Instans Key Management Service (KMS) menyediakan fitur untuk mengelola kunci dan rahasia. Anda dapat menggunakan kunci untuk mengenkripsi dan mendekripsi data sensitif serta kredensial guna mengurangi risiko pengkodean keras dalam kode Anda, sehingga meningkatkan keamanan data bisnis Anda. Topik ini menjelaskan cara membeli dan mengaktifkan instans KMS.
Langkah 1: Membeli instans KMS
Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi di sebelah kiri, pilih .
Di halaman Instances, klik Create Instance, pilih metode penagihan, pilih tipe instans KMS yang ingin dibeli, lalu klik Beli Sekarang.
Langganan
Parameter
Deskripsi
Site
Situs tempat wilayah instans KMS berada. Pilihan: International Regions dan Chinese Mainland Regions.
Instance Type
KMS menyediakan kunci default, termasuk kunci layanan dan kunci utama, untuk enkripsi produk cloud di setiap wilayah. Anda tidak perlu membeli instans KMS untuk menggunakan kunci default, tetapi fiturnya terbatas. Kunci default disediakan oleh KMS secara gratis. Hanya fitur rotasi kunci yang memerlukan pembelian layanan tambahan. Skenario lainnya gratis.
Sebelum membeli instans KMS, kami sarankan Anda mengunjungi Pemilihan Produk untuk informasi lebih lanjut tentang kunci default dan instans KMS.
Beli instans KMS
Dalam banyak kasus, instans manajemen kunci perangkat lunak sudah cukup. Jika bisnis Anda memerlukan perlindungan keamanan tingkat fisik atau harus memenuhi persyaratan kepatuhan ketat seperti regulasi keuangan, pilih instans manajemen kunci perangkat keras.
Software Key Management: Kunci disimpan di database khusus Anda.
Hardware Key Management: Pembuatan, penyimpanan, enkripsi, dan dekripsi bergantung pada modul keamanan perangkat keras (HSM) khusus yang sesuai dengan sertifikasi Guomi atau FIPS 140-2 Level 3. Jika Anda memilih jenis instans ini, Anda juga harus membeli HSM. Untuk informasi lebih lanjut, lihat Konfigurasikan kluster HSM untuk instans manajemen kunci perangkat keras KMS.
Purchase Value-added Services For Keys
Cadangan instans: Layanan tambahan ini hanya berlaku untuk instans manajemen kunci perangkat lunak. Setelah instans manajemen kunci perangkat lunak diaktifkan, KMS secara otomatis membuat cadangan gratis untuk data dari 90 hari terakhir. Kami sarankan Anda pertama-tama mempelajari kemampuan cadangan gratis ini. Jika kemampuan ini tidak memenuhi kebutuhan bisnis Anda, Anda dapat membeli cadangan instans. Untuk informasi lebih lanjut, lihat Manajemen cadangan.
Rotasi kunci default: Layanan tambahan ini hanya berlaku untuk kunci default gratis. Untuk informasi lebih lanjut, lihat Rotasi kunci default.
CatatanJika Anda membeli instans KMS, kunci di instans mendukung rotasi secara default. Anda tidak perlu membeli layanan tambahan ini.
Region
Kami sarankan Anda menyebar di wilayah yang sama dengan bisnis Anda. Untuk informasi lebih lanjut, lihat Wilayah yang Didukung.
Deployment Mode
Instans KMS mendukung konfigurasi dua zona atau multi-zona untuk menyediakan ketersediaan tinggi, pemulihan bencana, dan penyeimbangan beban.
CatatanInstans KMS di Filipina (Manila) dan Thailand (Bangkok) hanya mendukung penyebaran zona tunggal karena hanya ada satu zona yang tersedia. Dalam hal ini, mode penyebaran default ke zona tunggal.
Penyebaran multi-zona mendukung hingga tiga zona.
Untuk informasi lebih lanjut tentang jumlah zona di setiap wilayah, lihat Wilayah dan zona.
Compute Performance
Data performa instans KMS. Misalnya, nilai 2.000 menunjukkan bahwa performa komputasi maksimum adalah 2.000 QPS untuk memproses algoritma simetris secara independen dan 300 QPS untuk memproses algoritma asimetris secara independen.
CatatanJika Anda memerlukan instans manajemen kunci perangkat lunak dengan performa 10.000 atau 20.000, hubungi kami.
Key Quota
Kuota kunci. Nilai defaultnya adalah 1.000.
Kuota kunci dihitung berdasarkan jumlah versi kunci, bukan jumlah kunci. Misalnya, jika sebuah kunci memiliki lima versi, itu mengonsumsi lima dari kuota kunci Anda.
