All Products
Search
Document Center

Key Management Service:Credentials SDK

Last Updated:Apr 23, 2026

Credentials SDK merupakan wrapper kustom yang dibangun di atas OpenAPI KMS dan API instans KMS. SDK ini mengenkapsulasi fungsionalitas caching dan penyegaran kredensial dalam aplikasi, sehingga meningkatkan stabilitas bisnis dan mempermudah integrasi bagi pengembang. Dokumen ini menjelaskan cara mengintegrasikan Credentials SDK ke dalam aplikasi bisnis Anda.

Ikhtisar integrasi

Credentials SDK hanya mendukung pengambilan nilai kredensial untuk operasi bisnis dan dapat diakses melalui gateway bersama maupun gateway khusus.

Perbedaan antara gateway bersama dan gateway khusus

Credentials SDK mendukung pengambilan kredensial dengan memanggil OpenAPI dan API instans melalui gateway bersama maupun gateway khusus. Gateway bersama merupakan jaringan global untuk layanan KMS dan dapat diakses melalui Internet atau jaringan VPC. Gateway khusus merupakan jaringan untuk instans KMS tertentu dan hanya mendukung akses melalui jaringan pribadi.

Perbedaan

Gateway Bersama

Gateway Khusus

Skenario yang Direkomendasikan

  • Tidak memiliki persyaratan performa ketat untuk pengambilan kredensial.

  • Bisnis dideploy di luar VPC Alibaba Cloud.

  • Lingkungan non-produksi, seperti lingkungan pengujian internal.

  • Bisnis dideploy di dalam VPC Alibaba Cloud.

  • Operasi yang sering dilakukan, seperti pengambilan kredensial.

  • Persyaratan keamanan tinggi terhadap data bisnis.

Jaringan

Internet atau jaringan VPC.

Jaringan pribadi KMS.

Performa

Misalnya, QPS untuk enkripsi dan dekripsi melalui gateway bersama adalah 1.000.

Berdasarkan spesifikasi kinerja komputasi instans yang dibeli, seperti 1.000 atau 2.000. Untuk informasi selengkapnya, lihat

Konfigurasi inisialisasi client

  • Titik akhir: titik akhir gateway bersama, seperti kms.cn-hangzhou.aliyuncs.com. Untuk informasi selengkapnya, lihat Ikhtisar SDK.

  • Sertifikat CA instans KMS: tidak diperlukan.

  • Titik akhir: titik akhir gateway khusus, dengan format <YOUR_KMS_INSTANCE_ID>.cryptoservice.kms.aliyuncs.com.

    Contoh: kst-hzz65f176a0ogplgq****.cryptoservice.kms.aliyuncs.com.

  • Sertifikat CA instans KMS: diperlukan.

Ketersediaan API

OpenAPI-GetSecretValue

OpenAPI-GetSecretValue, Instance API-GetSecretValue (tidak direkomendasikan)

Otentikasi dan Otorisasi

Credentials SDK mendukung dua metode autentikasi: autentikasi RAM dan autentikasi AAP (tidak direkomendasikan).

Metode Autentikasi

Jenis Kredensial yang Didukung

Autentikasi RAM

RamRoleArn, role RAM ECS, token STS, AccessKey, rantai kredensial default Alibaba Cloud, OIDC Role ARN, dan lainnya.

Catatan

Plugin kredensial RAM hanya mendukung role RAM ECS.

Autentikasi AAP (tidak direkomendasikan)

ClientKey (konfigurasi gateway bersama), ClientKey (konfigurasi gateway khusus)

Jenis SDK

Credentials SDK menyediakan tiga jenis SDK: credentials client, credentials JDBC client, dan plugin kredensial RAM. SDK-SDK ini mengambil nilai kredensial KMS dengan memanggil OpenAPI-GetSecretValue atau Instance API-GetSecretValue (tidak direkomendasikan) melalui gateway bersama maupun gateway khusus. Metode autentikasi dan jenis API yang didukung berbeda-beda tergantung pada jenis SDK-nya, sebagaimana dijelaskan dalam tabel berikut.

Jenis SDK

Deskripsi

Gateway dan Autentikasi

Client secrets manager

  • Mendukung semua jenis kredensial.

  • Credentials client juga mengenkapsulasi fungsionalitas caching dan refresh kredensial dalam aplikasi, sehingga memberikan stabilitas bisnis yang lebih tinggi.

Gateway bersama dan gateway khusus: RamRoleArn, role RAM ECS, token STS, AccessKey, rantai kredensial default Alibaba Cloud, OIDC Role ARN, ClientKey, dan lainnya.

Catatan

Kami menyarankan Anda menggunakan SDK credentials client V2. Untuk informasi selengkapnya mengenai perbedaan versi, lihat Client secrets manager.

Klien JDBC Secret

  • Bahasa pengembangan harus Java (Java 8 atau lebih baru).

  • Hanya mendukung kredensial RDS dan kredensial umum yang nilainya dalam format {"AccountName":"<your-database-username>","AccountPassword":"<your-database-password>"}.

  • Saat menghubungkan ke database melalui JDBC, kolam koneksi database (seperti c3p0 dan DBCP), atau framework database open-source, Anda dapat menggunakan credentials JDBC client untuk autentikasi koneksi database dan menyesuaikan frekuensi penyegaran kredensial.

Gateway bersama:

  • Autentikasi RAM: RamRoleArn, role RAM ECS, token STS, AccessKey.

  • Autentikasi AAP (tidak direkomendasikan): ClientKey (konfigurasi gateway bersama).

Gateway khusus (tidak direkomendasikan):

Autentikasi AAP: ClientKey (konfigurasi gateway khusus).

Plugin rahasia RAM

  • Hanya mendukung kredensial RAM.

  • Aplikasi bisnis Anda harus menggunakan versi SDK yang didukung oleh plugin ini. Untuk informasi selengkapnya, lihat SDK yang Didukung.

Gateway bersama:

  • Autentikasi RAM: role RAM ECS.

  • Autentikasi AAP (tidak direkomendasikan): ClientKey (konfigurasi gateway bersama).

Gateway khusus (tidak direkomendasikan):

Autentikasi AAP: ClientKey (konfigurasi gateway khusus).

API yang Didukung

API

Deskripsi

Gateway Bersama

Gateway Khusus

GetSecretValue (OpenAPI)

Mengambil nilai kredensial.

Didukung

Didukung

GetSecretValue (Instance API)

Mengambil nilai kredensial.

Tidak didukung

Didukung

Bahasa pemrograman yang didukung

Tabel berikut mencantumkan bahasa pemrograman yang didukung beserta referensi dokumentasi SDK untuk masing-masing bahasa.

Credentials SDK

Bahasa yang Didukung

Client secrets manager

Java (Java 8 atau lebih baru), Python, Go

Klien JDBC Rahasia

Java (Java 8 atau lebih baru)

Plugin secret RAM

Java (Java 8 atau lebih baru), Python, Go