All Products
Search

This Product

    Key Management Service:Beli dan aktifkan instans KMS

    Document Center

    Key Management Service:Beli dan aktifkan instans KMS

    Last Updated:Feb 05, 2026

    Instans Key Management Service (KMS) menyediakan kemampuan manajemen kunci dan rahasia. Anda dapat menggunakan kunci untuk mengenkripsi dan mendekripsi data sensitif serta menggunakan rahasia untuk menghindari hardcoding kredensial dalam kode Anda. Topik ini menjelaskan cara membeli dan mengaktifkan instans KMS.

    Langkah 1: Membeli instans KMS

    1. Login ke Konsol Key Management Service. Di bilah menu atas, pilih wilayah. Di panel navigasi kiri, pilih Resource > Instances.

    2. Pada halaman Instances, klik Create Instance, pilih metode penagihan, pilih tipe instans yang diinginkan, lalu klik Buy Now.

      Langganan

      Parameter

      Deskripsi

      Situs

      Situs tempat wilayah instans berada. Opsi: International regions dan Chinese mainland regions.

      Tipe Instans

      KMS menyediakan kunci default, termasuk kunci layanan dan kunci master pelanggan, untuk enkripsi produk cloud di setiap wilayah. Anda tidak perlu membeli instans KMS untuk menggunakan kunci default, tetapi fiturnya terbatas. Kunci default dapat digunakan secara gratis. Hanya rotasi kunci yang merupakan layanan bernilai tambah berbayar.

      Sebelum membeli instans KMS, kami menyarankan Anda membaca Pemilihan Produk untuk memahami kunci default dan instans KMS.

      • Beli instans KMS

        Instans manajemen kunci perangkat lunak sudah cukup untuk sebagian besar kasus penggunaan. Pilih instans manajemen kunci perangkat keras jika bisnis Anda memerlukan perlindungan keamanan tingkat fisik atau perlu mematuhi regulasi ketat, seperti yang berlaku di industri keuangan.

        • Software Key Management: Kunci disimpan di database khusus Anda.

        • Hardware Key Management: Pembuatan, penyimpanan, enkripsi, dan dekripsi kunci bergantung pada modul keamanan perangkat keras (HSM) khusus yang memenuhi sertifikasi Algoritma Kriptografi Tiongkok atau FIPS 140-2 Level 3. Untuk membeli tipe instans ini, Anda juga harus membeli Dedicated HSM. Untuk informasi lebih lanjut, lihat Konfigurasikan kluster HSM untuk instans manajemen kunci perangkat keras KMS.

      • Beli layanan bernilai tambah untuk kunci

        • Instance backup: Tersedia hanya untuk instans manajemen kunci perangkat lunak. Setelah Anda mengaktifkan instans manajemen kunci perangkat lunak, KMS secara otomatis membuat backup gratis yang menyimpan data selama 90 hari. Kami menyarankan Anda mengevaluasi terlebih dahulu layanan backup gratis ini. Jika tidak memenuhi kebutuhan bisnis Anda, Anda dapat membeli layanan instance backup. Untuk informasi lebih lanjut, lihat Manajemen backup.

        • Rotasi kunci default: Tersedia hanya untuk kunci default gratis.  Untuk informasi lebih lanjut, lihat Rotasi kunci default.

          Catatan

          Jika Anda membeli instans KMS, kunci dalam instans tersebut mendukung rotasi secara default. Anda tidak perlu membeli layanan bernilai tambah ini.

      Wilayah

      Kami menyarankan memilih wilayah yang sama dengan penerapan bisnis Anda. Untuk informasi lebih lanjut, lihat Wilayah yang didukung.

      Mode Penyebaran

      Instans KMS mendukung konfigurasi dua zona dan multi-zona, menawarkan ketersediaan tinggi, pemulihan bencana, dan penyeimbangan beban.

      Catatan

      • Penyebaran multi-zona mendukung hingga tiga zona.