Secret Quota
Kuota rahasia. Nilai defaultnya adalah 0.
Kuota rahasia dihitung berdasarkan jumlah rahasia, terlepas dari jumlah versi rahasia. Sebuah rahasia hanya mengonsumsi satu dari kuota rahasia Anda, berapa pun jumlah versinya.
CatatanJika bisnis Anda tidak melibatkan rahasia, lewati pembelian kuota sekarang. Anda dapat membeli kuota rahasia dengan meningkatkan instans Anda nanti sesuai kebutuhan.
Access Management Quota
Kuota ini terkait dengan dua fitur:
Mengakses instans KMS dari beberapa VPC di wilayah yang sama: Memungkinkan beberapa VPC di wilayah yang sama mengakses sumber daya KMS. Jumlah kuota yang diperlukan sama dengan jumlah VPC.
Berbagi instans KMS multi-akun: Anda memerlukan satu kuota untuk setiap akun Alibaba Cloud dengan mana Anda berbagi instans tersebut.
Sebagai contoh, jika instans Anda perlu dikaitkan dengan tiga VPC dan dibagikan dengan dua akun Alibaba Cloud, kuota manajemen akses harus minimal 5 untuk memenuhi kebutuhan bisnis Anda.
Nilai defaultnya adalah 1. Ini memungkinkan VPC yang terpasang pada satu instans mengakses sumber daya KMS.
Log Analysis
Menentukan apakah akan mengaktifkan fitur analisis log. Untuk informasi lebih lanjut, lihat Ikhtisar Layanan Log Sederhana.
PeringatanAnalisis log tidak dapat dinonaktifkan setelah diaktifkan. Untuk informasi tentang biaya, lihat Penagihan Produk.
Log Storage Capacity
Diperlukan minimal 1.000 GB. Kapasitas bertambah dalam kelipatan 1.000 GB. Untuk informasi lebih lanjut, lihat Cara menghitung kapasitas penyimpanan log yang diperlukan.
Quantity
Jumlah instans KMS yang akan dibeli.
PentingUmumnya, Anda hanya perlu membeli satu instans KMS. Untuk membeli beberapa instans KMS, hubungi kami.
Subscription Duration
Pilih durasi langganan.
CatatanAnda dapat memilih Auto-renewal On Expiration. Instans akan diperbarui secara otomatis setelah kadaluarsa.
Berdasarkan Penggunaan
Parameter
Deskripsi
Billing Method
Nilai tetap: Berdasarkan Penggunaan 3.0.
Instance Type
Dalam banyak kasus, instans manajemen kunci perangkat lunak sudah cukup. Jika bisnis Anda memerlukan perlindungan keamanan tingkat fisik atau harus memenuhi persyaratan kepatuhan ketat seperti regulasi keuangan, pilih instans manajemen kunci perangkat keras.
Software Key Management: Kunci disimpan di database khusus Anda.
Hardware Key Management: Pembuatan, penyimpanan, enkripsi, dan dekripsi bergantung pada modul keamanan perangkat keras (HSM) khusus yang sesuai dengan sertifikasi Guomi atau FIPS 140-2 Level 3. Jika memilih jenis instans ini, Anda juga harus membeli HSM. Untuk informasi lebih lanjut, lihat Konfigurasikan kluster HSM untuk instans manajemen kunci perangkat keras KMS.
Region
Kami sarankan Anda menyebar di wilayah yang sama dengan bisnis Anda. Untuk informasi lebih lanjut, lihat Wilayah yang Didukung.
Baca Terms of Service, lalu klik Activate Now untuk menyelesaikan pembelian.
Setelah pembelian berhasil, tunggu 1 hingga 5 menit. Instans yang dibeli akan muncul di halaman Instances.
Langkah 2: Mengaktifkan instans
Setelah membeli instans, Anda harus mengaktifkannya sebelum dapat menggunakan fitur manajemen kunci dan rahasia.
Mengaktifkan instans manajemen kunci perangkat lunak
Prasyarat
Anda harus memiliki satu VPC dan satu vSwitch.
Disarankan untuk masuk terlebih dahulu ke Konsol Manajemen VPC untuk melihat VPC, vSwitch, dan zona tempat vSwitch berada sebelum mengaktifkan instans. Anda juga dapat membuat VPC dan vSwitch baru. Untuk informasi lebih lanjut, lihat Buat VPC dan vSwitch atau Buat vSwitch.
