Key Management Service：FAQ tentang akses aplikasi

Pertanyaan

• Terjadi error "no such host" atau "not known" saat mengakses instans KMS

• Terjadi error "Forbidden.NoPermission" saat mengakses instans KMS menggunakan titik akses aplikasi

• Terjadi error "This operation for key-xxxxxx is forbidden by permission system" saat mengambil nilai secret

• Terjadi error "Forbidden.KeyNotFound" saat mengakses atau menggunakan kunci

• Terjadi error "UnsupportedOperation" saat memanggil operasi API KMS

• Terjadi error "unable to find valid certification path to requested target" saat mengakses instans KMS

• Nama domain instans KMS tidak dapat di-resolve

• Muncul pesan "incorrect ClientKey password" saat aplikasi mengakses instans KMS

• Dikembalikan kode status HTTP 413 saat aplikasi mengakses instans KMS

• Apakah fitur pengelolaan rahasia KMS didukung di Android?

• Titik akhir KMS tidak dapat diakses

• Pusat data lokal tidak dapat mengakses instans KMS melalui nama domain

• Terjadi error "QPS Limit Exceeded" saat menyinkronkan secret KMS dari ACK menggunakan ack-secret-manager

• Terjadi error "MissingParameter" saat memanggil operasi OpenAPI untuk operasi kriptografi melalui gateway khusus

• Terjadi masalah validasi sertifikat saat ISV pihak ketiga mengakses KMS melalui gateway khusus

Terjadi error "no such host" atau "not known" saat mengakses instans KMS

Deskripsi masalah

• Saat aplikasi mengakses instans KMS menggunakan KMS Instance SDK untuk Go, dikembalikan error berikut: kst-xxx.cryptoservice.kms.aliyuncs.com: no such host.

• Saat aplikasi mengakses instans KMS menggunakan KMS Instance SDK untuk Java, dikembalikan error berikut: kst-xxx.cryptoservice.kms.aliyuncs.com: nodename nor servname provided, or not known.

Penyebab

Setelah Anda membeli instans KMS, instans tersebut menyediakan layanan manajemen kunci dan secret eksklusif. Instans hanya dapat diakses dari virtual private cloud (VPC) yang telah Anda konfigurasikan dan kaitkan dengan instans tersebut.

Solusi

• Jika VPC aplikasi dan instans KMS berada di wilayah yang sama, kaitkan VPC tersebut dengan instans KMS. Untuk informasi selengkapnya, lihat Akses instans KMS dari beberapa VPC dalam wilayah yang sama.

  Untuk melihat VPC mana saja yang dikaitkan dengan instans KMS, lihat Lihat detail instans KMS.

• Jika VPC aplikasi dan instans KMS berada di wilayah yang berbeda, buat koneksi jaringan antara VPC aplikasi dan VPC instans KMS.

Terjadi error "Forbidden.NoPermission" saat mengakses instans KMS menggunakan titik akses aplikasi

Deskripsi masalah

Saat Anda mengakses instans KMS, deskripsi error atau pesan exception SDK yang dikembalikan berisi: Forbidden.NoPermission : This operation is forbidden by permission system.

Solusi

Kebijakan izin untuk titik akses aplikasi (AAP) tidak memberikan izin untuk kunci atau secret yang diperlukan di bagian RBAC Permissions dan Accessible Resources. Untuk informasi selengkapnya, lihat Buat titik akses aplikasi.

Terjadi error "This operation for key-xxxxxx is forbidden by permission system" saat mengambil nilai secret

Deskripsi masalah

Saat Anda mengambil nilai secret, deskripsi error atau pesan exception SDK yang dikembalikan oleh KMS berisi: This operation for key-xxxxxx is forbidden by permission system.

Berikut adalah contoh pesan exception dari Java SDK untuk instans KMS:

Penyebab

Aplikasi tidak memiliki izin untuk menggunakan kunci tersebut dalam operasi dekripsi.

