Alibaba Cloud SDK - Key Management Service

Mengintegrasikan Alibaba Cloud SDK memungkinkan Anda memanggil OpenAPI untuk operasi manajemen seperti pembuatan instance dan kunci, serta melakukan operasi bisnis seperti enkripsi, dekripsi, dan pengambilan nilai rahasia. Dokumen ini membantu Anda menggunakan Key Management Service (KMS) dengan mengintegrasikan Alibaba Cloud SDK.

Ikhtisar Akses

Saat mengintegrasikan Alibaba Cloud SDK untuk KMS, perhatikan bahwa operasi manajemen hanya dapat diakses melalui gateway bersama, sedangkan operasi bisnis dapat diakses melalui gateway bersama maupun gateway khusus. Gambar berikut mengilustrasikan metode akses ini.

Perbedaan antara gateway bersama dan gateway khusus untuk mengakses KMS

Tabel berikut mencantumkan perbedaan utama antara mengakses gateway bersama dan gateway khusus saat menggunakan Alibaba Cloud SDK untuk mengakses KMS dalam operasi bisnis.

Item		Gateway bersama	Gateway khusus
Jaringan		Jaringan publik atau VPC.	Jaringan privat KMS.
Kinerja		KMS memiliki kuota yang membatasi jumlah permintaan API per detik. Sebagai contoh, QPS untuk enkripsi dan dekripsi tetap pada 1000.	Bukannya membatasi jumlah permintaan API, KMS memprosesnya dalam mode usaha terbaik. Sumber daya komputasi dan penyimpanan maksimum yang tersedia digunakan selama pemrosesan. Saat Anda membeli instance KMS, Anda dapat memilih QPS yang sesuai berdasarkan kebutuhan bisnis Anda.
API yang Didukung		Semua OpenAPI untuk operasi kriptografi dan mengambil nilai rahasia.	Semua OpenAPI untuk operasi kriptografi dan mengambil nilai rahasia, kecuali ReEncrypt.
Pengendalian akses jaringan		ID VPC (kunci kondisi: acs:SourceVpc) dan alamat IP dalam VPC (kunci kondisi: acs:VpcSourceIp) didukung untuk pengendalian akses jaringan.	ID VPC (kunci kondisi: acs:SourceVpc) dan alamat IP sumber dalam VPC (kunci kondisi: acs:VpcSourceIp) tidak didukung untuk pengendalian akses jaringan. Jika Anda memerlukan pengendalian akses jaringan, hubungi manajer akun Anda.
Otorisasi		Saat menggunakan autentikasi STS untuk mengambil rahasia, otorisasi diterapkan hanya pada operasi GetSecretValue, bukan pada operasi Decrypt. Metode autentikasi lainnya menerapkan otorisasi pada kedua operasi.	Selama proses pengambilan rahasia, operasi GetSecretValue dan Decrypt diotorisasi.
Log Auditing		ActionTrail	Simple Log Service (SLS)
Konfigurasi SDK	Endpoint	Saat inisialisasi klien, endpoint gateway bersama harus dikonfigurasi dengan salah satu format berikut: Nama domain jaringan publik: `kms.<REGION_ID>.aliyuncs.com`. Nama domain VPC: `kms-vpc.<REGION_ID>.aliyuncs.com`.	Saat inisialisasi klien, endpoint gateway khusus harus dikonfigurasi mengikuti format: `<KMS_INSTANCE_ID>.cryptoservice.kms.aliyuncs.com`.
Konfigurasi SDK	Sertifikat CA	Tidak diperlukan.	Alibaba Cloud SDK V2.0: Memerlukan pengaturan sertifikat CA. Alibaba Cloud SDK V1.0: Tidak mendukung sertifikat. Sebagai gantinya, parameter runtime `HTTPSInsecure` harus diatur ke true: `client.SetHTTPSInsecure(true)`.

OpenAPI yang Didukung

Operasi manajemen hanya dapat diakses melalui gateway bersama, sedangkan operasi bisnis dapat diakses melalui gateway bersama dan gateway khusus.