Anda harus mengaktifkan PrivateZone DNS Cloud secara manual jika menggunakan akun Situs China Alibaba Cloud (aliyun.com) untuk membeli instans KMS di luar daratan Tiongkok, atau jika menggunakan akun Situs Internasional Alibaba Cloud (alibabacloud.com) untuk membeli instans di daratan Tiongkok. Untuk informasi lebih lanjut, lihat Aktifkan PrivateZone.
CatatanJika menggunakan akun Situs China Alibaba Cloud (aliyun.com) untuk membeli instans di daratan Tiongkok, atau menggunakan akun Situs Internasional Alibaba Cloud untuk membeli instans di luar daratan Tiongkok, Alibaba Cloud secara otomatis mengaktifkan PrivateZone. Anda tidak perlu mengaktifkannya secara manual.
KMS menanggung biaya resolusi nama domain untuk instans. Anda tidak perlu membayar biaya ke PrivateZone.
Prosedur
Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi di sebelah kiri, pilih .
Di tab Software Key Management, temukan instans manajemen kunci perangkat lunak target dan klik Enable di kolom Actions.
Di panel Enable KMS Instance, lengkapi konfigurasi dan klik Enable Now.
Parameter
Deskripsi
Instance Name
Masukkan nama kustom untuk instans. Nama dapat berisi huruf, angka, dan karakter khusus
_/+=.@-.VPC ID
Pilih VPC untuk disambungkan ke instans.
Zone Configuration
Ini terkait dengan mode penyebaran yang dipilih saat pembelian instans. Penyebaran dua zona atau multi-zona didukung. Untuk penyebaran multi-zona, konfigurasikan hingga tiga zona.
Zone and vSwitch: Konfigurasikan zona dan vSwitch. Pastikan bahwa vSwitch memiliki setidaknya satu alamat IP yang tersedia.
Other Zones: Anda dapat membiarkan zona ditetapkan secara acak atau menentukannya secara manual.
CatatanBeberapa wilayah hanya menyediakan satu zona. Instans di wilayah-wilayah ini hanya dapat diterapkan di zona tunggal.
Penyebaran dua zona atau multi-zona digunakan untuk mencapai ketersediaan tinggi, pemulihan bencana, dan penyeimbangan beban untuk KMS. Perbedaan latensi dan performa antara memilih zona tempat layanan Anda berada dan zona tempat mereka tidak berada tidak signifikan. Pilih sesuai kebutuhan.
Tunggu sekitar 30 menit lalu segarkan halaman. Instans manajemen kunci perangkat lunak diaktifkan ketika statusnya berubah menjadi Enabled.
Mengaktifkan instans manajemen kunci perangkat keras
Prasyarat
Anda harus telah mengonfigurasi kluster cryptor yang dapat dihubungkan oleh instans KMS. Untuk informasi lebih lanjut, lihat Konfigurasikan kluster cryptor untuk instans manajemen kunci perangkat keras KMS.
PeringatanJika Anda berencana untuk memperluas jumlah HSM di kluster HSM, hubungi dukungan teknis Alibaba Cloud untuk mengubah metode sinkronisasi kluster menjadi sinkronisasi otomatis. Ini membantu mencegah kegagalan sinkronisasi.
Pastikan setiap zona yang dikonfigurasikan untuk instans KMS memiliki vSwitch. Bagian berikut menggunakan penyebaran dua zona sebagai contoh.
(Direkomendasikan) Gunakan dua vSwitch yang terpasang pada instans HSM. Dalam hal ini, Anda tidak perlu membuat vSwitch. Pastikan empat alamat IP yang tersedia dicadangkan untuk setiap vSwitch.
Jika Anda tidak menggunakan dua vSwitch yang terpasang pada instans HSM, Anda harus membuat dua vSwitch di zona berbeda. Pastikan empat alamat IP yang tersedia dicadangkan untuk setiap vSwitch. Untuk informasi lebih lanjut, lihat Buat vSwitch.
Anda dapat masuk ke Konsol VPC, klik vSwitch target di halaman vSwitches, dan lihat jumlah alamat IP yang tersedia di halaman detail.
Anda harus mengaktifkan PrivateZone DNS Cloud secara manual jika menggunakan akun Situs China Alibaba Cloud (aliyun.com) untuk membeli instans KMS di luar daratan Tiongkok, atau jika menggunakan akun Situs Internasional Alibaba Cloud untuk membeli instans KMS di daratan Tiongkok. Untuk informasi lebih lanjut, lihat Aktifkan PrivateZone.
