全部产品
Search

搜索本产品

    Key Management Service:Memulai dengan rahasia

    文档中心

    Key Management Service:Memulai dengan rahasia

    更新时间:Jul 06, 2025

    Key Management Service (KMS) memungkinkan Anda membuat dan mengelola rahasia untuk menyimpan data sensitif. Rahasia ini dapat diintegrasikan ke dalam aplikasi Anda, membantu pengelolaan data sensitif secara terpusat. Topik ini menjelaskan cara membuat dan mengambil rahasia.

    Informasi latar belakang

    KMS mendukung pengelolaan siklus hidup rahasia, termasuk pembuatan, penghapusan, dan modifikasi. Dalam kode aplikasi, Anda dapat menggunakan SDK untuk mengambil rahasia, mencegah kebocoran data sensitif akibat rahasia yang di-hardcode.

    KMS mendukung berbagai jenis rahasia, seperti rahasia generik, rahasia Resource Access Management (RAM), rahasia basis data, dan rahasia Elastic Compute Service (ECS). Untuk informasi lebih lanjut tentang rahasia, lihat Ikhtisar.

    Catatan penggunaan

    KMS menggunakan kunci simetris untuk mengenkripsi rahasia. Kunci dan rahasia harus berasal dari instance KMS yang sama. Untuk informasi lebih lanjut tentang kunci simetris yang didukung oleh KMS, lihat Memahami Kunci KMS.

    Prasyarat

    • Sebuah instance KMS telah dibuat dan diaktifkan. Untuk informasi lebih lanjut, lihat Purchase and enable a KMS instance.

    • Sebuah kunci simetris untuk mengenkripsi rahasia telah dibuat di dalam instance KMS. Untuk informasi lebih lanjut, lihat Create a key.

    Langkah 1: Buat rahasia

    Saat membuat rahasia, Anda dapat mengonfigurasi rotasi rahasia. KMS secara berkala memperbarui rahasia untuk memastikan keamanannya.

    1. Masuk ke KMS console. Di bilah navigasi atas, pilih wilayah. Di panel navigasi sebelah kiri, pilih Resource > Secrets.

    2. Di halaman Secrets, klik tab sesuai jenis rahasia yang ingin dibuat. Pilih ID instans dari daftar drop-down Instance ID, lalu klik Create a secret. Di panel yang muncul, konfigurasikan parameter dan klik OK.

      Rahasia generik

      Catatan

      Rotasi rahasia tidak dapat dikonfigurasi saat membuat rahasia generik. Untuk informasi lebih lanjut tentang cara merotasi rahasia generik, lihat Kelola dan gunakan rahasia generik.

      Parameter

      Deskripsi

      Secret Name

      Nama rahasia. Nama rahasia unik di wilayah saat ini.

      Secret Value

      Jenis data sensitif yang ingin Anda kelola. Nilai valid: Kunci Rahasia/Nilai dan Teks Biasa.

      Nilai tidak boleh melebihi panjang 30.720 byte, yang setara dengan ukuran 30 KB.

      Initial Version

      Versi awal rahasia. Nilai default: v1. Anda juga dapat menentukan nomor versi kustom.

      CMK

      Kunci yang digunakan untuk mengenkripsi nilai saat ini rahasia.

      Penting

      • Kunci dan rahasia Anda harus berasal dari instance KMS yang sama. Kunci tersebut harus berupa kunci simetris. Untuk informasi lebih lanjut tentang kunci simetris yang didukung oleh KMS, lihat Spesifikasi kunci untuk enkripsi simetris dan asimetris.

      • Jika Anda adalah pengguna RAM atau peran RAM, Anda harus memiliki izin untuk memanggil operasi GenerateDataKey menggunakan kunci.

      Tag

      Tag yang ingin Anda tambahkan ke rahasia. Anda dapat menggunakan tag untuk mengklasifikasikan dan mengelola rahasia. Tag terdiri dari pasangan kunci-nilai.