Operasi Manajemen

Manajemen layanan

API	Deskripsi
DescribeRegions	Meminta daftar wilayah yang tersedia untuk akun Alibaba Cloud saat ini.
OpenKmsService	Mengaktifkan KMS untuk akun Alibaba Cloud saat ini.
DescribeAccountKmsStatus	Meminta status KMS untuk akun Alibaba Cloud saat ini.

Manajemen instance

API	Deskripsi
ConnectKmsInstance	Mengaktifkan instance KMS.
GetKmsInstance	Meminta detail instance KMS.
ListKmsInstances	Meminta daftar instance KMS.
UpdateKmsInstanceBindVpc	Memperbarui virtual private cloud (VPC) yang terkait dengan instance KMS.

Manajemen kunci

Kelola kunci dengan memanggil API seperti pembuatan dan penghapusan kunci serta alias.

API	Deskripsi
CreateKey	Membuat kunci. Anda dapat menggunakan materi kunci yang dihasilkan oleh KMS atau mengimpor materi kunci Anda sendiri. Mengimpor materi kunci Anda sendiri dikenal sebagai Bring Your Own Key (BYOK).
GetParametersForImport	Meminta parameter yang digunakan untuk mengimpor materi kunci ke kunci.
ImportKeyMaterial	Mengimpor materi kunci ke kunci.
EnableKey	Mengubah status kunci menjadi Diaktifkan.
DisableKey	Mengubah status kunci menjadi Dinonaktifkan.
DescribeKey	Meminta informasi tentang kunci.
ListKeys	Meminta semua kunci dalam akun Alibaba Cloud di wilayah tertentu.
UpdateKeyDescription	Memperbarui deskripsi kunci.
CreateAlias	Membuat alias dan mengikatkannya ke kunci.
UpdateAlias	Memperbarui ID kunci yang terikat pada alias.
DeleteAlias	Menghapus alias.
ListAliases	Meminta semua alias dalam akun Alibaba Cloud di wilayah tertentu.
ListAliasesByKeyId	Meminta alias yang terikat pada kunci.
SetDeletionProtection	Mengaktifkan atau menonaktifkan perlindungan penghapusan.
ScheduleKeyDeletion	Menjadwalkan penghapusan kunci. Setelah Anda memanggil operasi ini, kunci masuk ke status Penghapusan Tertunda. Kunci akan dihapus secara otomatis setelah periode tunggu yang ditentukan berakhir.
CancelKeyDeletion	Membatalkan penghapusan kunci yang dijadwalkan. Anda dapat membatalkan penghapusan kunci yang dijadwalkan sebelum periode tunggu yang ditentukan berakhir. Setelah penghapusan dibatalkan, kunci kembali ke status Diaktifkan.
DeleteKeyMaterial	Menghapus materi kunci. Penting Anda hanya dapat menghapus materi kunci eksternal dari kunci master pelanggan (CMK) yang digunakan sebagai kunci default.
CreateKeyVersion	Membuat versi. Kunci simetris dalam instance KMS tipe manajemen kunci perangkat lunak mendukung operasi ini. Kunci asimetris di luar KMS mendukung operasi ini.
DescribeKeyVersion	Meminta informasi tentang versi kunci.
ListKeyVersions	Meminta semua versi kunci.
UpdateRotationPolicy	Memperbarui kebijakan rotasi kunci. Jika rotasi otomatis diaktifkan untuk kunci, KMS secara otomatis menghasilkan versi kunci secara berkala.

Manajemen rahasia

Kelola, lindungi, distribusikan, dan putar rahasia dengan memanggil API terkait.