Saat Anda membuat secret, Anda harus memilih kunci dari instans KMS yang sama untuk mengenkripsi nilai secret tersebut. Saat aplikasi meminta secret dari KMS, aplikasi tersebut harus menggunakan kunci yang sesuai untuk mendekripsi nilai secret tersebut. Oleh karena itu, aplikasi harus memiliki izin untuk menggunakan secret tersebut dan izin untuk menggunakan kunci yang sesuai dalam operasi dekripsi.

Solusi

• Skenario 1: Akses KMS menggunakan client key dari AAP

  Edit kebijakan izin AAP untuk memberikan izin kepada aplikasi agar dapat menggunakan kunci tersebut dalam operasi dekripsi.

  1. Masuk ke Konsol Key Management Service. Di bilah menu atas, pilih wilayah. Di panel navigasi sebelah kiri, pilih Application Access > AAPs.

  2. Klik nama AAP target untuk membuka halaman Details.

  3. Di kolom Actions pada kebijakan izin, klik Modify. Konfigurasikan item berikut lalu klik Update.

     • RBAC Permissions: Pilih CryptoServiceKeyUser.

     • Accessible Resources: Di bagian Available Resources, pilih satu atau beberapa kunci lalu klik ikon . Anda juga dapat mengklik ikon di samping Selected Resources untuk menambahkan kunci dalam format key/key id (misalnya, key/key-hzz6xxxxxx).

• Skenario 2: Akses KMS menggunakan Pasangan Kunci Akses Pengguna RAM atau Peran RAM

  Edit kebijakan izin RAM untuk memberikan izin kepada aplikasi agar dapat menggunakan kunci tersebut dalam operasi dekripsi.

  1. Masuk ke Konsol RAM.

  2. Di panel navigasi sebelah kiri, pilih Permission Management > Policies.

  3. Temukan kebijakan izin yang dilampirkan pada Pengguna RAM atau Peran RAM Anda lalu klik nama kebijakan tersebut.

  4. Di tab Policy Document, klik Modify Policy Document. Tambahkan skrip berikut ke bidang Statement, klik Continue to Edit Basic Information, lalu klik OK.

             {
                 "Effect": "Allow",
                 "Action": "kms:Decrypt",
                 "Resource": "acs:kms:${region}:${account}:key/keyId-example"
             }

     Untuk informasi selengkapnya tentang kebijakan izin, lihat Kebijakan izin kustom untuk Key Management Service.

Terjadi error "Forbidden.KeyNotFound" saat mengakses atau menggunakan kunci

Penyebab: Error ini biasanya terjadi karena wilayah, ID kunci, atau alias yang ditentukan dalam permintaan tidak sesuai dengan parameter yang digunakan untuk enkripsi.

Solusi: Pastikan wilayah, ID kunci, atau alias yang digunakan dalam operasi dekripsi identik dengan yang digunakan untuk enkripsi.

Terjadi error "UnsupportedOperation" saat memanggil operasi API KMS

• Kesalahan konfigurasi akses jaringan

  • Penyebab: Aplikasi menggunakan Alibaba Cloud SDK untuk melakukan operasi kriptografi dengan kunci yang dibuat di instans KMS.

  • Solusi:

    1. Masuk ke Konsol Key Management Service. Di bilah menu atas, pilih wilayah. Di panel navigasi sebelah kiri, pilih Resource > Instances.

    2. Di halaman daftar instans, klik ID instans target, lalu aktifkan akses Internet di tab Share Resources pada halaman detail.

       Saat instans KMS dibagikan dengan beberapa Akun Alibaba Cloud, Anda dapat mengonfigurasi izin akses Internet untuk setiap akun.

    3. Beralih ke tab Instance, lalu lihat titik akhir publik.

• Penggunaan tipe kunci yang salah

  • Penyebab: Aplikasi menggunakan service key saat memanggil API operasi kriptografi, seperti Encrypt, Decrypt, atau GenerateDataKey, menggunakan SDK.

  • Solusi: Aplikasi harus menggunakan customer master key (CMK) secara langsung untuk operasi kriptografi, bukan service key yang dikelola oleh produk cloud lainnya.