      Catatan

      • Kunci tag atau nilai tag dapat hingga 128 karakter panjangnya dan dapat berisi huruf, angka, garis miring (/), backslash (\), garis bawah (_), tanda hubung (-), titik (.), tanda plus (+), tanda sama dengan (=), titik dua (:), at (@), dan spasi.

      • Kunci tag tidak boleh dimulai dengan aliyun atau acs:.

      • Anda dapat mengonfigurasi hingga 20 pasangan kunci-nilai untuk setiap rahasia.

      Description

      Deskripsi rahasia.

      Policy Settings

      Pengaturan kebijakan rahasia. Untuk informasi lebih lanjut, lihat Overview.

      Anda dapat menggunakan kebijakan default dan kemudian memodifikasi kebijakan berdasarkan kebutuhan bisnis Anda setelah membuat rahasia.

      Rahasia RAM

      Parameter

      Deskripsi

      Select RAM User

      Pengguna RAM untuk mana Anda ingin membuat rahasia. Pengguna RAM yang dipilih harus memiliki setidaknya satu pasangan AccessKey. Untuk informasi lebih lanjut, lihat Create an AccessKey pair.

      Nama rahasia dibuat secara otomatis berdasarkan nama pengguna RAM. Nama rahasia unik di wilayah saat ini.

      Secret Value

      Rahasia AccessKey pengguna RAM.

      Nilai tidak boleh melebihi panjang 30.720 byte, yang setara dengan ukuran 30 KB.

      CMK

      Kunci yang digunakan untuk mengenkripsi nilai saat ini rahasia.

      Penting

      • Kunci dan rahasia Anda harus berasal dari instance KMS yang sama. Kunci tersebut harus berupa kunci simetris. Untuk informasi lebih lanjut tentang kunci simetris yang didukung oleh KMS, lihat Spesifikasi kunci untuk enkripsi simetris dan asimetris.

      • Jika Anda adalah pengguna RAM atau peran RAM, Anda harus memiliki izin untuk memanggil operasi GenerateDataKey menggunakan kunci.

      Tag

      Tag yang ingin Anda tambahkan ke rahasia. Anda dapat menggunakan tag untuk mengklasifikasikan dan mengelola rahasia. Tag terdiri dari pasangan kunci-nilai.

      Catatan

      • Kunci tag atau nilai tag dapat hingga 128 karakter panjangnya dan dapat berisi huruf, angka, garis miring (/), backslash (\), garis bawah (_), tanda hubung (-), titik (.), tanda plus (+), tanda sama dengan (=), titik dua (:), at (@), dan spasi.

      • Kunci tag tidak boleh dimulai dengan aliyun atau acs:.

      • Anda dapat mengonfigurasi hingga 20 pasangan kunci-nilai untuk setiap rahasia.

      Automatic Rotation

      Menentukan apakah akan mengaktifkan rotasi rahasia otomatis.

      Days (7 Days to 365 Days)

      Interval rotasi rahasia otomatis. Pengaturan ini hanya diperlukan saat Anda mengaktifkan rotasi otomatis.

      KMS secara berkala memperbarui rahasia berdasarkan nilai parameter ini.

      Description

      Deskripsi rahasia.

      Policy Settings

      Pengaturan kebijakan dari rahasia. Untuk informasi lebih lanjut, lihat Overview.

      Anda dapat menggunakan kebijakan default dan kemudian memodifikasi kebijakan berdasarkan kebutuhan bisnis Anda setelah membuat rahasia.

      Rahasia basis data (ApsaraDB RDS)

      Anda hanya dapat memilih Create Single Secret.

      Parameter

      Deskripsi

      Database Type

      Jenis rahasia database yang ingin Anda buat. Pilih ApsaraDB RDS Secrets.

      Secret Name

      Nama rahasia. Nama rahasia unik di wilayah saat ini.

      ApsaraDB RDS Instance

      Instance ApsaraDB RDS yang ada yang ingin Anda kelola dalam akun Alibaba Cloud Anda.