API	Deskripsi
CreateSecret	Membuat rahasia dan menyimpan nilai rahasia dalam versi awal.
ListSecrets	Meminta semua rahasia dalam akun Alibaba Cloud di wilayah tertentu.
DescribeSecret	Meminta metadata rahasia.
UpdateSecret	Memperbarui metadata rahasia.
PutSecretValue	Menyimpan nilai rahasia dari versi baru dalam rahasia. Catatan Hanya rahasia generik yang mendukung operasi ini.
UpdateSecretVersionStage	Memperbarui label tahap yang menandai versi rahasia. Catatan Hanya rahasia generik yang mendukung operasi ini.
DeleteSecret	Menghapus atau menjadwalkan penghapusan rahasia.
RestoreSecret	Memulihkan rahasia yang dijadwalkan untuk dihapus.
ListSecretVersionIds	Meminta semua versi rahasia.
GetRandomPassword	Meminta string kata sandi acak.
RotateSecret	Memutar rahasia secara manual.
UpdateSecretRotationPolicy	Memperbarui kebijakan rotasi rahasia.

Manajemen tag

Tambahkan beberapa tag ke kunci atau rahasia, dengan setiap tag terdiri dari kunci tag dan nilai tag.

Catatan

TagResource, UntagResource, dan ListResourceTags memungkinkan operasi pada satu sumber daya. TagResources, UntagResources, dan ListTagResources memungkinkan operasi batch pada beberapa sumber daya.

API	Deskripsi
TagResource	Menambahkan tag ke kunci atau rahasia.
UntagResource	Menghapus tag dari kunci atau rahasia.
ListResourceTags	Meminta semua tag kunci.
TagResources	Menambahkan tag ke beberapa kunci atau rahasia.
UntagResources	Menghapus tag dari beberapa kunci atau rahasia sekaligus.
ListTagResources	Meminta semua tag atau tag tertentu dari beberapa kunci atau rahasia sekaligus.

Manajemen aplikasi

API	Deskripsi
CreateNetworkRule	Membuat aturan kontrol akses untuk mengonfigurasi alamat IP privat atau blok CIDR yang diizinkan mengakses instance KMS.
DeleteNetworkRule	Menghapus aturan akses jaringan.
DescribeNetworkRule	Meminta detail aturan akses jaringan.
ListNetworkRules	Meminta daftar aturan akses jaringan.
UpdateNetworkRule	Memperbarui aturan akses jaringan.
CreatePolicy	Membuat kebijakan izin untuk mengonfigurasi kunci dan rahasia yang dapat diakses oleh aplikasi.
DeletePolicy	Menghapus kebijakan izin.
DescribePolicy	Meminta detail kebijakan izin.
UpdatePolicy	Memperbarui kebijakan izin.
ListPolicies	Meminta kebijakan izin.
CreateApplicationAccessPoint	Membuat titik akses aplikasi (AAP).
DeleteApplicationAccessPoint	Menghapus AAP.
DescribeApplicationAccessPoint	Meminta detail AAP.
ListApplicationAccessPoints	Meminta daftar AAP.
UpdateApplicationAccessPoint	Memperbarui informasi tentang AAP.
CreateClientKey	Membuat kunci klien.
DeleteClientKey	Menghapus kunci klien.
ListClientKeys	Meminta daftar kunci klien.
GetClientKey	Meminta informasi tentang kunci klien.

Operasi Bisnis

Penting

Untuk melakukan operasi kriptografi melalui gateway bersama, Anda harus terlebih dahulu mengaktifkan akses publik.

Operasi Kriptografi

menunjukkan dukungan, dan × menunjukkan tidak didukung.