      • Instans KMS di wilayah Filipina (Manila) dan Thailand (Bangkok) hanya mendukung penyebaran zona tunggal.

        Untuk jumlah zona di setiap wilayah, lihat Wilayah dan zona.

      Kinerja Komputasi

      Data kinerja instans KMS. Misalnya, nilai 2.000 menunjukkan kinerja maksimum 2.000 QPS untuk operasi kriptografi simetris dan 300 QPS untuk operasi kriptografi asimetris saat diproses secara independen.

      Catatan

      Jika Anda memerlukan instans manajemen kunci perangkat lunak dengan kinerja komputasi 10.000 atau 20.000, hubungi kami.

      Jumlah Kunci

      Kuota kunci. Nilai default-nya adalah 1.000.

      Kuota dihitung berdasarkan jumlah versi kunci, bukan jumlah kuncinya. Misalnya, jika sebuah kunci memiliki lima versi, maka akan mengonsumsi lima dari kuota kunci Anda.

      Jumlah Rahasia

      Kuota rahasia. Nilai default-nya adalah 0.

      Kuota dihitung berdasarkan jumlah rahasia, terlepas dari jumlah versi rahasianya. Satu rahasia hanya mengonsumsi satu dari kuota rahasia Anda, berapa pun jumlah versinya.

      Catatan

      Jika Anda tidak menggunakan rahasia, lewati kuota ini. Anda dapat menambahkan kuota rahasia nanti dengan meningkatkan instans.

      Kuantitas Manajemen Akses

      Kuota ini berlaku untuk dua fitur:

      Misalnya, untuk mengaitkan instans dengan tiga VPC dan membagikannya ke dua akun, Anda memerlukan kuota sebesar 5.

      Nilai default-nya adalah 1. Ini memungkinkan VPC yang terikat ke satu instans KMS untuk mengakses resource KMS.

      Analisis Log

      Menentukan apakah akan mengaktifkan analisis log. Untuk informasi lebih lanjut, lihat Layanan Log.

      Peringatan

      Anda tidak dapat menonaktifkan analisis log setelah diaktifkan. Untuk informasi tentang biaya, lihat Penagihan Produk.

      Kapasitas Penyimpanan Log

      Kapasitas minimum adalah 1.000 GB, dan bertambah dengan kelipatan 1.000 GB. Untuk mempelajari cara memperkirakan kapasitas yang dibutuhkan, lihat Cara menghitung kapasitas penyimpanan log yang dibutuhkan.

      Jumlah

      Jumlah instans KMS yang akan dibeli.

      Penting

      Umumnya, Anda hanya perlu membeli satu instans KMS. Untuk membeli beberapa instans KMS, hubungi kami.

      Durasi

      Pilih durasi langganan sesuai kebutuhan.

      Catatan

      Anda dapat memilih Auto-renewal on expiration. Instans KMS akan diperpanjang secara otomatis setelah masa berlangganan habis.

      Pay-as-you-go

      Parameter

      Deskripsi

      Billing Method

      Nilai tetapnya adalah Pay-as-you-go 3.0.

      Instance Type

      Instans manajemen kunci perangkat lunak sudah cukup untuk sebagian besar kasus penggunaan. Pilih instans manajemen kunci perangkat keras jika bisnis Anda memerlukan perlindungan keamanan tingkat fisik atau perlu mematuhi regulasi ketat, seperti yang berlaku di industri keuangan.

      • Software Key Management: Kunci disimpan di database khusus Anda.

      • Hardware Key Management: Pembuatan, penyimpanan, dan operasi kriptografi kunci bergantung pada Hardware Security Module (HSM) khusus yang memenuhi sertifikasi Algoritma Kriptografi Tiongkok atau FIPS 140-2 Level 3. Untuk membeli tipe instans ini, Anda juga harus membeli Dedicated HSM. Untuk informasi lebih lanjut, lihat Konfigurasikan kluster HSM untuk instans manajemen kunci perangkat keras KMS.

