全部产品
Search

搜索本产品

    Key Management Service:Manfaat

    文档中心

    Key Management Service:Manfaat

    更新时间:Jul 02, 2025

    Dibandingkan dengan infrastruktur manajemen kunci (KMI), Key Management Service (KMS) menawarkan integrasi multi-layanan, kemudahan penggunaan, keandalan tinggi, dan efisiensi biaya.

    Integrasi multi-layanan

    • Otentikasi dan Kontrol Akses

      KMS mengotentikasi validitas permintaan menggunakan pasangan AccessKey. KMS terintegrasi dengan Resource Access Management (RAM), memungkinkan Anda mengonfigurasi berbagai kebijakan kustom untuk memenuhi persyaratan dalam skenario otorisasi yang berbeda. Permintaan dari pengguna valid yang lolos kontrol akses berbasis atribut (ABAC) dari RAM dapat diterima oleh KMS. Untuk informasi lebih lanjut, lihat Gunakan RAM untuk mengontrol akses ke sumber daya KMS.

    • Audit Penggunaan Kunci

      KMS terintegrasi dengan ActionTrail, memungkinkan Anda melihat penggunaan KMS terbaru dan menyimpan informasi penggunaan di layanan lain seperti OSS untuk memenuhi persyaratan audit jangka panjang. Untuk informasi lebih lanjut, lihat Gunakan ActionTrail untuk menanyakan log peristiwa KMS.

    • Enkripsi Data untuk Layanan Cloud Terintegrasi

      KMS terintegrasi dengan beberapa layanan Alibaba Cloud seperti ECS, ApsaraDB for RDS, dan OSS. Anda dapat menggunakan kunci master pelanggan (CMK) di KMS untuk mengenkripsi dan mengontrol data yang disimpan di layanan tersebut serta mempertahankan kendali atas lingkungan komputasi dan penyimpanan cloud. Anda hanya perlu membayar untuk layanan tersebut tanpa harus menerapkan kemampuan enkripsi yang kompleks. Selain itu, KMS juga melindungi data asli dari layanan-layanan tersebut. Untuk informasi lebih lanjut, lihat Integrasi dengan KMS dan Layanan Alibaba Cloud yang dapat diintegrasikan dengan KMS.

    Kemudahan penggunaan

    • Enkripsi Mudah

      KMS menyederhanakan konsep kriptografi abstrak dan menyediakan operasi API kriptografi yang memungkinkan Anda dengan mudah mengenkripsi dan mendekripsi data. Untuk aplikasi yang memerlukan hierarki kunci, KMS menyediakan enkripsi amplop untuk dengan cepat menerapkan hierarki kunci: Ini menghasilkan kunci data (DK) dan menggunakan CMK sebagai kunci enkripsi kunci (KEK) untuk melindungi DK. Untuk informasi lebih lanjut, lihat Gunakan enkripsi amplop untuk mengenkripsi dan mendekripsi data lokal.

    • Hosting Kunci Terpusat

      KMS menyediakan hosting dan kontrol kunci terpusat.

      • Anda dapat membuat CMK baru kapan saja dan menggunakan RAM untuk dengan mudah mengelola siapa yang dapat mengakses CMK.
      • Anda dapat menggunakan ActionTrail untuk mengaudit penggunaan kunci.
      • Anda dapat mengimpor kunci ke KMS dari KMI atau dari modul keamanan perangkat keras (HSM) Layanan Enkripsi Data. Untuk kunci yang diimpor dari sumber eksternal atau dibuat di KMS, informasi rahasia atau data sensitif mereka digunakan oleh layanan Alibaba Cloud lainnya untuk enkripsi dan perlindungan data.
    • BYOK

      KMS mendukung Bring Your Own Key (BYOK). Anda dapat mengimpor kunci Anda sendiri ke KMS untuk mengenkripsi data di cloud, memudahkan manajemen kunci. Anda dapat mengimpor jenis kunci berikut ke KMS:

      • Kunci di KMI lokal Anda
      • Kunci di HSM yang dikelola pengguna dari Alibaba Cloud Data Encryption Service
      Catatan Kunci yang diimpor ke HSM terkelola di KMS tidak dapat diekspor dengan metode apa pun karena algoritma pertukaran kunci aman digunakan di KMS. Operator atau pihak ketiga tidak diizinkan untuk memeriksa teks biasa dari kunci. Untuk informasi lebih lanjut, lihat Impor materi kunci dan Kontrol kunci.
    • Kebijakan Rotasi Kunci Kustom

      KMS mendukung rotasi otomatis kunci enkripsi simetris berdasarkan kebijakan keamanan. Anda hanya perlu mengonfigurasi siklus rotasi kustom untuk CMK. KMS secara otomatis menghasilkan versi CMK baru. CMK dapat memiliki beberapa versi kunci, dan setiap versi dapat digunakan untuk mendekripsi data teks sandi yang sesuai. Versi kunci terbaru (disebut versi utama) adalah kunci enkripsi aktif dan digunakan untuk mengenkripsi data saat ini. Untuk informasi lebih lanjut, lihat Rotasi kunci otomatis.

    Keandalan, ketersediaan, dan skalabilitas tinggi

    Sebagai layanan terdistribusi yang sepenuhnya dikelola, KMS membangun kemampuan komputasi kriptografi redundan multi-zona di setiap wilayah. Hal ini memastikan bahwa layanan Alibaba Cloud dan aplikasi kustom Anda dapat mengirimkan permintaan ke KMS dengan latensi rendah. Anda dapat membuat banyak kunci di KMS di beberapa wilayah berdasarkan kebutuhan bisnis Anda tanpa perlu menskalakan infrastruktur dasar.

    Keamanan dan kepatuhan

    KMS telah lulus desain keamanan dan verifikasi ketat untuk memastikan perlindungan ketat terhadap kunci Anda di cloud.

    • KMS hanya menyediakan saluran akses berbasis TLS dan menggunakan algoritma enkripsi transmisi aman, sesuai dengan standar keamanan seperti PCI DSS.
    • KMS menyediakan fasilitas kriptografi yang diverifikasi dan disertifikasi oleh lembaga pengatur, termasuk HSM yang diuji dan disertifikasi oleh State Cryptography Administration (SCA) atau telah lulus validasi FIPS 140-2 Level 3. Untuk informasi lebih lanjut, lihat Kepatuhan.
    • KMS menggunakan HSM untuk meng-hosting kunci demi tingkat keamanan yang lebih tinggi. Untuk informasi lebih lanjut, lihat Ikhtisar.

    Biaya rendah

    Dengan KMS, Anda hanya membayar untuk sumber daya yang Anda gunakan.

    • Anda tidak perlu membayar biaya awal HSM, serta biaya operasional, pemeliharaan, perbaikan, dan penggantian HSM.
    • KMS mengurangi biaya pembangunan kluster perangkat kriptografi yang sangat tersedia dan andal serta mengurangi biaya R&D dan pemeliharaan untuk fasilitas manajemen kunci yang dibuat pengguna.
    • KMS terintegrasi dengan layanan cloud lainnya untuk menghilangkan overhead R&D sistem enkripsi data. Anda hanya perlu mengelola kunci untuk mencapai enkripsi data yang terkendali di cloud.