Buat Kredensial Akses untuk SDK Instansi KMS - Key Management Service

Saat mengintegrasikan SDK instansi Key Management Service (KMS), KMS menggunakan titik akses aplikasi (AAP) untuk otentikasi identitas dan kontrol akses. Sebuah AAP mencakup kebijakan izin dan kredensial. Kredensial (kunci klien) digunakan untuk mengotentikasi identitas dan perilaku pengguna yang mengakses sumber daya KMS. Topik ini menjelaskan cara membuat kunci klien.

Catatan

Disarankan untuk membuat AAP terpisah untuk setiap aplikasi guna mempertahankan izin akses yang berbeda.
Kunci klien berlaku selama lima tahun secara default, namun disarankan untuk mengubahnya menjadi waktu yang lebih singkat, seperti satu tahun. Pastikan untuk mengganti kunci klien sebelum kedaluwarsa agar akses KMS tetap berkelanjutan. Untuk instruksi, lihat Ganti ClientKey.

Buat kunci klien

Anda dapat membuat kunci klien menggunakan metode cepat atau standar. Pembuatan cepat efisien, ideal untuk pengujian dan pengembangan cepat, serta memberikan akses penuh ke sumber daya instansi KMS. Untuk kontrol yang lebih rinci atas akses sumber daya, kami merekomendasikan menggunakan metode pembuatan standar.

Pembuatan Cepat

Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi di sebelah kiri, pilih Application Access > AAPs

Di tab Application Access, klik Create AAP. Pada panel Create AAP, konfigurasikan parameter-parameter yang diperlukan.

Parameter	Deskripsi
Mode	Pilih Quick Creation.
Scope (KMS Instance)	Pilih instansi KMS yang ingin Anda akses.
Application Access Point Name	Masukkan nama AAP.
Authentication Method	Nilai default adalah ClientKey, yang tidak dapat diubah.
Default Permission Policy	Nilai default adalah `key/secret/`, yang tidak dapat diubah. Aplikasi Anda dapat mengakses semua kunci dan rahasia dalam instansi KMS yang ditentukan.

Klik OK. Browser akan mengunduh kunci klien secara otomatis.
Kunci klien mencakup Application Access Secret(ClientKeyContent) dan Password. Secara default, Application Access Secret(ClientKeyContent) disimpan dalam file JSON dengan nama format clientKey_****.json. Sementara itu, Password disimpan dalam file teks dengan nama format clientKey_****_Password.txt.

Pembuatan Standar

Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi di sebelah kiri, pilih Application Access > AAPs

Jika Anda ingin mengontrol akses berdasarkan alamat IP sumber, buat aturan akses jaringan.

Catatan

Untuk meningkatkan keamanan, disarankan untuk menetapkan aturan akses jaringan.

Klik tab Network Access Rules, lalu klik Create Network Access Rule.

Konfigurasikan parameter pada panel Create Network Access Rule dan klik OK.

Parameter	Deskripsi
Rule Name	Nama aturan akses jaringan.
Network Type	Pilih Privat.
Allowed Source IP Addresses	Alamat IP dari mana akses ke instansi KMS Anda diizinkan. Tentukan nilai berdasarkan tipe jaringan server aplikasi Anda. Jika Anda menggunakan server proxy, masukkan alamat IP-nya.
Description	Masukkan deskripsi untuk aturan akses jaringan.

Buat kebijakan izin.

Klik tab Policies, lalu pilih Create Policy.

Konfigurasikan parameter pada panel Create Permission Policy dan klik OK.

Parameter	Deskripsi
Policy Name	Tentukan nama kebijakan izin kustom.
Scope	Pilih instansi KMS Anda.
RBAC Permissions	CryptoServiceKeyUser: mengizinkan penggunaan kunci dalam instansi KMS. CryptoServiceSecretUser: mengizinkan penggunaan rahasia dalam instansi KMS.
Accessible Resources	Kunci dan rahasia yang perlu diakses oleh aplikasi Anda. Penting Jika Anda memilih beberapa rahasia dan total panjang nama rahasia melebihi batas, kesalahan "Parameter Tidak Valid" akan dilaporkan. Dalam hal ini, gunakan karakter wildcard untuk mengonfigurasi rahasia yang diizinkan. Sebagai contoh, konfigurasikan sebagai `secret/rds-ibm*`, yang berarti bahwa rahasia dengan awalan `rds-ibm` diizinkan.
Network Access Rules	Pilih aturan akses jaringan yang telah Anda buat. Catatan Opsional. Untuk tujuan keamanan, kami merekomendasikan pengaturan aturan akses jaringan.
Description	Masukkan deskripsi untuk kebijakan izin.

Buat AAP.

Klik tab Application Access, lalu pilih Create AAP.

Konfigurasikan parameter pada panel Create AAP.

Parameter	Deskripsi
Mode	Pilih Standard Creation.
Application Access Point Name	Masukkan nama AAP.
Authentication Method	Pilih ClientKey.
Encryption Password	Masukkan kata sandi untuk kunci klien Anda. Panjangnya harus 8 hingga 64 karakter, dan mencakup setidaknya dua dari berikut ini: angka, huruf besar atau kecil bahasa Inggris, dan karakter khusus ~!@#$%^&*?_-.
Validity Period	Tentukan periode berlaku kunci klien Anda. Penting Kami merekomendasikan Anda menetapkan nilainya menjadi satu tahun untuk mengurangi risiko kebocoran kunci klien. Untuk memastikan akses ke KMS, Anda harus mengganti kunci klien Anda sebelum tanggal kedaluwarsa kunci klien. Untuk operasi spesifik, lihat Ganti ClientKey.
Policies	Pilih kebijakan izin yang telah Anda buat.
Description	Masukkan deskripsi untuk AAP.

Klik OK.
Browser akan mengunduh kunci klien secara otomatis.
Kunci klien mencakup Application Access Secret(ClientKeyContent) dan Password. Secara default, Application Access Secret(ClientKeyContent) disimpan dalam file JSON bernama clientKey_****.json, dan Password disimpan dalam file teks bernama clientKey_****_Password.txt.

Informasi yang Harus Disimpan

Saat mengintegrasikan SDK, pastikan Anda mengonfigurasi dan menyimpan informasi berikut dengan aman:

ClientKey

File ini berisi kredensial identitas aplikasi. File ini akan diunduh secara otomatis setelah pembuatan, dengan nama file default clientKey_****.json.

Kata Sandi ClientKey

File ini juga akan diunduh secara otomatis, dengan nama file default clientKey_****_Password.txt.

Sertifikat CA Instansi KMS

Alamat Nama Domain Instansi KMS

Navigasikan ke halaman Instances, klik tab Software Key Management atau Hardware Key Management, lalu klik instansi KMS yang diinginkan.
Di bagian Informasi Dasar, temukan endpoint di bidang Instance VPC Endpoint.