      Region

      Kami menyarankan memilih wilayah yang sama dengan penerapan bisnis Anda. Untuk informasi lebih lanjut, lihat Wilayah yang didukung.

    3. Klik Buy Now, baca Terms of Service, lalu klik Pay untuk menyelesaikan pembelian.

      Setelah pembelian berhasil, tunggu 1 hingga 5 menit hingga instans baru muncul di halaman Instances.

    Langkah 2: Aktifkan instans KMS

    Setelah membeli instans KMS, Anda harus mengaktifkannya sebelum menggunakan manajemen kunci dan manajemen rahasia.

    Aktifkan instans manajemen kunci perangkat lunak

    Prasyarat

    • Anda memiliki VPC dan vSwitch.

      Sebelum mengaktifkan instans KMS, kami menyarankan Anda memeriksa VPC, vSwitch, dan zonanya yang sudah ada di Konsol VPC. Anda juga dapat membuat VPC dan vSwitch baru. Untuk informasi lebih lanjut, lihat Buat VPC dan vSwitch atau Buat vSwitch.

    • Jika Anda menggunakan Akun Alibaba Cloud untuk situs Alibaba Cloud Tiongkok (aliyun.com) untuk membeli instans KMS di wilayah luar Tiongkok daratan, atau jika Anda menggunakan Akun Alibaba Cloud untuk situs internasional Alibaba Cloud (alibabacloud.com) untuk membeli instans KMS di wilayah dalam Tiongkok daratan, Anda harus mengaktifkan Alibaba Cloud DNS PrivateZone secara manual. Untuk informasi lebih lanjut, lihat Aktifkan PrivateZone.

      Catatan

      • Jika Anda menggunakan Akun Alibaba Cloud untuk situs Alibaba Cloud Tiongkok untuk membeli instans KMS di wilayah dalam Tiongkok daratan, atau jika Anda menggunakan Akun Alibaba Cloud untuk situs internasional Alibaba Cloud untuk membeli instans KMS di wilayah luar Tiongkok daratan, Alibaba Cloud akan mengaktifkan PrivateZone untuk Anda secara otomatis.

      • KMS menanggung biaya resolusi domain untuk instans tersebut, sehingga Anda tidak dikenai biaya dari Alibaba Cloud DNS PrivateZone.

    Prosedur

    1. Login ke Konsol Key Management Service. Di bilah menu atas, pilih wilayah. Di panel navigasi kiri, pilih Resource > Instances.

    2. Pada tab Software Key Management, temukan instans manajemen kunci perangkat lunak yang dituju dan klik Enable di kolom Actions.

    3. Pada panel Enable KMS Instance, lengkapi konfigurasi dan klik Enable Now.

      Parameter

      Deskripsi

      Instance Name

      Nama kustom untuk instans KMS. Nama dapat berisi huruf, angka, dan karakter khusus berikut: _/+=.@-.

      VPC ID

      Pilih VPC untuk diikat ke instans KMS.

      Zone Configuration

      Pengaturan ini bergantung pada mode penyebaran yang dipilih saat pembelian. Mendukung konfigurasi dua zona atau multi-zona. Anda dapat mengonfigurasi hingga tiga zona dalam penyebaran multi-zona.

      • Zone and vSwitch: Konfigurasikan zona dan vSwitch. Pastikan vSwitch memiliki setidaknya satu alamat IP yang tersedia.

      • Other Zones: Anda dapat meminta zona ditetapkan secara acak atau menentukannya secara manual.

      Catatan

      • Beberapa wilayah hanya menyediakan satu zona. Instans KMS di wilayah tersebut hanya dapat diterapkan dalam zona tunggal.

      • Pemilihan zona memiliki dampak yang dapat diabaikan terhadap latensi dan kinerja, sehingga Anda dapat memilih zona sesuai preferensi.

      Tunggu sekitar 30 menit lalu refresh halaman. Instans manajemen kunci perangkat lunak diaktifkan ketika statusnya berubah menjadi Enabled.

