Cara Cepat Menggunakan Instans Dedicated KMS Edisi Standar - Key Management Service

Dedicated KMS Edisi Standar menggunakan modul keamanan perangkat keras (HSM) untuk menerapkan isolasi sumber daya dan isolasi kriptografi bagi data bisnis Anda. Kluster HSM merupakan kolam sumber daya kriptografi yang spesifik untuk penyewa. Topik ini memandu Anda melalui tiga langkah berurutan: aktifkan instans Dedicated KMS dengan mengaitkannya ke kluster HSM, buat customer master key (CMK) di dalam instans tersebut, lalu buat application access point (AAP) agar aplikasi Anda dapat melakukan autentikasi dan memanggil instans tersebut.

Ikhtisar proses:

Di Data Encryption Service: Buat dan aktifkan kluster HSM dengan pengguna kripto bernama kmsuser.
Di Konsol KMS: Aktifkan instans Dedicated KMS dengan mengaitkannya ke kluster HSM (Langkah 1).
Di Konsol KMS: Buat CMK di dalam instans tersebut (Langkah 2).
Di Konsol KMS: Buat AAP dan unduh sertifikat CA agar aplikasi Anda dapat terhubung (Langkah 3).

Operasi data plane — termasuk pembuatan CMK dan pemanggilan API kriptografi — dinonaktifkan hingga Anda menyelesaikan Langkah 1. Pastikan kluster HSM Anda telah sepenuhnya diaktifkan sebelum memulai.

Prasyarat

Sebelum memulai, pastikan Anda telah memiliki:

Instans Dedicated KMS edisi Standard. Lihat Membeli instans Dedicated KMS.
Instans Dedicated KMS Edisi Standar harus dikaitkan dengan kluster HSM di Data Encryption Service dalam Akun Alibaba Cloud yang sama. Kluster HSM harus memiliki konfigurasi berikut. Untuk informasi lebih lanjut, lihat Menggunakan Kluster HSM GVSM (NIST FIPS).
- Anda telah membuat kluster HSM dan menambahkan instans HSM ke kluster tersebut.
- Anda telah menginisialisasi dan mengaktifkan kluster HSM. Kluster HSM harus berisi dua atau lebih instans HSM di zona yang berbeda. Status kluster saat ini adalah Activated. ClusterOwnerCertificate yang Anda atur selama inisialisasi berfungsi sebagai sertifikat domain keamanan agar KMS dapat mengakses kluster HSM.
- Anda telah membuat pengguna kripto bernama kmsuser dan menetapkan token keamanan untuk kmsuser. KMS menggunakan identitas pengguna ini untuk mengakses kluster HSM guna pembuatan kunci dan operasi kriptografi.
Kluster HSM yang dikonfigurasi di Data Encryption Service dalam Akun Alibaba Cloud yang sama, dengan semua kondisi berikut terpenuhi. Lihat Memulai Data Encryption Service.
- Kluster HSM dibuat dengan HSM ditambahkan ke dalamnya.
- Kluster diinisialisasi dan diaktifkan, berisi dua atau lebih HSM di zona berbeda, dan statusnya adalah Activated.
- File ClusterOwnerCertificate yang digunakan selama inisialisasi kluster tersedia. Dedicated KMS menggunakan file ini sebagai sertifikat domain keamanan untuk mengakses kluster HSM.
- Pengguna kripto bernama kmsuser telah dibuat dengan kata sandi yang ditetapkan. Dedicated KMS menggunakan kmsuser untuk mengakses kluster, membuat kunci, dan melakukan operasi kriptografi.