• Ketidaksesuaian antara algoritma kunci dan API

  • Skenario 1: Enkripsi, dekripsi, dan pembangkitan kunci data

    • Saat Anda memanggil API GenerateDataKey, algoritma kunci CMK adalah algoritma asimetris, seperti RSA, ECC, .

    • Solusi: Pastikan algoritma kunci CMK adalah algoritma simetris, seperti AES , dan penggunaan kuncinya diatur ke ENCRYPT/DECRYPT.

  • Skenario 2: Penandatanganan dan verifikasi

    • Saat Anda memanggil API Sign atau Verify, algoritma kunci CMK adalah algoritma kriptografi simetris, seperti AES .

    • Solusi: Pastikan algoritma kunci CMK adalah algoritma asimetris, seperti RSA, ECC, , dan penggunaan kuncinya diatur ke SIGN/VERIFY.

Terjadi error "unable to find valid certification path to requested target" saat mengakses instans KMS

Kemungkinan penyebab 1: Instans KMS yang salah dipilih saat mengunduh sertifikat CA

1. Masuk ke Konsol Key Management Service. Di bilah menu atas, pilih wilayah. Di panel navigasi sebelah kiri, pilih Resource > Instances.

2. Di halaman Instances, klik Download di bawah Instance CA Certificate.

3. Di kotak dialog Instance CA Certificate, pilih ID instans, klik Download, lalu simpan sertifikat tersebut dengan aman.

   Secara default, file sertifikat CA yang diunduh diberi nama PrivateKmsCA_kst-******.pem. Sertifikat ini kemudian diintegrasikan ke dalam SDK untuk memverifikasi keaslian sertifikat SSL instans KMS.

Kemungkinan penyebab 2: Versi paket SDK salah

Nama domain instans KMS tidak dapat di-resolve

Deskripsi masalah

Di VPC tempat instans KMS berada atau di VPC yang dikaitkan, aplikasi tidak dapat mengakses nama domain instans KMS. Misalnya, saat Anda menjalankan perintah ping kst-hzz62****.cryptoservice.kms.aliyuncs.com, nama domain tidak dapat di-resolve dan dikembalikan pesan yang berisi "cannot resolve".

Solusi

Periksa apakah konfigurasi DNS server diatur ke 100.100.2.136/100.100.2.138 secara default. Untuk informasi selengkapnya, lihat Apakah saya perlu mengubah konfigurasi DNS server untuk menggunakan PrivateZone?.

Muncul pesan "incorrect ClientKey password" saat aplikasi mengakses instans KMS

Deskripsi masalah

• Saat Anda mengakses instans KMS menggunakan KMS Instance SDK untuk Java, dikembalikan error berikut: java.io.IOException: keystore password was incorrect.

• Saat Anda mengakses instans KMS menggunakan KMS Instance SDK untuk PHP, dikembalikan error berikut: Could not decrypt the privateKey of clientKey, the password is incorrect, or it is not a valid pkcs12.

• Saat Anda mengakses instans KMS menggunakan KMS Instance SDK untuk Go, dikembalikan error berikut: panic: pkcs12: decryption password incorrect.

• Saat Anda mengakses instans KMS menggunakan KMS Instance SDK untuk Python, dikembalikan error berikut: OpenSSL.crypto.Error: [('PKCS12 routines', '', 'mac verify failure')].

Penyebab

Password ClientKey salah.

Solusi

• Periksa apakah password ClientKey memenuhi persyaratan format. Jika tidak, buat ClientKey baru. Untuk informasi selengkapnya, lihat Buat ClientKey.

  Password ClientKey harus terdiri dari 8 hingga 64 karakter dan mengandung minimal dua dari jenis karakter berikut: angka, huruf kecil, huruf besar, dan karakter khusus (~!@#$%^&*?_-).

• Jika Anda membaca password ClientKey dari file, file password tersebut harus berupa file teks yang hanya berisi satu baris password. Konten file tidak boleh mengandung karakter khusus yang tidak memenuhi persyaratan format password, seperti line feed atau karakter tab.

