokasi penyimpanan kunci. Parameter ini hanya berlaku ketika DKMSInstanceId ditentukan untuk instans manajemen kunci perangkat keras. Nilai yang valid:

    • HsmInternal (default): Kunci disimpan di HSM dan tidak mendukung rotasi.

    • HsmEncryptedDatabase: Kunci disimpan di database.

      • Kunci simetris: Rotasi didukung.

      • Kunci asimetris: Rotasi tidak didukung.

    HsmInternal

    Untuk informasi mengenai parameter permintaan umum, lihat Parameter umum.

    Elemen respons

    Element

    Type

    Description

    Example

    object

    RequestId

    string

    ID permintaan. ID ini merupakan ID Unik Global (GUID) yang dihasilkan oleh Alibaba Cloud untuk permintaan tersebut. Gunakan ID ini untuk pemecahan masalah.

    381D5D33-BB8F-395F-8EE4-AE3BB4B523C4
    KeyMetadata

    object

    Metadata kunci.

    KeyId

    string

    ID Unik Global (GUID) kunci.

    key-hzz62f1cb66fa42qo****
    NextRotationDate

    string

    Waktu rotasi berikutnya dijadwalkan.

    Parameter ini hanya dikembalikan jika nilai AutomaticRotation adalah Enabled atau Suspended.

    2024-03-25T10:00:00Z
    KeyState

    string

    Status kunci.
    Untuk informasi selengkapnya, lihat Dampak status CMK terhadap panggilan API.

    Enabled
    RotationInterval

    string

    Periode rotasi otomatis kunci. Nilainya dalam detik. Nilainya berupa bilangan bulat diikuti karakter s. Misalnya, periode rotasi 7 hari adalah 604800s.

    Parameter ini hanya dikembalikan jika nilai AutomaticRotation adalah Enabled atau Suspended.

    31536000s
    Arn

    string

    Nama Sumber Daya Alibaba Cloud (ARN) kunci.

    acs:kms:cn-qingdao:154035569884****:key/key-hzz62f1cb66fa42qo****
    Creator

    string

    Pembuat kunci.

    154035569884****
    LastRotationDate

    string

    Waktu rotasi terakhir dilakukan. Waktu dalam UTC.
    Jika kuncinya baru, nilai ini adalah waktu pembuatan versi kunci awal.

    2023-03-25T10:00:00Z
    DeleteDate

    string

    Waktu terjadwal untuk menghapus kunci. Untuk informasi selengkapnya, lihat ScheduleKeyDeletion .

    Parameter ini hanya dikembalikan jika nilai KeyState adalah PendingDeletion.

    2025-03-25T10:00:00Z
    PrimaryKeyVersion

    string

    ID versi utama saat ini dari kunci.

    7ce1d081-06cb-42e6-aab6-5c5de030****
    Description

    string

    Deskripsi kunci.

    key description example
    KeySpec

    string

    Spesifikasi kunci.

    Aliyun_AES_256
    Origin

    string

    Sumber bahan kunci.

    Aliyun_KMS
    MaterialExpireTime

    string

    Waktu kedaluwarsa bahan kunci. Waktu dalam UTC.
    Jika nilai ini kosong, bahan kunci tidak kedaluwarsa.

    2025-03-25T10:00:00Z
    AutomaticRotation

    string

    Menunjukkan apakah rotasi kunci otomatis diaktifkan. Nilai yang valid:

    • Enabled: Rotasi otomatis diaktifkan.

    • Disabled: Rotasi otomatis dinonaktifkan.

    • Suspended: Rotasi otomatis ditangguhkan.

    Enabled
    ProtectionLevel

    string

    Tingkat perlindungan kunci.

    SOFTWARE
    KeyUsage

    string

    Penggunaan kunci.

    ENCRYPT/DECRYPT
    CreationDate

    string

    Tanggal dan waktu kunci dibuat. Waktu dalam UTC.

    2024-03-25T10:00:00Z
    DKMSInstanceId

    string

    ID instans KMS.

    kst-bjj62d8f5e0sgtx8h****

    Contoh

    Respons sukses

    JSONformat

    {
  "RequestId": "381D5D33-BB8F-395F-8EE4-AE3BB4B523C4",
  "KeyMetadata": {
    "KeyId": "key-hzz62f1cb66fa42qo****",
    "NextRotationDate": "2024-03-25T10:00:00Z",
    "KeyState": "Enabled",
    "RotationInterval": "31536000s",
    "Arn": "acs:kms:cn-qingdao:154035569884****:key/key-hzz62f1cb66fa42qo****",
    "Creator": "154035569884****",
    "LastRotationDate": "2023-03-25T10:00:00Z",
    "DeleteDate": "2025-03-25T10:00:00Z",
    "PrimaryKeyVersion": "7ce1d081-06cb-42e6-aab6-5c5de030****",
    "Description": "key description example",
    "KeySpec": "Aliyun_AES_256",
    "Origin": "Aliyun_KMS",
    "MaterialExpireTime": "2025-03-25T10:00:00Z",
    "AutomaticRotation": "Enabled",
    "ProtectionLevel": "SOFTWARE",
    "KeyUsage": "ENCRYPT/DECRYPT",
    "CreationDate": "2024-03-25T10:00:00Z",
    "DKMSInstanceId": "kst-bjj62d8f5e0sgtx8h****"
  }
}

    Kode kesalahan

    HTTP status code

    Error code

    Error message

    Description
    400 Rejected.LimitExceeded The request was rejected because user create resource limit was exceeded The request is rejected because the number of created resources reaches the upper limit.
    400 InvalidParameter The specified parameter is not valid. An invalid value is specified for the parameter.
    400 UnsupportedOperation This action is not supported. The operation is not supported.
    400 Forbidden.NoPermission This operation is forbidden by permission system. You are not authorized to perform this operation.
    400 Rejected.ShareQuotaExceedLimit Instance Share Quota Exceed Limit. The instance share quota exceeds the limit.
    500 InternalFailure Internal Failure An internal error occurred.
    403 Forbidden.DKMSInstanceNotFound The specified DKMS Instance is not found. Your dedicated KMS instance is not found.
    503 SerivceUnvailableTemporary Service Unvailable Temporary The service is temporarily unavailable.

    Lihat Error Codes untuk daftar lengkap.

    Catatan rilis

    Lihat Release Notes untuk daftar lengkap.