    Aktifkan instans manajemen kunci perangkat keras

    Prasyarat

    • Anda telah mengonfigurasi kluster HSM yang dapat dihubungkan oleh instans KMS. Untuk informasi lebih lanjut, lihat Konfigurasikan kluster HSM untuk instans manajemen kunci perangkat keras KMS.

      Peringatan

      Jika Anda perlu menambahkan lebih banyak HSM ke kluster nanti, hubungi dukungan teknis Alibaba Cloud untuk mengatur metode sinkronisasi kluster menjadi otomatis, yang mencegah kegagalan sinkronisasi.

    • vSwitch tersedia di setiap zona yang Anda konfigurasikan untuk instans KMS. Contoh berikut menggunakan penyebaran dua zona.

      • (Direkomendasikan) Gunakan dua vSwitch yang terikat ke instans HSM: Anda tidak perlu membuat vSwitch. Cukup pastikan setiap vSwitch memiliki setidaknya empat alamat IP yang tersedia.

      • Jangan gunakan dua vSwitch yang terikat ke instans HSM: Anda perlu membuat dua vSwitch di zona berbeda. Setiap vSwitch harus memiliki setidaknya empat alamat IP yang tersedia. Untuk informasi lebih lanjut, lihat Buat vSwitch.

      Anda dapat login ke Konsol VPC, buka halaman vSwitch, lalu klik vSwitch yang dituju untuk melihat jumlah alamat IP yang tersedia di halaman detailnya.

    • Jika Anda menggunakan Akun Alibaba Cloud untuk situs Alibaba Cloud Tiongkok (aliyun.com) untuk membeli instans KMS di wilayah luar Tiongkok daratan, atau jika Anda menggunakan Akun Alibaba Cloud untuk situs internasional Alibaba Cloud (alibabacloud.com) untuk membeli instans KMS di wilayah dalam Tiongkok daratan, Anda harus mengaktifkan Alibaba Cloud DNS PrivateZone secara manual. Untuk informasi lebih lanjut, lihat Aktifkan PrivateZone.

      Catatan

      • Jika Anda menggunakan Akun Alibaba Cloud untuk situs Alibaba Cloud Tiongkok untuk membeli instans KMS di wilayah dalam Tiongkok daratan, atau jika Anda menggunakan Akun Alibaba Cloud untuk situs internasional Alibaba Cloud untuk membeli instans KMS di wilayah luar Tiongkok daratan, Alibaba Cloud akan mengaktifkan PrivateZone untuk Anda secara otomatis.

      • KMS menanggung biaya resolusi domain untuk instans tersebut, sehingga Anda tidak dikenai biaya dari Alibaba Cloud DNS PrivateZone.

    Prosedur

    1. Login ke Konsol Key Management Service. Di bilah menu atas, pilih wilayah. Di panel navigasi kiri, pilih Resource > Instances.

    2. Klik tab Hardware Key Management, temukan instans manajemen kunci perangkat keras yang dituju, lalu klik Enable di kolom Actions.

    3. Pada panel Connect to HSM, konfigurasikan parameter, lalu klik Connect to HSM untuk menentukan kluster HSM.

      Parameter

      Deskripsi

      Instance Name

      Masukkan nama kustom untuk instans KMS. Nama dapat berisi huruf, angka, dan karakter khusus berikut: _/+=.@-.

      Select Cluster

      Pilih kluster yang telah Anda konfigurasikan di Cloud HSM.

      Catatan

      Instans manajemen kunci perangkat keras hanya dapat diikat ke satu kluster HSM.

      Configure HSM Access Secret.