Dikembalikan kode status HTTP 413 saat aplikasi mengakses instans KMS

Setelah semua parameter permintaan dikodekan menggunakan Protocol Buffers (yaitu, Request Body), panjang konten tidak boleh melebihi 3 MB. Jika melebihi, permintaan akan ditolak oleh sisi server dan dikembalikan kode status HTTP 413.

• Operasi enkripsi dan dekripsi: Kami menyarankan agar data untuk satu operasi enkripsi atau dekripsi tidak melebihi 6 KB untuk kunci simetris dan 1 KB untuk kunci asimetris. Jika data melebihi batas tersebut, gunakan enkripsi amplop.

• Operasi penandatanganan dan verifikasi: Jika pesan yang akan ditandatangani berukuran besar, kami menyarankan agar aplikasi Anda menghasilkan digest pesan secara lokal lalu memanggil API Sign/Verify untuk melakukan penandatanganan atau verifikasi.

Terjadi error "UnknownHostException" saat aplikasi mengakses instans KMS

Deskripsi masalah

Saat aplikasi mengakses instans KMS menggunakan KMS Instance SDK untuk Java, dikembalikan error berikut: Caused by: java.net.UnknownHostException: kst-hzz664da459rvtjtd****.cryptoservice.kms.aliyuncs.com.

Solusi

1. Konfirmasi bahwa lingkungan aplikasi Anda terhubung ke jaringan VPC instans KMS.

   Jika VPC aplikasi dan instans KMS berada di wilayah yang sama, sambungkan VPC ke instans KMS. Untuk informasi selengkapnya, lihat Akses instans KMS dari beberapa VPC dalam wilayah yang sama. Untuk skenario lain, Anda dapat merujuk ke solusi berikut.

   • Solutions for cross-VPC interconnection

     Anda dapat mengaktifkan peering jaringan pribadi antar-VPC menggunakan Cloud Enterprise Network (CEN), Gateway VPN, koneksi peering VPC, atau PrivateLink. Untuk informasi selengkapnya tentang fitur, deskripsi, dan metode konfigurasi solusi interkoneksi lintas-VPC ini, lihat Interkoneksi VPC.

   • How a VPC connects to the public network

     Anda dapat mengaktifkan sumber daya cloud di VPC untuk mengakses atau diakses oleh jaringan publik menggunakan Alamat IP publik statis untuk instans ECS, Alamat IP Elastis, Gateway NAT, atau Server Load Balancer. Untuk informasi selengkapnya, lihat Akses jaringan publik.

   • How a VPC connects to a data center

     Anda dapat menghubungkan pusat data lokal ke VPC di cloud menggunakan Gateway VPN, sirkuit Express Connect, atau Gerbang Akses Cerdas untuk membangun Cloud Hibrida. Untuk informasi selengkapnya, lihat Hubungkan VPC ke pusat data lokal/cloud lain.

2. Konfirmasi bahwa resolusi DNS untuk VPC KMS dikonfigurasi dengan benar. Untuk informasi tentang pengaturan resolusi DNS, lihat Pengantar resolusi DNS internal.

Apakah fitur manajemen secret KMS didukung di Android?

Fitur manajemen secret saat ini tidak didukung di Android.

Titik akhir KMS tidak dapat diakses

Masalah ini biasanya terjadi karena protokol HTTPS tidak diaktifkan saat Anda menggunakan SDK untuk mengakses KMS.

Untuk memastikan keamanan data Anda, titik akhir KMS hanya mendukung protokol HTTPS. Oleh karena itu, saat Anda menggunakan SDK untuk mengakses titik akhir KMS, jalankan kode berikut untuk memastikan HTTPS diaktifkan untuk KMS.

req.setProtocol(ProtocolType.HTTPS);

Pusat data lokal tidak dapat mengakses instans KMS melalui nama domain

Deskripsi masalah

Setelah koneksi jaringan dibuat antara pusat data lokal dan VPC Alibaba Cloud, pusat data lokal tidak dapat mengakses instans KMS menggunakan nama domain kms.aliyuncs.com yang dikonfigurasi di PrivateZone tanpa konfigurasi tambahan.