Operasi API	Deskripsi	Gateway bersama	Gateway khusus
Encrypt	Mengenkripsi teks biasa menggunakan kunci simetris.
GenerateDataKey	Menghasilkan kunci data acak yang digunakan untuk mengenkripsi data lokal.
GenerateDataKeyWithoutPlaintext	Menghasilkan kunci data acak, yang dapat digunakan untuk mengenkripsi data lokal.
ExportDataKey	Mengenkripsi kunci data menggunakan kunci publik tertentu, dan mengekspor kunci data tersebut.
GenerateAndExportDataKey	Menghasilkan kunci data secara acak, dan menggunakan kunci KMS dan kunci publik untuk mengenkripsi kunci data tersebut. Operasi ini mengembalikan ciphertext dari kunci data yang dienkripsi menggunakan kunci data dan kunci publik.
Decrypt	Mendekripsi ciphertext.
ReEncrypt	Mengenkripsi ulang ciphertext. Saat Anda memanggil operasi ini, KMS menggunakan kunci berbeda untuk mengenkripsi ulang plaintext atau kunci data yang dihasilkan, lalu mengembalikan ciphertext baru.		×
AsymmetricSign	Menghasilkan tanda tangan menggunakan kunci asimetris.
AsymmetricVerify	Memverifikasi tanda tangan menggunakan kunci asimetris.
AsymmetricDecrypt	Mendekripsi data menggunakan kunci asimetris.
AsymmetricEncrypt	Mengenkripsi data menggunakan kunci asimetris.
GetPublicKey	Mengambil kunci publik dari pasangan kunci asimetris. Anda dapat menggunakan kunci publik untuk mengenkripsi data lokal dan memverifikasi tanda tangan.

Pengambilan Nilai Rahasia

menunjukkan dukungan, dan × menunjukkan tidak didukung.

Operasi API	Deskripsi	Gateway bersama	Gateway khusus
GetSecretValue	Mengambil nilai rahasia.

Endpoint

Endpoint Gateway Bersama (juga dikenal sebagai endpoint layanan KMS)

Endpoint Gateway Khusus (juga dikenal sebagai endpoint instance KMS)

<KMS_INSTANCE_ID>.cryptoservice.kms.aliyuncs.com

Ganti <KMS_INSTANCE_ID> dengan ID Instance KMS Anda yang sebenarnya.

Metode autentikasi

Saat mengakses OpenAPI melalui gateway bersama atau gateway khusus menggunakan Alibaba Cloud SDK, metode autentikasi tetap sama. Metode autentikasi berbasis RAM didukung, termasuk AccessKey (AK), STS Token, RamRoleArn, dan Peran RAM instance ECS. Untuk informasi lebih lanjut, lihat Kelola Kredensial Akses.

AccessKey

Secara default, akun Alibaba Cloud berfungsi sebagai administrator dengan otoritas penuh atas semua sumber daya terkait. Izin akun Alibaba Cloud tidak dapat diubah. Jika pasangan AccessKey disusupi, seluruh sumber daya akun berisiko. Untuk keamanan yang lebih baik, kami tidak menyarankan membuat pasangan AccessKey untuk akun Alibaba Cloud. Sebagai gantinya, buat pengguna RAM dengan mode akses API diaktifkan dan hasilkan pasangan AccessKey untuk pengguna tersebut. Dengan memberikan pengguna RAM izin minimal sesuai prinsip hak istimewa minimal, mereka dapat menjalankan operasi API untuk mengakses sumber daya Alibaba Cloud. Untuk informasi lebih lanjut, lihat Buat Pasangan AccessKey.

Masuk ke Konsol RAM menggunakan akun Alibaba Cloud, administrator RAM dengan kebijakan AliyunRAMFullAccess terlampir, atau pengguna RAM dengan izin untuk mengelola pasangan AccessKey.
Di panel navigasi sisi kiri, pilih Identities > Users, lalu klik pengguna RAM yang diinginkan.
Di tab Authentication, klik Create AccessKey dan ikuti petunjuk untuk menyelesaikan pembuatan.
Berikan akses pengguna RAM ke KMS. Anda memiliki dua metode untuk menyelesaikan pemberian akses:
- Metode 1: Melalui kebijakan berbasis identitas
  KMS menyediakan kebijakan izin sistem yang dapat dilampirkan ke pengguna RAM. Untuk informasi lebih lanjut, lihat Kebijakan Sistem untuk KMS. Anda juga dapat membuat kebijakan kustom.
- Metode 2: Melalui kebijakan berbasis sumber daya
  KMS mendukung kebijakan berbasis sumber daya, yang memungkinkan Anda mengatur izin akses untuk kunci dan rahasia. Ini memungkinkan Anda mengontrol akun Alibaba Cloud mana, pengguna RAM, dan peran RAM yang memiliki izin untuk mengelola atau menggunakan kunci dan rahasia KMS. Untuk informasi lebih lanjut, lihat Kebijakan Kunci dan Kebijakan Rahasia.