Langkah 1: Aktifkan Instans Dedicated KMS Edisi Standar

Login ke Konsol Key Management Service.
Pada halaman Dedicated KMS, temukan instans Dedicated KMS Edisi Standar yang dituju. Di kolom Actions, klik Enable.
Di kotak dialog Connect HSM, tentukan kluster HSM.
Catatan
Kluster HSM hanya dapat dikaitkan dengan satu instans Dedicated KMS Edisi Standar.
Konfigurasikan kredensial akses.
- Username: Username kripto (tetap sebagai kmsuser).
- Password: Kata sandi ini mengaktifkan akses pengguna terenkripsi. Anda menetapkan kata sandi ini saat membuat pengguna terenkripsi.
- Sertifikat domain keamanan: Sertifikat CA dalam format PEM. Anda dapat mengunduh ClusterOwnerCertificate dari halaman details kluster di Konsol Cloud HSM.
Klik Connect HSM.
Tunggu beberapa menit, lalu refresh halaman. Instans Dedicated KMS Edisi Standar diaktifkan ketika statusnya berubah menjadi Enabled.

Langkah 3: Hubungkan Aplikasi ke Instans Dedicated KMS Edisi Standar

Anda dapat membuat application access point (AAP) untuk mengontrol akses aplikasi ke instans Dedicated KMS Edisi Standar.
1. Pada halaman Dedicated KMS, temukan instans Dedicated KMS Edisi Standar yang dituju. Di kolom Actions, klik Details.
2. Di area Application Access Guide, klik Quick Create Application Access Point.
3. Di panel Quick Configure Application Identity Credentials and Permissions, atur informasi application access point, lalu klik Create.
  1. Masukkan Application Access Point Name.
  2. Atur Access Control Policy.
    - Allowed Resources: Secara default, Key/* dimasukkan, yang berarti semua kunci dari instans Dedicated KMS saat ini dapat diakses.
    - Allowed Network Sources: Jenis jaringan dan alamat IP yang diizinkan. Anda dapat mengatur Alamat IP pribadi atau Blok CIDR pribadi. Pisahkan beberapa alamat IP dengan koma (,).
4. Di kotak dialog Application Identity Credentials, peroleh Credential Security Token dan Application Identity Credential Content (Client Key).
  - Credential Security Token: Klik Copy Security Token untuk memperoleh token keamanan kredensial.
  - Application Identity Credential Content: Klik Download Application Identity Credential untuk menyimpan informasi kredensial identitas aplikasi.
    Informasi kredensial identitas aplikasi mencakup ID kredensial (KeyId) dan konten kredensial (PrivateKeyData). Konten kredensial dienkripsi Base64 dalam format PKCS12. Contoh:
```
{
  "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
  "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
}
```
    Catatan
    KMS tidak menyimpan token keamanan kredensial dan konten kredensial identitas aplikasi Client Key. Anda hanya dapat memperoleh informasi ini saat membuat Client Key. Simpan dengan aman.
5. Klik Close.
Anda dapat memperoleh sertifikat CA untuk mengautentikasi instans Dedicated KMS Edisi Standar.
Di area Application Access Guide, klik Download di bawah Obtain Instance CA Certificate untuk mengunduh file sertifikat CA dalam format .pem.

Langkah 2: Buat Kunci untuk Instans Dedicated KMS Edisi Standar

Pada halaman Dedicated KMS, temukan instans Dedicated KMS Edisi Standar yang dituju. Klik Manage di kolom Actions.

Di area Customer Master Key, klik Create Key. Di kotak dialog Create Key, atur parameter berikut.

Item Konfigurasi	Deskripsi
Jenis Kunci	Nilai yang valid: Jenis kunci simetris: Aliyun_AES_256 Aliyun_AES_128 Aliyun_AES_192 Jenis kunci asimetris: RSA_2048 RSA_3072 RSA_4096 EC_P256 EC_P256K HMAC_SHA256 HMAC_SHA512
Penggunaan Kunci	Nilai yang valid: Encrypt/Decrypt: Enkripsi dan dekripsi data. Sign/Verify: Membuat dan memverifikasi tanda tangan digital.
Alias	Identifier untuk customer master key. Mendukung huruf Inggris, angka, garis bawah (_), tanda hubung (-), dan garis miring (/).
Deskripsi	Deskripsi kunci.
Opsi Lanjutan	Asal Bahan Kunci Alibaba Cloud KMS: Bahan kunci dihasilkan oleh Dedicated KMS. Eksternal: KMS tidak akan menghasilkan bahan kunci, dan Anda perlu mengimpor bahan kunci Anda sendiri ke KMS. Untuk informasi lebih lanjut, lihat Mengimpor bahan kunci simetris. Catatan Baca dan centang dengan cermat I understand the method and implications of using external key material. Penggunaan Kunci Tambahan: Jika jenis kunci adalah kunci asimetris, Anda dapat mengatur penggunaan kunci tambahan agar kunci memiliki beberapa penggunaan.