      Account Management

      • Manage Dual Accounts (direkomendasikan): Mode ini cocok untuk skenario di mana rahasia digunakan oleh aplikasi untuk mengakses instance ApsaraDB RDS. Dalam mode ini, KMS mengelola dua akun yang memiliki izin identik. Mode ini memastikan bahwa koneksi antara aplikasi dan instance ApsaraDB RDS tidak terputus saat rahasia diputar.

        • Klik tab Create Account, tentukan awalan nama pengguna, pilih database, dan kemudian tentukan izin.

          Catatan

          KMS tidak segera membuat akun. KMS membuat akun setelah Anda memeriksa ulang dan mengonfirmasi informasi rahasia.

        • Klik tab Import Existing Accounts, pilih nama pengguna, dan kemudian tentukan kata sandi untuk nama pengguna tersebut.

          Catatan

          Kami merekomendasikan agar Anda menentukan kata sandi yang sama seperti yang Anda tentukan untuk akun saat membuat instance ApsaraDB RDS. Jika nama pengguna dan kata sandi yang ditentukan tidak cocok, Anda dapat mengambil nama pengguna dan kata sandi yang valid pada saat pertama kali rahasia dirotasi.

      • Manage Single Account: Mode ini cocok untuk skenario di mana akun istimewa atau akun O&M manual dikelola. Dalam mode ini, versi saat ini dari rahasia mungkin sementara tidak tersedia saat rahasia diputar.

        • Klik tab Create Account, tentukan awalan nama pengguna, dan kemudian pilih tipe akun.

          Anda dapat memilih Standard Account atau Privileged Account untuk parameter Tipe Akun. Jika Anda memilih Standard Account, Anda harus memilih database dan menentukan izin untuk akun tersebut.

        • Klik tab Import Existing Accounts, pilih nama pengguna, dan kemudian tentukan kata sandi untuk nama pengguna tersebut.

      CMK

      Kunci yang digunakan untuk mengenkripsi nilai saat ini rahasia.

      Penting

      • Kunci dan rahasia Anda harus berasal dari instance KMS yang sama. Kunci tersebut harus berupa kunci simetris. Untuk informasi lebih lanjut tentang kunci simetris yang didukung oleh KMS, lihat Spesifikasi kunci untuk enkripsi simetris dan asimetris.

      • Jika Anda adalah pengguna RAM atau peran RAM, Anda harus memiliki izin untuk memanggil operasi GenerateDataKey menggunakan kunci.

      Tag

      Tag yang ingin Anda tambahkan ke rahasia. Anda dapat menggunakan tag untuk mengklasifikasikan dan mengelola rahasia. Tag terdiri dari pasangan kunci-nilai.

      Catatan

      • Kunci tag atau nilai tag dapat hingga 128 karakter panjangnya dan dapat berisi huruf, angka, garis miring (/), backslash (\), garis bawah (_), tanda hubung (-), titik (.), tanda plus (+), tanda sama dengan (=), titik dua (:), at (@), dan spasi.

      • Kunci tag tidak boleh dimulai dengan aliyun atau acs:.

      • Anda dapat mengonfigurasi hingga 20 pasangan kunci-nilai untuk setiap rahasia.

      Automatic Rotation

      Menentukan apakah akan mengaktifkan rotasi rahasia otomatis.

      Rotation Period

      Interval rotasi rahasia otomatis. Pengaturan ini hanya diperlukan saat Anda mengaktifkan rotasi otomatis. Nilainya berkisar dari 6 jam hingga 365 hari.

      KMS secara berkala memperbarui rahasia berdasarkan nilai parameter ini.

      Description

      Deskripsi rahasia.

      Policy Settings

      Pengaturan kebijakan rahasia. Untuk informasi lebih lanjut, lihat Overview.

      Anda dapat menggunakan kebijakan default dan kemudian memodifikasi kebijakan berdasarkan kebutuhan bisnis Anda setelah membuat rahasia.

      Rahasia basis data (PolarDB)

      Anda hanya dapat memilih Create Single Secret. Saat membuat rahasia PolarDB, perhatikan bahwa hanya akun baru dalam mode ganda yang didukung. Akun baru hanya mendukung PolarDB for MySQL dan PolarDB for PostgreSQL.

