Key Management Service:Manfaat

Integrasi layanan cloud

KMS dibangun langsung ke dalam ekosistem Alibaba Cloud, bukan sebagai komponen tambahan terpisah.

Autentikasi dan kontrol akses

KMS mengautentikasi permintaan menggunakan Pasangan Kunci Akses (AccessKey pairs) dan terintegrasi dengan Resource Access Management (RAM). Konfigurasikan kebijakan RAM untuk menentukan secara tepat siapa yang dapat mengakses kunci mana dan dalam kondisi apa. Permintaan dari pengguna terautentikasi yang lulus pemeriksaan attribute-based access control (ABAC) dari RAM akan diterima oleh KMS. Untuk detailnya, lihat Gunakan RAM untuk mengontrol akses ke resource KMS, yang memungkinkan Anda menggunakan Resource Access Management (RAM) untuk mengontrol akses ke resource KMS. Topik ini menjelaskan jenis resource KMS, aksi, dan kondisi yang dapat didefinisikan dalam kebijakan RAM.

Audit penggunaan kunci

KMS terintegrasi dengan ActionTrail, memberikan catatan lengkap mengenai penggunaan kunci baru-baru ini. Simpan data audit ini di Object Storage Service (OSS) untuk memenuhi persyaratan kepatuhan jangka panjang. Untuk detailnya, lihat Gunakan ActionTrail untuk mengkueri log event KMS.

Enkripsi untuk layanan Alibaba Cloud

KMS terintegrasi dengan Elastic Compute Service (ECS), ApsaraDB for RDS, OSS, dan layanan Alibaba Cloud lainnya. Gunakan customer master keys (CMKs) di KMS untuk mengenkripsi dan mengontrol data yang disimpan di layanan-layanan tersebut tanpa perlu menerapkan stack enkripsi sendiri. KMS juga melindungi data native dari layanan-layanan tersebut. Untuk daftar lengkap layanan yang didukung, lihat Integrasi dengan KMS. Alibaba Cloud mendukung algoritma Advanced Encryption Standard (AES) 256-bit untuk enkripsi, yang memenuhi persyaratan enkripsi data sensitif, serta Layanan Alibaba Cloud yang dapat diintegrasikan dengan KMS. Layanan-layanan Alibaba Cloud ini dapat menggunakan kunci yang dikelola layanan atau kunci yang dikelola pengguna, termasuk kunci yang diimpor menggunakan fitur Bring Your Own Key (BYOK), untuk mengenkripsi berbagai jenis data dalam berbagai skenario.

Kemudahan penggunaan

API enkripsi sederhana

KMS menyederhanakan operasi kriptografi yang kompleks menjadi panggilan API yang mudah digunakan. Untuk aplikasi yang memerlukan hierarki kunci, gunakan envelope encryption: KMS menghasilkan data key (DK) dan menggunakan CMK sebagai key encryption key (KEK) untuk melindunginya. Untuk panduan langkah demi langkah, lihat Gunakan envelope encryption untuk mengenkripsi dan mendekripsi data lokal, yang menjelaskan cara menghasilkan data key secara online, lalu menggunakannya untuk mengenkripsi data lokal secara offline. Mekanisme enkripsi ini dikenal sebagai envelope encryption.

Manajemen kunci terpusat

Semua kunci berada di satu tempat. Anda dapat:

• Membuat CMK dan mengontrol aksesnya dengan RAM

• Mengaudit penggunaan kunci dengan ActionTrail

• Mengimpor kunci dari KMI on-premises Anda atau dari hardware security modules (HSMs) di Data Encryption Service

Bring Your Own Key (BYOK)

Impor kunci yang sudah ada ke dalam KMS untuk mengenkripsi data di cloud. Hal ini mempermudah manajemen kunci. Sumber yang didukung:

• Kunci dari KMI on-premises Anda

• Kunci dari HSM yang dikelola pengguna di Alibaba Cloud Data Encryption Service

Kunci yang diimpor ke HSM terkelola di KMS tidak dapat diekspor. KMS menggunakan algoritma pertukaran kunci aman yang mencegah operator dan pihak ketiga mengakses plaintext kunci. Untuk detailnya, lihat Impor bahan kunci. Key Management Service (KMS) tidak membuat bahan kunci; dalam kasus ini, Anda harus mengimpor bahan kunci eksternal ke CMK. Topik ini menjelaskan cara mengimpor bahan kunci eksternal, serta Kontrol kunci.

Rotasi kunci otomatis

KMS mendukung rotasi otomatis untuk kunci enkripsi simetris. Tetapkan siklus rotasi kustom pada CMK, dan KMS akan secara otomatis menghasilkan versi kunci baru. Setiap CMK dapat menyimpan beberapa versi—versi terbaru (primary) digunakan untuk mengenkripsi data baru, sedangkan versi lama tetap tersedia untuk mendekripsi ciphertext yang sudah ada. Untuk detailnya, lihat Rotasi kunci otomatis di Key Management Service (KMS).

Keandalan, ketersediaan, dan skalabilitas tinggi

KMS adalah layanan terdistribusi yang sepenuhnya dikelola. Di setiap wilayah, KMS menjalankan infrastruktur komputasi kriptografi redundan multi-zona, menjaga latensi tetap rendah baik untuk layanan Alibaba Cloud maupun aplikasi kustom. Buat kunci di beberapa wilayah sesuai kebutuhan Anda—tanpa perlu perencanaan kapasitas atau penskalaan infrastruktur.

Keamanan dan kepatuhan

KMS dirancang dan diverifikasi untuk memenuhi persyaratan keamanan yang ketat. Semua akses hanya menggunakan TLS dengan paket sandi (cipher suites) yang aman. Layanan ini mematuhi standar keamanan seperti PCI DSS.

KMS menyediakan fasilitas kriptografi yang telah diverifikasi dan disertifikasi oleh lembaga pengatur. Layanan ini menawarkan HSM yang telah diuji dan disertifikasi oleh State Cryptography Administration (SCA) atau telah lulus validasi FIPS 140-2 Level 3. Untuk detailnya, lihat Kepatuhan dan Ikhtisar, yang memungkinkan akses mudah ke hardware security modules (HSMs) bersertifikasi yang disediakan oleh Alibaba Cloud.

Kunci dihosting di HSM, menambahkan lapisan perlindungan berbasis perangkat keras.

Biaya rendah

Dengan KMS, Anda membayar sesuai penggunaan—tanpa investasi perangkat keras di muka. Secara khusus, KMS menghilangkan:

• Biaya pembelian, pengoperasian, maintenance, perbaikan, dan penggantian perangkat keras HSM khusus

• Biaya rekayasa untuk membangun dan memelihara kluster perangkat kriptografi berdaya tinggi

• Beban pengembangan untuk mengintegrasikan sistem enkripsi data ke setiap layanan cloud

Kelola kunci Anda di KMS dan dapatkan enkripsi data yang terkontrol dan dapat diaudit di seluruh layanan Alibaba Cloud tanpa perlu membangunnya sendiri.