CatatanJika menggunakan akun Situs China Alibaba Cloud (aliyun.com) untuk membeli instans KMS di daratan Tiongkok, atau menggunakan akun Situs Internasional Alibaba Cloud untuk membeli instans KMS di luar daratan Tiongkok, Alibaba Cloud secara otomatis mengaktifkan PrivateZone. Anda tidak perlu mengaktifkannya secara manual.
KMS menanggung biaya resolusi nama domain untuk instans KMS. Anda tidak perlu membayar biaya ke PrivateZone.
Prosedur
Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi di sebelah kiri, pilih .
Klik tab Hardware Key Management, temukan instans manajemen kunci perangkat keras target, dan klik Enable di kolom Actions.
Di panel Connect to HSM, lengkapi konfigurasi, lalu klik Connect to HSM untuk menentukan kluster HSM.
Parameter
Deskripsi
Instance Name
Masukkan nama kustom untuk instans. Nama dapat berisi huruf, angka, dan karakter khusus
_/+=.@-.Select Cluster
Pilih kluster HSM yang Anda konfigurasikan di CloudHSM.
CatatanInstans manajemen kunci perangkat keras hanya dapat disambungkan ke satu kluster HSM.
Configure HSM Access Secret.
Kluster HSM di daratan Tiongkok
Instans manajemen kunci perangkat keras menggunakan otentikasi TLS dua arah untuk terhubung ke HSM. Anda dapat memilih untuk menghasilkan sertifikat secara otomatis saat membeli HSM. Anda hanya perlu mengonfigurasi sertifikat di sisi SDK klien, dan HSM secara otomatis menerapkannya ke mesin enkripsi sisi server. Jika Anda tidak mengonfigurasi HSM untuk menghasilkan sertifikat secara otomatis, Anda harus mengonfigurasi sertifikat klien (sertifikat format PKCS12 dengan token keamanan) dan sertifikat domain keamanan (sertifikat CA dalam format PEM yang digunakan untuk menerbitkan sertifikat TLS sisi server untuk kluster HSM). Untuk informasi lebih lanjut tentang cara menghasilkan sertifikat, lihat Konfigurasikan otentikasi TLS dua arah untuk instans HSM utama.
Client Protection Password: Kata sandi perlindunganyang Anda atur saat menghasilkan sertifikat klien
client.p12. Jika Anda menggunakan alat pembuatan sertifikat (hsm_certificate_generate), kata sandi defaultnya adalah12345678.Client Certificate: Sertifikat PKCS12. Klik Select File dan pilih file
client.p12yang telah dihasilkan untuk diunggah.Security Domain Certificate: Sertifikat CA dalam format PEM. Klik Select File dan pilih file
rootca.pemyang telah dihasilkan untuk diunggah.
Kluster HSM di luar daratan Tiongkok
Username: Nama pengguna operator HSM (tetap sebagai
kmsuser).Password: Kata sandi akses untuk operator HSM. Ini adalah kata sandi yang Anda atur saat membuat operator HSM.
Security Domain Certificate: Sertifikat CA dalam format PEM. Masuk ke Konsol CloudHSM, klik ID instans HSM apa pun di kluster, dan temukan ClusterOwnerCertificate di bagian bawah tab Instance Details. Ini adalah sertifikat domain keamanan. Salin kontennya secara langsung atau simpan sebagai file PEM lalu unggah.
VPC ID
Secara default, ini adalah ID VPC yang terpasang pada HSM. Ini tidak dapat diubah.
Configure Zone and vSwitch
Ini terkait dengan mode penyebaran yang dipilih saat pembelian instans. Penyebaran dua zona atau multi-zona didukung. Empat alamat IP yang tersedia harus dicadangkan untuk vSwitch di setiap zona.
Untuk penyebaran multi-zona, konfigurasikan hingga tiga zona.
CatatanPenyebaran dua zona atau multi-zona digunakan untuk mencapai ketersediaan tinggi, pemulihan bencana, dan penyeimbangan beban untuk KMS. Perbedaan latensi dan performa antara memilih zona tempat layanan Anda berada dan zona tempat mereka tidak berada tidak signifikan. Pilih sesuai kebutuhan.
Jika Anda memilih kuota rahasia saat membeli instans, tunggu sekitar 30 menit lalu segarkan halaman. Jika Anda tidak memilih kuota rahasia, tunggu sekitar 10 menit lalu segarkan halaman. Instans manajemen kunci perangkat keras diaktifkan ketika statusnya berubah menjadi Enabled.
Mengaktifkan instans manajemen kunci eksternal
Prasyarat
Anda harus telah membeli HSM eksternal dan mengonfigurasi proxy XKI. Untuk informasi lebih lanjut, hubungi penyedia HSM Anda.