      Parameter

      Deskripsi

      Database Type

      Jenis rahasia database yang ingin Anda buat. Pilih PolarDB Secret.

      Secret Name

      Nama rahasia. Nama rahasia unik di wilayah saat ini.

      PolarDB Cluster

      Kluster PolarDB yang ada yang ingin Anda kelola dalam akun Alibaba Cloud Anda.

      Account Management

      Hanya Manage Dual Accounts yang didukung.

      Mode ini cocok untuk skenario di mana rahasia digunakan oleh aplikasi untuk mengakses kluster PolarDB. Dalam mode ini, KMS mengelola dua akun yang memiliki izin identik. Mode ini memastikan bahwa koneksi antara aplikasi dan kluster PolarDB tidak terputus saat rahasia dirotasi.

      Secret Value

      Hanya Create Account yang didukung.

      Jenis akun baru adalah standar. Setelah Anda memilih kluster PolarDB, tentukan awalan nama pengguna, izin, dan basis data untuk akun baru.

      Catatan

      • KMS tidak segera membuat akun. KMS membuat akun setelah Anda memeriksa ulang dan mengonfirmasi informasi rahasia.

      • Nama akun harus unik. Jika tidak, akun tidak dapat dikelola dalam rahasia.

      CMK

      Kunci yang digunakan untuk mengenkripsi nilai saat ini rahasia.

      Penting

      • Kunci dan rahasia Anda harus berasal dari instance KMS yang sama. Kunci tersebut harus berupa kunci simetris. Untuk informasi lebih lanjut tentang kunci simetris yang didukung oleh KMS, lihat Spesifikasi kunci untuk enkripsi simetris dan asimetris.

      • Jika Anda adalah pengguna RAM atau peran RAM, Anda harus memiliki izin untuk memanggil operasi GenerateDataKey menggunakan kunci.

      Tag

      Tag yang ingin Anda tambahkan ke rahasia. Anda dapat menggunakan tag untuk mengklasifikasikan dan mengelola rahasia. Tag terdiri dari pasangan kunci-nilai.

      Catatan

      • Kunci tag atau nilai tag dapat hingga 128 karakter panjangnya dan dapat berisi huruf, angka, garis miring (/), backslash (\), garis bawah (_), tanda hubung (-), titik (.), tanda plus (+), tanda sama dengan (=), titik dua (:), at (@), dan spasi.

      • Kunci tag tidak boleh dimulai dengan aliyun atau acs:.

      • Anda dapat mengonfigurasi hingga 20 pasangan kunci-nilai untuk setiap rahasia.

      Automatic Rotation

      Menentukan apakah akan mengaktifkan rotasi rahasia otomatis.

      Rotation Period

      Interval rotasi rahasia otomatis. Pengaturan ini hanya diperlukan saat Anda mengaktifkan rotasi otomatis. Nilainya berkisar dari 6 jam hingga 365 hari.

      KMS secara berkala memperbarui rahasia berdasarkan nilai parameter ini.

      Description

      Deskripsi rahasia.

      Policy Settings

      Pengaturan kebijakan rahasia. Untuk informasi lebih lanjut, lihat Overview.

      Anda dapat menggunakan kebijakan default dan kemudian memodifikasi kebijakan berdasarkan kebutuhan bisnis Anda setelah membuat rahasia.

      Rahasia basis data (ApsaraDB untuk Redis)

      Create Single Secret dan Create Bulk Secrets didukung. Dalam contoh berikut, Create Single Secret dipilih.

      Parameter

      Deskripsi

      Database Type

      Jenis rahasia database yang ingin Anda buat. Pilih ApsaraDB for Redis Secrets.

      Secret Name

      Nama rahasia. Nama rahasia unik di wilayah saat ini.

      ApsaraDB for Redis/Tair Instance

      Instance ApsaraDB untuk Redis yang ada yang ingin Anda kelola dalam akun Alibaba Cloud Anda.