Token STS

Dengan menggunakan layanan STS, kredensial akses sementara dapat diterbitkan untuk pengguna RAM atau peran RAM, memungkinkan mereka mengakses KMS dengan izin tertentu untuk jangka waktu validitas terbatas. Setelah periode kedaluwarsa berakhir, kredensial tersebut akan otomatis menjadi tidak valid.

Masuk ke Konsol RAM menggunakan akun Alibaba Cloud atau pengguna RAM dengan hak administratif.
Buat pengguna RAM atau buat peran RAM.
Berikan izin AliyunSTSAssumeRoleAccess kepada pengguna RAM atau Berikan izin AliyunSTSAssumeRoleAccess kepada peran RAM.
Berikan akses pengguna RAM ke KMS. Anda memiliki dua metode untuk menyelesaikan pemberian akses:
- Metode 1: Melalui kebijakan berbasis identitas
  KMS menyediakan kebijakan izin sistem yang dapat dilampirkan ke pengguna RAM. Untuk informasi lebih lanjut, lihat Kebijakan Sistem untuk KMS. Anda juga dapat membuat kebijakan kustom.
- Metode 2: Melalui kebijakan berbasis sumber daya
  KMS mendukung kebijakan berbasis sumber daya, yang memungkinkan Anda mengatur izin akses untuk kunci dan rahasia. Ini memungkinkan Anda mengontrol akun Alibaba Cloud mana, pengguna RAM, dan peran RAM yang memiliki izin untuk mengelola atau menggunakan kunci dan rahasia KMS. Untuk informasi lebih lanjut, lihat Kebijakan Kunci dan Kebijakan Rahasia.

Gunakan pengguna RAM atau peran RAM untuk memanggil antarmuka AssumeRole layanan STS guna mendapatkan kredensial akses sementara.

RamRoleArn

Pengguna RAM atau layanan cloud dapat memperoleh izin sementara dengan mengasumsikan peran alih-alih langsung menggunakan kunci akses jangka panjang, sehingga mengurangi risiko kebocoran kunci. Misalnya, dalam tugas pemrosesan data sementara, pengguna RAM atau layanan cloud dapat sementara mengasumsikan peran dengan RamRoleArn tertentu. RamRoleArn adalah informasi ARN dari peran RAM. Setelah tugas selesai, izin peran dicabut, lebih lanjut mengurangi risiko paparan.

Masuk ke Konsol RAM menggunakan akun Alibaba Cloud atau peran RAM dengan hak administratif.
Buat peran RAM.
Berikan akses peran RAM ke KMS. Anda memiliki dua metode untuk menyelesaikan pemberian akses:
- Metode 1: Melalui kebijakan berbasis identitas
  KMS menyediakan kebijakan izin sistem yang dapat dilampirkan ke pengguna RAM. Untuk informasi lebih lanjut, lihat Kebijakan Sistem untuk KMS. Anda juga dapat membuat kebijakan kustom.
- Metode 2: Melalui kebijakan berbasis sumber daya
  KMS mendukung kebijakan berbasis sumber daya, yang memungkinkan Anda mengatur izin akses untuk kunci dan rahasia. Ini memungkinkan Anda mengontrol akun Alibaba Cloud mana dan peran RAM yang memiliki izin untuk mengelola atau menggunakan kunci dan rahasia KMS. Untuk informasi lebih lanjut, lihat Kebijakan Kunci dan Kebijakan Rahasia.
Lihat RamRoleArn tentang peran RAM.
RamRoleArn mengikuti format acs:ram::$accountID:role/$roleName, di mana $accountID adalah akun Alibaba Cloud dan $roleName adalah nama peran RAM.