      Kluster HSM di Tiongkok daratan

      Koneksi antara instans manajemen kunci perangkat keras KMS dan HSM menggunakan autentikasi Transport Layer Security (TLS) dua arah. Saat membeli HSM, Anda dapat memilih untuk menghasilkan sertifikat secara otomatis. Dalam kasus ini, Cloud HSM akan menghasilkan sertifikat secara otomatis. Anda hanya perlu mengonfigurasi sertifikat di sisi SDK klien, dan Cloud HSM akan secara otomatis menerapkannya di sisi server HSM. Jika Anda tidak mengonfigurasi pembuatan sertifikat otomatis, Anda harus mengonfigurasi sertifikat klien (sertifikat PKCS#12 dengan kata sandi proteksi) dan sertifikat domain keamanan (sertifikat CA dalam format PEM yang menerbitkan sertifikat server TLS untuk kluster HSM). Untuk menghasilkan sertifikat, lihat Konfigurasikan autentikasi TLS dua arah untuk instans HSM utama.

      • Client Protection Password: Kata sandi proteksi yang Anda atur saat menghasilkan sertifikat klien client.p12. Jika Anda menggunakan tool pembuatan sertifikat (hsm_certificate_generate), kata sandi default-nya adalah 12345678.

      • Client Certificate: Sertifikat dalam format PKCS12. Klik Select File dan pilih file client.p12 yang dihasilkan untuk diunggah.

      • Security Domain Certificate: Sertifikat CA dalam format PEM. Klik Select File dan pilih file rootca.pem yang dihasilkan untuk diunggah.

      Kluster HSM di luar Tiongkok daratan

      • Username: Username operator HSM. Ini adalah bidang statis: kmsuser.

      • Password: Kata sandi akses untuk operator HSM. Ini adalah kata sandi yang Anda atur saat membuat operator HSM.

      • Security Domain Certificate: Sertifikat CA dalam format PEM. Login ke konsol CloudHSM, klik ID instans HSM apa pun dalam kluster, lalu temukan ClusterOwnerCertificate di bagian bawah tab Instance Details. Ini adalah sertifikat domain keamanan. Salin kontennya langsung atau simpan sebagai file PEM lalu unggah.

      VPC

      Ini default ke ID VPC yang terikat ke HSM dan tidak dapat diubah.

      Configure Zone and vSwitch

      Pengaturan ini bergantung pada mode penyebaran yang dipilih saat pembelian. Mendukung konfigurasi dua zona atau multi-zona. Setiap vSwitch di setiap zona harus memiliki setidaknya empat alamat IP yang tersedia.

      Untuk penyebaran multi-zona, Anda dapat mengonfigurasi hingga tiga zona.

      Catatan

      Pemilihan zona memiliki dampak yang dapat diabaikan terhadap latensi dan kinerja, sehingga Anda dapat memilih zona sesuai preferensi.

      Pengaktifan membutuhkan waktu sekitar 30 menit jika memiliki kuota rahasia atau 10 menit tanpa kuota tersebut. Refresh halaman hingga status berubah menjadi Enabled.

    Aktifkan instans manajemen kunci eksternal

    Prasyarat

    • Anda telah membeli HSM eksternal dan mengonfigurasi proxy XKI. Untuk informasi lebih lanjut, hubungi penyedia HSM Anda.

      Catatan

      Untuk informasi lebih lanjut tentang server proxy XKI, lihat XKI Proxy Server.

    • KMS dapat terhubung ke proxy XKI melalui Internet atau melalui titik akhir VPC. Untuk terhubung melalui titik akhir VPC, pertama-tama buat layanan titik akhir. Untuk informasi lebih lanjut, lihat Buat dan kelola layanan titik akhir. Perhatikan poin-poin berikut saat membuat layanan titik akhir:

      • Zona layanan titik akhir harus sesuai dengan zona yang dipilih untuk instans KMS.

      • Anda harus menambahkan Akun Alibaba Cloud Anda saat ini ke daftar putih layanan titik akhir.

      • Pengaturan Automatically Accept Endpoint Connections untuk layanan titik akhir harus diatur ke Yes.