      Account Management

      Hanya Manage Dual Accounts yang didukung.

      Secret Value

      Saat Anda menggunakan KMS untuk mengelola akun instance ApsaraDB untuk Redis, Anda hanya dapat mengelola akun baru. Akun yang sudah ada tidak dapat dikelola.

      • Account Name: Masukkan awalan nama pengguna. Kemudian, KMS memanggil operasi ApsaraDB for Redis untuk membuat dua akun dengan izin yang sama. Sebagai contoh, jika Anda memasukkan user sebagai awalan nama pengguna, akun user dan user _clone akan dibuat.

      • Permissions: Nilai yang valid adalah Read/Write dan Read-Only. Kedua akun ApsaraDB for Redis memiliki izin yang sama.

      CMK

      Kunci yang digunakan untuk mengenkripsi nilai saat ini rahasia.

      Penting

      • Kunci dan rahasia Anda harus berasal dari instance KMS yang sama. Kunci tersebut harus berupa kunci simetris. Untuk informasi lebih lanjut tentang kunci simetris yang didukung oleh KMS, lihat Spesifikasi kunci untuk enkripsi simetris dan asimetris.

      • Jika Anda adalah pengguna RAM atau peran RAM, Anda harus memiliki izin untuk memanggil operasi GenerateDataKey menggunakan kunci.

      Tag

      Tag yang ingin Anda tambahkan ke rahasia. Anda dapat menggunakan tag untuk mengklasifikasikan dan mengelola rahasia. Tag terdiri dari pasangan kunci-nilai.

      Catatan

      • Kunci tag atau nilai tag dapat hingga 128 karakter panjangnya dan dapat berisi huruf, angka, garis miring (/), backslash (\), garis bawah (_), tanda hubung (-), titik (.), tanda plus (+), tanda sama dengan (=), titik dua (:), at (@), dan spasi.

      • Kunci tag tidak boleh dimulai dengan aliyun atau acs:.

      • Anda dapat mengonfigurasi hingga 20 pasangan kunci-nilai untuk setiap rahasia.

      Automatic Rotation

      Menentukan apakah akan mengaktifkan rotasi rahasia otomatis.

      Rotation Period

      Interval rotasi rahasia otomatis. Pengaturan ini hanya diperlukan jika Anda mengaktifkan Automatic Rotation. Nilai berkisar antara 6 jam hingga 365 hari.

      KMS secara berkala memperbarui rahasia berdasarkan nilai parameter ini.

      Description

      Deskripsi rahasia.

      Policy Settings

      Pengaturan kebijakan rahasia. Untuk informasi lebih lanjut, lihat Overview.

      Anda dapat menggunakan kebijakan default dan kemudian memodifikasi kebijakan berdasarkan kebutuhan bisnis Anda setelah membuat rahasia.

      Rahasia ECS

      Parameter

      Deskripsi

      Secret Name

      Nama rahasia. Nama rahasia unik di wilayah saat ini.

      Managed Instance

      Instance ECS yang ada yang ingin Anda kelola dalam akun Alibaba Cloud Anda.

      Managed User

      Nama pengguna yang ada pada instance ECS, seperti pengguna root untuk sistem operasi Linux atau pengguna Administrator untuk sistem operasi Windows.

      Initial Secret Value

      Nilai tidak boleh melebihi panjang 30.720 byte, yang setara dengan ukuran 30 KB.

      • Kata Sandi: kata sandi pengguna yang digunakan untuk masuk ke instance ECS.

      • Key Pair: pasangan kunci SSH pengguna yang digunakan untuk masuk ke instance ECS.

        Dapatkan pasangan kunci SSH

        • Pasangan kunci SSH yang dibuat di ECS

          • Kunci privat: Setelah Anda membuat pasangan kunci SSH, browser secara otomatis mengunduh file kunci privat ke komputer Anda. Nama file tersebut berformat Nama pasangan kunci.pem. Untuk informasi lebih lanjut, lihat Buat pasangan kunci SSH.

