Key Management Service：Manfaat

Integrasi dengan berbagai layanan

• Otentikasi dan Kontrol Akses

  KMS mengotentikasi permintaan menggunakan mekanisme seperti pasangan AccessKey. Selain itu, KMS terintegrasi dengan Resource Access Management (RAM), memungkinkan Anda mengonfigurasi kebijakan berbasis identitas dan sumber daya sesuai kebutuhan otorisasi. KMS hanya menerima permintaan dari pengguna yang berwenang dan lulus pemeriksaan izin dinamis RAM. Untuk detail lebih lanjut, lihat Kontrol Akses.

• Audit Penggunaan Kunci

  KMS terintegrasi dengan ActionTrail dan Simple Log Service (SLS). Hal ini memungkinkan Anda melihat penggunaan KMS terbaru dan menyimpan informasi penggunaan di layanan lain seperti Object Storage Service (OSS) untuk memenuhi persyaratan audit jangka panjang. Untuk informasi lebih lanjut, lihat Gunakan ActionTrail untuk Menanyakan Log Peristiwa KMS dan Ikhtisar Simple Log Service untuk KMS.

• Enkripsi Data untuk Layanan Terintegrasi

  KMS terintegrasi dengan layanan Alibaba Cloud seperti Elastic Compute Service (ECS), ApsaraDB RDS, dan OSS. Anda dapat menggunakan kunci KMS untuk mengenkripsi dan mengontrol data layanan terintegrasi secara efisien tanpa perlu melakukan operasi enkripsi kompleks. KMS juga melindungi data asli layanan terintegrasi. Untuk informasi lebih lanjut, lihat Memahami Integrasi KMS dan Layanan Alibaba Cloud yang Kompatibel dengan KMS.

Kemudahan Penggunaan

• Rotasi Kunci Otomatis

  KMS menyediakan fitur rotasi kunci otomatis, menghilangkan kebutuhan pembaruan manual sehingga meningkatkan keamanan dan mengurangi upaya manajemen.

• Implementasi Sederhana

  KMS menyediakan API kriptografi yang disederhanakan untuk enkripsi dan dekripsi data, membebaskan Anda dari kerumitan implementasi kriptografi.

• Akses Lintas Virtual Private Cloud (VPC)

  KMS memungkinkan Anda mengaitkan beberapa VPC dengan instance KMS, memungkinkan enkripsi dan dekripsi lintas VPC.

• Bawa Kunci Anda Sendiri (BYOK)

  KMS mendukung BYOK, memungkinkan Anda mengimpor kunci dari sistem eksternal seperti KMI lokal. Kunci tersebut dapat digunakan untuk mengenkripsi data di layanan Alibaba Cloud atau aplikasi mandiri.

  Catatan

  KMS menggunakan algoritma pertukaran kunci aman untuk memastikan operator atau pihak ketiga tidak dapat melihat kunci dalam teks biasa.

Keandalan, ketersediaan, dan skalabilitas tinggi

• Keandalan Tinggi

  • KMS mendukung penyebaran multi-zona untuk mencegah titik kegagalan tunggal (SPOF).

  • KMS mencadangkan kunci, rahasia, dan data terkait secara berkala untuk memastikan pemulihan cepat saat terjadi gangguan.

• Ketersediaan Tinggi

  • KMS menyediakan komputasi kriptografi redundan di beberapa zona dan load balancing untuk mencapai waktu pemulihan (RTO) dalam hitungan menit. Instance KMS menggunakan penyebaran dua zona untuk memastikan layanan aktif-aktif di seluruh zona demi optimalisasi sumber daya dan ketersediaan tinggi.

  • Instance KMS mendukung spesifikasi permintaan per detik (QPS) sebesar 2.000 dan 4.000, tetap stabil meskipun banyak permintaan bersamaan.

• Skalabilitas

  Anda dapat menyesuaikan spesifikasi KMS sesuai kebutuhan bisnis.

Contoh berikut menunjukkan penyebaran dua zona. Aplikasi layanan Anda ditempatkan di VPC_1 dan VPC_2, sedangkan instance KMS ditempatkan di VPC_1 dan dikaitkan dengan VPC_2. Gambar berikut mengilustrasikan arsitektur KMS.

Keamanan dan kepatuhan

Efisiensi Biaya

• Anda tidak perlu berinvestasi dalam perangkat kriptografi perangkat keras, termasuk pembelian, operasi, perbaikan, dan penggantian.

• Dengan KMS, Anda tidak perlu menerapkan kluster HSM andal dan tersedia tinggi atau membayar R&D serta pemeliharaan untuk KMI mandiri.

• KMS terintegrasi dengan layanan Alibaba Cloud lainnya, menghilangkan overhead R&D untuk sistem enkripsi data. Anda hanya perlu mengelola kunci untuk mencapai enkripsi data terkendali di cloud.