全部产品
Search

搜索本产品

    Key Management Service:Referensi SDK

    文档中心

    Key Management Service:Referensi SDK

    更新时间:Jul 06, 2025

    Key Management Service (KMS) menyediakan Alibaba Cloud SDK, Secret SDK, dan KMS Instance SDK. KMS Instance SDK tidak direkomendasikan. Topik ini menjelaskan proses integrasi SDK, otentikasi, operasi API yang didukung, serta jenis gateway yang tersedia. Anda dapat memilih SDK sesuai kebutuhan bisnis Anda.

    Diagram alur integrasi SDK

    Integration of self-managed applications with KMS-流程图

    Alibaba Cloud SDK

    Alibaba Cloud SDK adalah paket dependensi program terenkapsulasi yang digunakan untuk memanggil operasi API layanan cloud. Dengan pendekatan ini, pengembang dapat dengan cepat membangun aplikasi di atas Alibaba Cloud. Alibaba Cloud SDK mendukung operasi API manajemen untuk mengelola rahasia dan kunci, serta operasi API bisnis. SDK ini mendukung Java, Python, C++, PHP, .NET (hanya C#), Go, TypeScript, dan Swift. Untuk informasi lebih lanjut, lihat Alibaba Cloud SDK.

    Operasi API yang Didukung

    Alibaba Cloud SDK memungkinkan Anda memanggil operasi manajemen dan bisnis dari KMS API. Untuk informasi lebih lanjut, lihat OpenAPI yang Didukung.

    • Operasi manajemen: mencakup operasi untuk mengelola kunci default dan instance KMS, seperti membuat kunci, membuat rahasia, membuat instance KMS, serta mengubah tag kunci.

    • Operasi bisnis:

      • Operasi kriptografi: enkripsi simetris dan dekripsi, enkripsi asimetris dan dekripsi, enkripsi amplop, serta operasi untuk menghasilkan kunci data, menghasilkan tanda tangan digital, dan memverifikasi tanda tangan digital.

      • Pengambilan nilai rahasia: operasi untuk mengambil nilai rahasia dari rahasia dalam instance KMS.

    Penting

    Saat menggunakan Alibaba Cloud SDK untuk mengambil nilai rahasia dalam lingkungan produksi, kami menyarankan Anda menerapkan logika bisnis seperti kebijakan ulang dan caching rahasia untuk mencegah kegagalan pengambilan nilai rahasia akibat jitter jaringan. Untuk informasi lebih lanjut, lihat Gunakan metode eksponensial backoff untuk mencoba ulang permintaan.

    Jenis gateway yang didukung

    Alibaba Cloud SDK memungkinkan Anda memanggil KMS API dan KMS Instance API melalui gateway bersama atau khusus. Anda hanya dapat memanggil operasi API manajemen melalui gateway bersama. Operasi API bisnis dapat dipanggil melalui gateway bersama atau khusus.

    Jenis gateway

    Skenario yang direkomendasikan

    Otentikasi

    Operasi API yang didukung

    Gateway bersama

    • Operasi API harus dipanggil untuk mengelola instance KMS, kunci, dan rahasia, seperti membuat kunci, membuat rahasia, dan membuat instance KMS.

    • Beban kerja ditempatkan di luar virtual private cloud (VPC) Alibaba Cloud.

    • Akses dilakukan ke KMS dari lingkungan non-produksi seperti lingkungan pengujian internal.

    Otentikasi RAM

    Semua operasi API KMS

    Gateway khusus

    • Beban kerja ditempatkan pada VPC Alibaba Cloud.

    • Operasi API bisnis, seperti enkripsi dan dekripsi dan pengambilan rahasia, sering dipanggil. Hal ini mengarah pada persyaratan tinggi untuk performa.

    • Persyaratan untuk keamanan data layanan tinggi.

    Otentikasi RAM

    Operasi pengambilan nilai rahasia dan operasi kriptografi dari KMS API

    Secret SDK

    Secret SDK adalah alat untuk enkapsulasi kustom KMS API dan KMS Instance API, serta mengenkapsulasi kemampuan untuk menyimpan cache dan menyegarkan rahasia dalam aplikasi. Secret SDK memiliki stabilitas layanan tinggi dan mudah diintegrasikan dengan aplikasi layanan bagi pengembang. Secret SDK hanya memungkinkan Anda mengambil rahasia. Jenis-jenis Secret SDK yang tersedia meliputi: secret client, secret Java Database Connectivity (JDBC) client, dan Resource Access Management (RAM) secret plug-in. Secret SDK mendukung Java 8 dan versi setelahnya, Python, serta Go. Untuk informasi lebih lanjut, lihat Secret SDK.

    Jenis-jenis Secret SDK

    Tipe SDK

    Deskripsi

    Secret client

    • Semua jenis rahasia didukung.

    • Anda dapat menggunakan satu baris kode untuk dengan cepat mengambil rahasia dalam aplikasi.

    • Secret client mengenkapsulasi kemampuan untuk menyimpan cache dan menyegarkan rahasia dalam aplikasi, memberikan stabilitas layanan yang lebih tinggi.

    Secret JDBC client

    • Hanya Java yang didukung. Anda harus menggunakan Java 8 atau versi setelahnya.