          • Kunci Publik: Untuk informasi lebih lanjut tentang cara melihat informasi mengenai kunci publik, lihat Tampilan informasi kunci publik.

        • Pasangan kunci SSH yang dihasilkan secara otomatis

          Simpan kunci privat dan kunci publik dari sepasang kunci setelah pasangan kunci tersebut dibuat. Sebagai contoh, jalankan perintah ssh-keygen untuk menghasilkan dan menyimpan sepasang kunci Rivest-Shamir-Adleman (RSA) dengan panjang 3072-bit.

          ssh-keygen -t RSA -b 3072 -m PEM -f ~/.ssh/sshKey_demo -N ""

          File berikut dihasilkan:

          • ~/.ssh/sshKey_demo: berisi kunci privat.

          • ~/.ssh/sshKey_demo.pub: berisi kunci publik.

      Catatan

      Masukkan nilai rahasia yang valid. Jika Anda memasukkan nilai rahasia yang tidak valid, kata sandi atau pasangan kunci yang Anda ambil dari KMS tidak dapat digunakan untuk masuk ke instance ECS sebelum pertama kali rahasia ECS dirotasi.

      CMK

      Kunci yang digunakan untuk mengenkripsi nilai saat ini rahasia.

      Penting

      • Kunci dan rahasia Anda harus berasal dari instance KMS yang sama. Kunci tersebut harus berupa kunci simetris. Untuk informasi lebih lanjut tentang kunci simetris yang didukung oleh KMS, lihat Spesifikasi kunci untuk enkripsi simetris dan asimetris.

      • Jika Anda adalah pengguna RAM atau peran RAM, Anda harus memiliki izin untuk memanggil operasi GenerateDataKey menggunakan kunci.

      Tag

      Tag yang ingin Anda tambahkan ke rahasia. Anda dapat menggunakan tag untuk mengklasifikasikan dan mengelola rahasia. Tag terdiri dari pasangan kunci-nilai.

      Catatan

      • Kunci tag atau nilai tag dapat hingga 128 karakter panjangnya dan dapat berisi huruf, angka, garis miring (/), backslash (\), garis bawah (_), tanda hubung (-), titik (.), tanda plus (+), tanda sama dengan (=), titik dua (:), at (@), dan spasi.

      • Kunci tag tidak boleh dimulai dengan aliyun atau acs:.

      • Anda dapat mengonfigurasi hingga 20 pasangan kunci-nilai untuk setiap rahasia.

      Automatic Rotation

      Menentukan apakah akan mengaktifkan rotasi rahasia otomatis.

      Rotation Period

      Interval rotasi rahasia otomatis. Pengaturan ini hanya diperlukan saat Anda mengaktifkan rotasi otomatis. Nilainya berkisar dari 1 jam hingga 365 hari.

      KMS secara berkala memperbarui rahasia berdasarkan nilai parameter ini.

      Description

      Deskripsi rahasia.

      Policy Settings

      Pengaturan kebijakan dari rahasia. Untuk informasi lebih lanjut, lihat Overview.

      Anda dapat menggunakan kebijakan default dan kemudian memodifikasi kebijakan berdasarkan kebutuhan bisnis Anda setelah membuat rahasia.

    Langkah 2: Ambil rahasia

    Dalam contoh berikut, SDK Alibaba Cloud untuk Java digunakan.

    Persiapan

    1. Siapkan lingkungan.

      Persyaratan Lingkungan

      Unduh dan instal Java Development Kit (JDK) 8 atau yang lebih baru.

      Pemeriksaan Versi

      Jalankan perintah java -version di terminal untuk memeriksa versi JDK.

    2. Instal SDK untuk Java.

      Tambahkan dependensi Maven berikut ke proyek Anda. Kemudian, paket Java dari Alibaba Cloud SDK akan diunduh secara otomatis dari repositori Maven. Pastikan bahwa Alibaba Cloud SDK V2.0 digunakan.

