全部产品
Search

搜索本产品

    Key Management Service:Istilah

    文档中心

    Key Management Service:Istilah

    更新时间:Jul 06, 2025

    Topik ini menjelaskan istilah-istilah yang digunakan dalam Key Management Service (KMS).

    IstilahDeskripsi
    Key ServiceKey Service sepenuhnya mengelola dan melindungi kunci Anda. Key Service mendukung enkripsi data dan tanda tangan digital dalam mode sederhana berdasarkan operasi API berbasis cloud-native.

    Untuk informasi lebih lanjut tentang Key Service, lihat Ikhtisar.

    kunci master pelanggan (CMK)CMK digunakan untuk mengenkripsi kunci data dan menghasilkan kunci data terbungkus (EDK). CMK juga dapat digunakan untuk mengenkripsi sejumlah kecil data. Anda dapat memanggil operasi CreateKey untuk membuat CMK.
    bahan kunciBahan kunci diperlukan saat Anda melakukan operasi kriptografi. Untuk memastikan bahwa Anda dapat melakukan operasi kriptografi berdasarkan bahan kunci, kami sarankan agar Anda menjaga kerahasiaan bahan kunci. Bahan kunci dapat dienkripsi menggunakan kunci privat algoritma kriptografi asimetris atau menggunakan algoritma kriptografi simetris.

    CMK adalah sumber daya dasar KMS. CMK terdiri dari ID kunci, metadata dasar, dan bahan kunci. Secara default, bahan kunci dihasilkan oleh KMS saat Anda membuat CMK. Dalam hal ini, nilai parameter Origin adalah Aliyun_KMS. Anda juga dapat menetapkan parameter Origin ke EXTERNAL saat membuat CMK. Dalam hal ini, KMS tidak menghasilkan bahan kunci, dan Anda harus mengimpor bahan kunci eksternal untuk CMK tersebut.

    Untuk informasi lebih lanjut tentang bahan kunci, lihat Impor bahan kunci.

    enkripsi amplopUntuk mengenkripsi data bisnis, Anda dapat memanggil operasi GenerateDataKey atau GenerateDataKeyWithoutPlaintext untuk menghasilkan kunci simetris dan menggunakan CMK tertentu untuk mengenkripsi kunci simetris tersebut. EDK dihasilkan. EDK tetap aman meskipun disimpan dan ditransfer melalui saluran komunikasi yang tidak aman. Jika Anda ingin menggunakan kunci simetris, Anda hanya perlu memanggil operasi Decrypt untuk mendekripsi EDK.

    Untuk informasi lebih lanjut tentang enkripsi amplop, lihat Gunakan enkripsi amplop untuk mengenkripsi dan mendekripsi data lokal.

    kunci dataKunci data adalah kunci teks biasa yang digunakan untuk mengenkripsi data.

    Anda dapat memanggil operasi GenerateDataKey untuk menghasilkan kunci data, menggunakan CMK tertentu untuk mengenkripsi kunci data, dan kemudian memperoleh teks biasa dan teks sandi dari kunci data tersebut.

    kunci data terbungkus atau kunci data terenkripsiEDK adalah kunci data teks sandi yang dihasilkan menggunakan enkripsi amplop.

    Jika Anda tidak memerlukan teks biasa dari kunci data, Anda dapat memanggil operasi GenerateDataKeyWithoutPlaintext untuk hanya memperoleh teks sandi dari kunci data.

    modul keamanan perangkat keras (HSM)HSM adalah perangkat keras yang melakukan operasi kriptografi dan secara aman menghasilkan serta menyimpan kunci. KMS menyediakan fitur Managed HSM. Fitur ini memenuhi persyaratan pengujian dan validasi dari lembaga regulasi. Fitur ini memastikan keamanan tinggi untuk kunci Anda yang dikelola di KMS.

    Untuk informasi lebih lanjut tentang HSM, lihat Ikhtisar.

    konteks enkripsiKonteks enkripsi mengacu pada enkapsulasi enkripsi terotentikasi dengan data terkait (AEAD) di KMS. Untuk informasi lebih lanjut tentang AEAD, lihat Antarmuka dan Algoritma untuk Enkripsi Terotentikasi. KMS menggunakan konteks enkripsi yang diimpor sebagai data terotentikasi tambahan (AAD) untuk mendukung operasi kriptografi di mana algoritma enkripsi simetris digunakan. Konteks enkripsi membantu meningkatkan integritas dan keaslian data yang ingin Anda enkripsi.

    Untuk informasi lebih lanjut tentang konteks enkripsi, lihat EncryptionContext.

    Secrets ManagerSecrets Manager memungkinkan Anda mengelola rahasia Anda selama siklus hidupnya dan memungkinkan aplikasi menggunakan rahasia secara aman dan efisien. Ini mencegah kebocoran data sensitif yang disebabkan oleh rahasia yang dikodekan secara hardcoded.

    Untuk informasi lebih lanjut tentang Secrets Manager, lihat Ikhtisar.

    titik akses aplikasiTitik akses aplikasi (AAP) adalah metode yang awalnya digunakan oleh KMS untuk mengotentikasi identitas pengguna yang mengakses sumber daya KMS.

    Untuk informasi lebih lanjut, lihat Kelola AAP.

    Certificates ManagerCertificates Manager menyediakan kemampuan yang sangat tersedia dan aman untuk mengelola kunci dan sertifikat. Certificates Manager juga memungkinkan Anda memperoleh sertifikat untuk menghasilkan dan memverifikasi tanda tangan.

    Untuk informasi lebih lanjut tentang Certificates Manager, lihat Ikhtisar.

    Dedicated KMSDedicated KMS adalah layanan manajemen kunci yang dapat Anda kelola sepenuhnya. Misalnya, Anda dapat menentukan virtual private cloud (VPC) tempat Dedicated KMS diterapkan dan mengonfigurasi kolam sumber daya kriptografi yang digunakan oleh Dedicated KMS. Anda juga dapat menentukan kebijakan kontrol akses berbasis peran (RBAC) untuk mengizinkan akses dari aplikasi.

    Untuk informasi lebih lanjut tentang Dedicated KMS, lihat Ikhtisar.

    RahasiaRahasia adalah informasi sensitif yang digunakan untuk mengotentikasi aplikasi. Rahasia mencakup nama pengguna dan kata sandi yang digunakan untuk mengakses database, kunci SSH, alamat sensitif, dan pasangan AccessKey.