CatatanUntuk informasi lebih lanjut, lihat Server Proxy XKI.
Anda dapat menghubungkan KMS ke proxy XKI menggunakan titik akhir publik atau layanan titik akhir VPC. Untuk menggunakan titik akhir VPC, pertama-tama buat layanan titik akhir. Untuk informasi lebih lanjut, lihat Buat dan kelola layanan titik akhir. Perhatikan hal berikut saat membuat layanan titik akhir:
Dua zona layanan titik akhir harus sama dengan zona yang dipilih saat mengaktifkan instans KMS.
Anda harus menambahkan akun Alibaba Cloud saat ini ke daftar putih layanan titik akhir.
Pengaturan Auto-accept Connection untuk layanan titik akhir harus diatur ke Yes.
Anda harus mengaktifkan PrivateZone secara manual jika menggunakan akun Situs China Alibaba Cloud (aliyun.com) untuk membeli instans KMS di luar daratan Tiongkok, atau jika menggunakan akun Situs Internasional Alibaba Cloud untuk membeli instans KMS di daratan Tiongkok. Untuk informasi lebih lanjut, lihat Aktifkan PrivateZone.
CatatanJika menggunakan akun Situs China Alibaba Cloud (aliyun.com) untuk membeli instans di daratan Tiongkok, atau menggunakan akun Situs Internasional Alibaba Cloud untuk membeli instans di luar daratan Tiongkok, Alibaba Cloud secara otomatis mengaktifkan PrivateZone. Anda tidak perlu mengaktifkannya secara manual.
KMS menanggung biaya resolusi nama domain untuk instans KMS. Anda tidak perlu membayar biaya ke PrivateZone.
Prosedur
Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi di sebelah kiri, pilih .
Klik tab External Key Management, temukan instans target, dan klik <Enable di kolom Actions.
Di panel Connect to HSM, lengkapi konfigurasi, lalu klik Connect to HSM untuk menentukan kluster HSM.
Parameter
Deskripsi
Instance Name
Masukkan nama kustom untuk instans. Nama dapat berisi huruf, angka, dan karakter khusus
_/+=.@-.VPC ID
Pilih VPC untuk disambungkan ke instans.
Zone Configuration
Ini terkait dengan mode penyebaran yang dipilih saat pembelian instans. Penyebaran dua zona atau multi-zona didukung. Untuk penyebaran multi-zona, Anda dapat mengonfigurasi hingga tiga zona.
Zone and vSwitch: Konfigurasikan zona dan vSwitch. Pastikan bahwa vSwitch memiliki setidaknya satu alamat IP yang tersedia.
Other Zones: Anda dapat membiarkan zona ditetapkan secara acak atau menentukannya secara manual.
CatatanBeberapa wilayah hanya menyediakan satu zona. Instans KMS di wilayah-wilayah ini hanya dapat diterapkan di zona tunggal.
Penyebaran dua zona atau multi-zona digunakan untuk mencapai ketersediaan tinggi, pemulihan bencana, dan penyeimbangan beban untuk KMS. Perbedaan latensi dan performa antara memilih zona tempat layanan Anda berada dan zona tempat mereka tidak berada tidak signifikan. Pilih sesuai kebutuhan.
External Proxy Connectivity
Public Endpoint Connectivity: Instans KMS terhubung ke proxy XKI melalui Internet.
VPC Endpoint Service Connectivity : Instans KMS terhubung ke proxy XKI menggunakan layanan titik akhir VPC.
Domain Name of External Proxy
Ini hanya diperlukan saat External Proxy Connectivity diatur ke Public Endpoint Connectivity. Masukkan nama domain proxy XKI.
Endpoint Service
Ini hanya diperlukan saat External Proxy Connectivity diatur ke VPC Endpoint Service Connectivity . Pilih layanan titik akhir.
Zona yang dipilih untuk mengaktifkan instans KMS harus sama dengan zona layanan titik akhir.
External Proxy Configuration
Manual Configuration: Konfigurasikan secara manual External Proxy Path, Certificate Fingerprint, ID AccessKey, dan Rahasia AccessKey dari proxy XKI.
Configuration File Upload: Konfigurasikan dengan mengunggah file.
Jika Anda memilih kuota rahasia saat membeli instans, tunggu sekitar 30 menit lalu segarkan halaman. Jika Anda tidak memilih kuota rahasia, tunggu sekitar 10 menit lalu segarkan halaman. Instans manajemen kunci eksternal diaktifkan ketika statusnya berubah menjadi Enabled.