Solusi

1. Di router Express Connect, izinkan segmen rute 100.100.2.136 dan 100.100.2.138 untuk memastikan pusat data lokal dapat melakukan ping ke 100.100.2.136 dan 100.100.2.138. Untuk masalah konfigurasi router Express Connect, konsultasikan dengan PDSA jaringan Anda atau lihat dokumen berikut: Interkoneksi jaringan cloud-ke-lokal, Hubungkan pusat data lokal ke VPC melalui sirkuit Express Connect, Tambah dan kelola entri rute, dan Proses pesan dari pusat data lokal menggunakan Message Queue for Apache RocketMQ melalui sirkuit Express Connect.

   Penting

   Jika pusat data Anda tidak terhubung ke jaringan enterprise Alibaba Cloud atau sirkuit Express Connect, konsultasikan dengan penyedia Anda untuk konfigurasi router.

2. Ubah file konfigurasi DNS primer lokal bernama named.conf untuk meneruskan kueri untuk nama domain KMS (kms.aliyuncs.com) ke DNS Alibaba Cloud. Anda dapat merujuk ke konfigurasi berikut:

   zone "kms.aliyuncs.com" { 
           type forward; 
           forwarders { 100.100.2.136;100.100.2.138;}; 
   };

   Catatan

   Konfigurasi untuk penerusan rute dapat sedikit berbeda tergantung pada perangkat lunak DNS. Selesaikan konfigurasi berdasarkan panduan pengguna perangkat lunak tersebut.

Terjadi error "QPS Limit Exceeded" saat menyinkronkan secret KMS dari ACK menggunakan ack-secret-manager

Penyebab

Saat banyak secret KMS disinkronkan, kebijakan throttling KMS dipicu, sehingga sinkronisasi gagal.

Solusi

Masalah ini telah diperbaiki di versi 0.5.2 ack-secret-manager. Lakukan peningkatan ke versi 0.5.2 atau lebih baru. Kami menyarankan Anda melakukan peningkatan ke versi terbaru.

Terjadi error "MissingParameter" saat memanggil operasi OpenAPI untuk operasi kriptografi melalui gateway khusus

Deskripsi masalah

Saat Anda menggunakan Alibaba Cloud SDK untuk memanggil operasi OpenAPI untuk operasi kriptografi melalui gateway khusus, dikembalikan error MissingParamter AParamter x-kms-acccesskeyid does not exist in http header or body "$430c76cd-******.

Penyebab

Versi gambar instans KMS lebih awal dari 3.0.0. Untuk memanggil operasi OpenAPI untuk operasi kriptografi melalui gateway khusus, versi gambar instans KMS harus 3.0.0 atau lebih baru.

Solusi

Di halaman Instances, lihat versi gambar di detail instans. Klik Upgrade untuk meningkatkan versi gambar instans KMS. Untuk informasi selengkapnya, lihat Tingkatkan versi gambar instans KMS.

Terjadi masalah validasi sertifikat saat ISV pihak ketiga mengakses KMS melalui gateway khusus

Untuk mengatasi masalah validasi sertifikat yang disebabkan oleh sertifikat tanda tangan sendiri, aktifkan akses jaringan publik untuk instans KMS Anda. Hal ini memungkinkan ISV pihak ketiga mengakses KMS melalui gateway bersama, yang memperoleh sertifikat penandatanganan dari otoritas sertifikasi tepercaya.

1. Masuk ke Konsol Key Management Service. Di bilah menu atas, pilih wilayah. Di panel navigasi sebelah kiri, pilih Resource > Instances.

2. Di halaman daftar instans, klik ID instans target, lalu aktifkan akses Internet di tab Share Resources pada halaman detail.

   Saat instans KMS dibagikan dengan beberapa Akun Alibaba Cloud, Anda dapat mengonfigurasi izin akses Internet untuk setiap akun.

3. Beralih ke tab Instance, lalu lihat titik akhir publik.