    • Hanya rahasia ApsaraDB RDS dan rahasia generik yang nilainya dalam format {"AccountName":"<Nama pengguna akun database Anda>","AccountPassword":"<Kata sandi akun database Anda>"} yang didukung.

    • Jika Anda terhubung ke database menggunakan koneksi JDBC, kolam koneksi, atau framework database open source, Anda dapat menggunakan secret JDBC client untuk menyelesaikan autentikasi identitas dan mengonfigurasi frekuensi penyegaran rahasia kustom. Kolam koneksi termasuk c3p0 dan Database Connection Pools (DBCP).

    RAM secret plugin

    • Hanya rahasia RAM yang didukung.

    • Alibaba Cloud SDK yang Anda gunakan harus didukung oleh RAM secret plug-in. Untuk informasi lebih lanjut, lihat Alibaba Cloud SDK yang Didukung.

    API yang Didukung

    Secret SDK hanya memungkinkan Anda mengambil nilai rahasia dengan memanggil KMS API atau KMS Instance API. KMS Instance API tidak direkomendasikan. Jika Anda ingin memanggil operasi API untuk mengelola rahasia, kami sarankan Anda menggunakan Alibaba Cloud SDK.

    Penting

    Saat menggunakan Secret SDK untuk mengambil nilai rahasia dalam lingkungan produksi, kami menyarankan Anda menerapkan logika bisnis seperti kebijakan ulang dan caching rahasia untuk mencegah kegagalan pengambilan nilai rahasia akibat jitter jaringan. Untuk informasi lebih lanjut, lihat Gunakan metode eksponensial backoff untuk mencoba ulang permintaan.

    Jenis gateway yang didukung

    Secret SDK mengambil nilai rahasia melalui gateway bersama atau khusus. Gateway bersama mendukung otentikasi RAM atau titik akses aplikasi (AAP) untuk pemanggilan API KMS. Gateway khusus hanya mendukung otentikasi AAP untuk pemanggilan API KMS Instance.

    Jenis gateway

    Skenario yang direkomendasikan

    Otentikasi

    Operasi API yang didukung

    Gateway bersama

    • Persyaratan performa tidak tinggi untuk operasi pengambilan rahasia.

    • Beban kerja ditempatkan di luar VPC Alibaba Cloud.

    • Akses dilakukan ke KMS dari lingkungan non-produksi seperti lingkungan pengujian internal.

    Otentikasi RAM

    Pengambilan nilai rahasia dari KMS API

    Otentikasi AAP (tidak direkomendasikan)

    Pengambilan nilai rahasia dari KMS Instance API

    Gateway khusus

    • Beban kerja ditempatkan pada VPC Alibaba Cloud.

    • Operasi pengambilan rahasia sering dipanggil.

    • Persyaratan untuk keamanan data layanan tinggi.

    Otentikasi AAP (tidak direkomendasikan)

    Pengambilan nilai rahasia dari KMS Instance API

    KMS Instance SDK (tidak direkomendasikan)

    Aplikasi menggunakan KMS Instance SDK untuk mengakses endpoint gateway khusus dan memanggil operasi kriptografi serta mengambil nilai rahasia. KMS Instance SDK mendukung Java 8 dan versi setelahnya, PHP, Go, Python, serta .NET (hanya C#). Untuk informasi lebih lanjut, lihat KMS Instance SDK.

    Endpoint gateway dan otentikasi

    Endpoint gateway

    KMS menyediakan dua jenis endpoint berikut:

    • Endpoint gateway bersama (juga dikenal sebagai endpoint layanan KMS): alamat jaringan global KMS. Anda dapat mengakses endpoint gateway bersama melalui Internet atau VPC. Endpoint gateway bersama bervariasi berdasarkan wilayah. Misalnya, endpoint gateway bersama untuk wilayah China (Hangzhou) adalah kms.cn-hangzhou.aliyuncs.com dan kms-vpc.cn-hangzhou.aliyuncs.com. Untuk informasi lebih lanjut, lihat Operasi.

    • Endpoint gateway khusus (juga dikenal sebagai endpoint instance KMS): alamat jaringan dari instance KMS tertentu. Anda hanya dapat mengakses endpoint gateway khusus melalui jaringan pribadi. Endpoint gateway khusus berada dalam format {ID dari instance KMS}.cryptoservice.kms.aliyuncs.com.

    Otentikasi

    KMS menyediakan otentikasi RAM dan AAP. Gateway bersama mendukung otentikasi RAM dan AAP. Gateway khusus hanya mendukung otentikasi AAP.

    • Otentikasi RAM: peran RAM, token Layanan Keamanan (STS), peran RAM dari instance Elastic Compute Service (ECS), serta pasangan AccessKey.

    • Otentikasi AAP (tidak direkomendasikan): Jika Anda ingin menggunakan metode otentikasi ini, Anda harus membuat AAP dan mengunduh serta menyimpan kunci klien, yang mencakup ClientKeyContent dan ClientKeyPassword. Untuk otentikasi AAP, dua mode otentikasi konfigurasi gateway khusus dan konfigurasi gateway bersama disediakan untuk gateway yang berbeda. Untuk informasi lebih lanjut, lihat Otentikasi AAP.