      <dependency>
  <groupId>com.aliyun</groupId>
  <artifactId>kms20160120</artifactId>
  <version>1.2.3</version>
</dependency>

    3. Buat kredensial untuk memanggil operasi API.

      Alibaba Cloud SDK mendukung berbagai metode otentikasi berbasis RAM. Dalam contoh ini, pasangan AccessKey dari pengguna RAM digunakan. Untuk informasi lebih lanjut tentang metode otentikasi, lihat Manage access credentials.

      1. Buat sepasang AccessKey untuk pengguna RAM di RAM console. Untuk informasi lebih lanjut, lihat Buat sepasang AccessKey.

        Jika pasangan AccessKey sudah dibuat untuk pengguna RAM, lewati langkah ini.image

      2. Berikan izin yang diperlukan kepada pengguna RAM.

        Sebagai contoh, jika pengguna RAM memerlukan izin untuk mengambil rahasia, Anda dapat melampirkan kebijakan sistem AliyunKMSSecretUserAccess dan AliyunKMSCryptoUserAccess kepada pengguna RAM tersebut. Untuk informasi lebih lanjut, lihat Berikan izin kepada pengguna RAM. image

        Catatan

        KMS menyediakan metode konfigurasi izin berikut:

        • Kebijakan berbasis identitas: Kebijakan dalam contoh sebelumnya adalah kebijakan berbasis identitas. Kebijakan berbasis identitas mengaitkan identitas dengan izin yang sesuai untuk menerapkan kontrol akses. Untuk informasi lebih lanjut, lihat Gunakan RAM untuk menerapkan kontrol akses.

        • Kebijakan berbasis sumber daya: Kebijakan berbasis sumber daya mencakup kebijakan kunci dan rahasia. Kebijakan semacam itu secara langsung terkait dengan sumber daya dan digunakan untuk menentukan aturan akses untuk sumber daya tertentu. Untuk informasi lebih lanjut, lihat Key policies dan Secret policies.

    4. Ambil sertifikat otoritas sertifikat (CA) instance KMS.

      1. Di halaman Instances, pilih tab Software Key Management atau Hardware Key Management, lalu pilih instance target.

      2. Klik ID instance atau Details di kolom Actions. Di halaman detail, klik Download di sebelah Instance CA Certificate.

        Simpan sertifikat dengan aman. File yang diunduh akan diberi nama PrivateKmsCA_kst-******.pem secara default.

    5. Ambil titik akhir Virtual Private Cloud (VPC) instance.

      Catat titik akhir VPC instance di halaman detail instance.

      image

    Pengambilan rahasia

    1. Inisialisasi Alibaba Cloud SDK.

      Penting

      Pastikan bahwa Alibaba Cloud SDK V2.0 digunakan. Anda harus mengatur parameter config.endpoint ke titik akhir VPC instance dan mengonfigurasi sertifikat CA instance.

          public static com.aliyun.kms20160120.Client createClient() throws Exception {
        // Jika kode proyek bocor, pasangan AccessKey mungkin bocor dan keamanan semua sumber daya dalam akun Anda dapat terganggu. Contoh kode berikut hanya untuk referensi.
        // Kami menyarankan Anda menggunakan token Layanan Keamanan (STS) untuk meningkatkan keamanan. Untuk informasi lebih lanjut tentang metode autentikasi, kunjungi https://www.alibabacloud.com/help/en/sdk/developer-reference/v2-manage-access-credentials?spm=a2c63.p38356.help-menu-262060.d_1_4_1_2.1ad47c23arIlrq.
        com.aliyun.teaopenapi.models.Config config = new com.aliyun.teaopenapi.models.Config()
                // Diperlukan. Pastikan variabel lingkungan ALIBABA_CLOUD_ACCESS_KEY_ID telah dikonfigurasi.
                .setAccessKeyId(System.getenv("ALIBABA_CLOUD_ACCESS_KEY_ID"))
                // Diperlukan. Pastikan variabel lingkungan ALIBABA_CLOUD_ACCESS_KEY_SECRET telah dikonfigurasi.
                .setAccessKeySecret(System.getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET"));
        // Masukkan titik akhir VPC dari instance. Contoh: kst-hzz65f176a0ogplgq****.cryptoservice.kms.aliyuncs.com.
        config.endpoint = "<VPC endpoint of the instance>";
        // Masukkan konten sertifikat CA dari instance.
        config.ca = "<CA certificate of the instance>";
        return new com.aliyun.kms20160120.Client(config);
    }