    • Jika Anda menggunakan Akun Alibaba Cloud untuk situs Alibaba Cloud Tiongkok (aliyun.com) untuk membeli instans KMS di wilayah luar Tiongkok daratan, atau jika Anda menggunakan Akun Alibaba Cloud untuk situs internasional Alibaba Cloud (alibabacloud.com) untuk membeli instans KMS di wilayah dalam Tiongkok daratan, Anda harus mengaktifkan Alibaba Cloud DNS PrivateZone secara manual. Untuk informasi lebih lanjut, lihat Aktifkan PrivateZone.

      Catatan

      • Jika Anda menggunakan Akun Alibaba Cloud untuk situs Alibaba Cloud Tiongkok untuk membeli instans KMS di wilayah dalam Tiongkok daratan, atau jika Anda menggunakan Akun Alibaba Cloud untuk situs internasional Alibaba Cloud untuk membeli instans KMS di wilayah luar Tiongkok daratan, Alibaba Cloud akan mengaktifkan PrivateZone untuk Anda secara otomatis.

      • KMS menanggung biaya resolusi domain untuk instans tersebut, sehingga Anda tidak dikenai biaya dari Alibaba Cloud DNS PrivateZone.

    Prosedur

    1. Login ke Konsol Key Management Service. Di bilah menu atas, pilih wilayah. Di panel navigasi kiri, pilih Resource > Instances.

    2. Klik tab External Key Management, temukan instans yang dituju, lalu klik Enable di kolom Actions.

    3. Pada panel Connect to HSM, konfigurasikan parameter, lalu klik Connect to HSM untuk menentukan kluster HSM.

      Parameter

      Deskripsi

      Instance Name

      Masukkan nama kustom untuk instans KMS. Nama dapat berisi huruf, angka, dan karakter khusus berikut: _/+=.@-.

      VPC

      Pilih VPC untuk diikat ke instans KMS.

      Zone Configuration

      Pengaturan ini bergantung pada mode penyebaran yang dipilih saat pembelian. Mendukung konfigurasi dua zona atau multi-zona. Anda dapat mengonfigurasi hingga tiga zona ketersediaan dalam penyebaran multi-zona.

      • Zone and vSwitch: Konfigurasikan zona dan vSwitch. Pastikan vSwitch memiliki setidaknya satu alamat IP yang tersedia.

      • Other Zones: Anda dapat meminta zona ditetapkan secara acak atau menentukannya secara manual.

      Catatan

      • Beberapa wilayah hanya menyediakan satu zona. Instans KMS di wilayah tersebut hanya dapat diterapkan dalam zona tunggal.

      • Penyebaran dua zona atau multi-zona digunakan untuk mencapai ketersediaan tinggi, pemulihan bencana, dan penyeimbangan beban untuk KMS. Perbedaan latensi dan kinerja antara memilih zona tempat layanan Anda berada dan zona tempat layanan tidak berada dapat diabaikan. Anda dapat memilih zona sesuai kebutuhan.

      External Proxy Connectivity

      • Public Endpoint Connectivity: Instans KMS terhubung ke proxy XKI melalui Internet.

      • VPC Endpoint Service Connectivity : Instans KMS terhubung ke proxy XKI menggunakan layanan titik akhir VPC.

      Domain Name of External Proxy

      Ini diperlukan hanya saat Anda mengatur External Proxy Connectivity ke Public Endpoint Connectivity. Masukkan nama domain proxy XKI.

      Endpoint Service

      Ini diperlukan hanya saat Anda mengatur External Proxy Connectivity ke VPC Endpoint Service Connectivity . Pilih layanan titik akhir.

      Zona yang dipilih untuk mengaktifkan instans KMS harus sama dengan zona layanan titik akhir.

      External Proxy Configuration

      • Manual Configuration: Konfigurasikan secara manual External Proxy Path, Certificate Fingerprint, ID AccessKey, dan Rahasia AccessKey proxy XKI.

      • Configuration File Upload: Unggah file untuk mengonfigurasi parameter.

      Pengaktifan membutuhkan waktu sekitar 30 menit jika memiliki kuota rahasia atau 10 menit tanpa kuota tersebut. Refresh halaman hingga status berubah menjadi Enabled.

    FAQ

    Referensi