Peran RAM instance ECS

Peran RAM instance ECS adalah peran layanan reguler yang dilampirkan ke instance ECS, dan entitas tepercaya dari peran RAM instance adalah ECS. Anda dapat menggunakan peran RAM instance untuk mendapatkan token Security Token Service (STS) sebagai kredensial akses sementara dari dalam instance ECS tanpa perlu memberikan pasangan AccessKey. Kemudian, Anda dapat menggunakan kredensial akses sementara untuk memanggil operasi OpenAPI KMS.

Masuk ke Konsol RAM, dan buat peran RAM instance dengan Principal Type-nya sebagai layanan Alibaba Cloud.
- Tipe Principal: Pilih Cloud Service.
- Nama Principal: Pilih Elastic Compute Service / ECS.
Berikan akses pengguna RAM ke KMS. Anda memiliki dua metode untuk menyelesaikan pemberian akses:
- Metode 1: Melalui kebijakan berbasis identitas
  KMS menyediakan kebijakan izin sistem yang dapat dilampirkan ke pengguna RAM. Untuk informasi lebih lanjut, lihat Kebijakan Sistem untuk KMS. Anda juga dapat membuat kebijakan kustom.
- Metode 2: Melalui kebijakan berbasis sumber daya
  KMS mendukung kebijakan berbasis sumber daya, yang memungkinkan Anda mengatur izin akses untuk kunci dan rahasia. Ini memungkinkan Anda mengontrol akun Alibaba Cloud mana, pengguna RAM, dan peran RAM yang memiliki izin untuk mengelola atau menggunakan kunci dan rahasia KMS. Untuk informasi lebih lanjut, lihat Kebijakan Kunci dan Kebijakan Rahasia.
Masuk ke Konsol ECS, dan lampirkan peran RAM instance ke instance ECS.

Bahasa pemrograman yang didukung

Tabel berikut mencantumkan bahasa pemrograman yang didukung beserta tautan unduhan SDK dan dokumentasi referensi mereka.

Bahasa pemrograman yang didukung	SDK V2.0 (direkomendasikan)	SDK V1.0 (tidak direkomendasikan)
Java	Unduh: Java Sinkron: kms20160120 Java Asinkron: alibabacloud-kms20160120 Dokumentasi: Memulai dengan Alibaba Cloud Darabonba SDK untuk Java	Unduh: aliyun-java-sdk-kms Dokumentasi: Memulai dengan Alibaba Cloud SDK V1.0 untuk Java
Python	Unduh: alibabacloud_kms20160120 Dokumentasi: Memulai dengan Alibaba Cloud Darabonba SDK untuk Python	Unduh: aliyun-python-sdk-kms Dokumentasi: Memulai
C++	Unduh: kms-20160120 Dokumentasi: Tidak ada	Unduh: aliyun-openapi-cpp-sdk/kms Dokumentasi: Tidak ada
PHP	Unduh: alibabacloud/kms-20160120 Dokumentasi: Memulai dengan Alibaba Cloud Darabonba SDK untuk PHP	Unduh: alibabacloud/kms Dokumentasi: Memulai dengan Alibaba Cloud SDK V1.0 untuk PHP
.NET (C#)	Unduh: AlibabaCloud.SDK.Kms20160120 Dokumentasi: Memulai dengan Alibaba Cloud Darabonba SDK untuk .NET	Unduh: aliyun-net-sdk-kms Dokumentasi: Memulai dengan Alibaba Cloud Classic SDK untuk .NET
Go	Unduh: kms-20160120 Dokumentasi: Memulai dengan Alibaba Cloud Darabonba SDK untuk Go	Unduh: alibaba-cloud-sdk-go Dokumentasi: Memulai dengan Alibaba Cloud SDK V1.0 untuk Go
TypeScript	Unduh: kms20160120 Dokumentasi: Tidak ada	Tidak ada
Swift	Unduh: kms-20160120 Dokumentasi: Tidak ada	Tidak ada