    2. Panggil operasi GetSecretValue untuk mengambil rahasia.

      // File ini dibuat secara otomatis, jangan diedit. Terima kasih.
package com.aliyun.sample;

import com.aliyun.tea.*;

public class Sample {

  public static com.aliyun.kms20160120.Client createClient() throws Exception {
        // Jika kode proyek bocor, pasangan AccessKey mungkin bocor dan keamanan semua sumber daya dalam akun Anda dapat terganggu. Contoh kode berikut hanya untuk referensi.
        // Kami menyarankan Anda menggunakan token Layanan Keamanan (STS) untuk meningkatkan keamanan. Untuk informasi lebih lanjut tentang metode autentikasi, kunjungi https://www.alibabacloud.com/help/en/sdk/developer-reference/v2-manage-access-credentials?spm=a2c63.p38356.help-menu-262060.d_1_4_1_2.1ad47c23arIlrq.
        com.aliyun.teaopenapi.models.Config config = new com.aliyun.teaopenapi.models.Config()
                // Wajib. Pastikan variabel lingkungan ALIBABA_CLOUD_ACCESS_KEY_ID dikonfigurasi.
                .setAccessKeyId(System.getenv("ALIBABA_CLOUD_ACCESS_KEY_ID"))
                // Wajib. Pastikan variabel lingkungan ALIBABA_CLOUD_ACCESS_KEY_SECRET dikonfigurasi.
                .setAccessKeySecret(System.getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET"));
        // Masukkan titik akhir VPC dari instance. Contoh: kst-hzz65f176a0ogplgq****.cryptoservice.kms.aliyuncs.com.
        config.endpoint = "<Titik akhir VPC dari instance>";
        // Masukkan konten sertifikat CA dari instance.
        config.ca = "<Sertifikat CA dari instance>";
        return new com.aliyun.kms20160120.Client(config);
    }

    public static void main(String[] args_) throws Exception {
        java.util.List<String> args = java.util.Arrays.asList(args_);
        com.aliyun.kms20160120.Client client = Sample.createClient();
        com.aliyun.kms20160120.models.GetSecretValueRequest getSecretValueRequest = new com.aliyun.kms20160120.models.GetSecretValueRequest()
                .setSecretName("<SecretName>");
        com.aliyun.teautil.models.RuntimeOptions runtime = new com.aliyun.teautil.models.RuntimeOptions();
        try {
            // Jalankan kode contoh untuk mengambil nilai pengembalian dari operasi API.
            client.getSecretValueWithOptions(getSecretValueRequest, runtime);
        } catch (TeaException error) {
            // Tangani pengecualian dengan hati-hati dalam skenario bisnis nyata dan jangan abaikan pengecualian dalam proyek Anda. Dalam contoh ini, pengecualian disediakan hanya untuk referensi.
            // Pesan kesalahan.
            System.out.println(error.getMessage());
            // URL untuk pemecahan masalah.
            System.out.println(error.getData().get("Recommend"));
            com.aliyun.teautil.Common.assertAsString(error.message);
        } catch (Exception _error) {
            TeaException error = new TeaException(_error.getMessage(), _error);
            // Tangani pengecualian dengan hati-hati dalam skenario bisnis nyata dan jangan abaikan pengecualian dalam proyek Anda. Dalam contoh ini, pengecualian disediakan hanya untuk referensi.
            // Pesan kesalahan.
            System.out.println(error.getMessage());
            // URL untuk pemecahan masalah.
            System.out.println(error.getData().get("Recommend"));
            com.aliyun.teautil.Common.assertAsString(error.message);
        }        
    }
}