Klik OK.

Langkah 1: Aktifkan instans Dedicated KMS edisi Standard

Langkah ini mengaitkan instans ke kluster HSM Anda. Hingga Anda menyelesaikannya, Anda tidak dapat membuat CMK atau memanggil API kriptografi.

Login ke Konsol KMS.
Pada halaman Dedicated KMS, temukan instans Dedicated KMS edisi Standard dan klik Enable di kolom Actions.
Di kotak dialog Connect to HSM, tentukan kluster HSM.
Kluster HSM hanya dapat dikaitkan dengan satu instans Dedicated KMS edisi Standard.

Konfigurasikan kredensial akses:

Field	Value
Username	Username pengguna kripto. Nilainya tetap sebagai `kmsuser`.
Password	Kata sandi yang ditetapkan saat `kmsuser` dibuat.
Security domain certificate	Sertifikat CA dalam format PEM. Unduh file ClusterOwnerCertificate dari halaman Cluster Details di Konsol Data Encryption Service.

Klik Connect to HSM.

Refresh halaman setelah beberapa menit. Ketika status instans berubah menjadi Enabled, instans Dedicated KMS siap digunakan.

Langkah 2: Buat CMK untuk instans Dedicated KMS edisi Standard

Pada halaman Dedicated KMS, temukan instans dan klik Manage di kolom Actions.
Pada tab User master key, klik Create Key.

Di kotak dialog Create Key, konfigurasikan parameter berikut:

Parameter	Deskripsi
Key Spec	Jenis CMK. Opsi simetris: `Aliyun_AES_256`, `Aliyun_AES_128`, `Aliyun_AES_192`. Opsi asimetris: `RSA_2048`, `RSA_3072`, `RSA_4096`, `EC_P256`, `EC_P256K`, `HMAC_SHA256`, `HMAC_SHA512`.
Purpose	Encrypt/Decrypt: mengenkripsi atau mendekripsi data. Sign/Verify: membuat atau memverifikasi tanda tangan digital.
Alias Name	Identifier untuk CMK. Karakter yang diizinkan: huruf, angka, garis bawah (`_`), tanda hubung (`-`), dan garis miring (`/`).
Description	Deskripsi CMK.
Key Material Source (di bawah Advanced)	Alibaba Cloud KMS: Dedicated KMS menghasilkan bahan kunci. External: impor bahan kunci dari sumber eksternal. Lihat Mengimpor bahan kunci simetris. Jika Anda memilih External, baca dan centang kotak konfirmasi sebelum melanjutkan.
Secondary Purpose (di bawah Advanced)	Tersedia hanya jika Key Spec diatur ke jenis CMK asimetris.

Klik OK.

Langkah 3: Hubungkan aplikasi ke instans Dedicated KMS edisi Standard

Langkah ini terdiri dari dua bagian: buat AAP yang mengontrol cara aplikasi melakukan autentikasi dan kunci mana yang dapat diaksesnya, lalu unduh sertifikat CA yang digunakan aplikasi Anda untuk memverifikasi instans.

Peringatan

Dedicated KMS hanya menghasilkan password AAP dan client key sekali saja. Salin password dan unduh client key segera setelah pembuatan — informasi tersebut tidak dapat diambil kembali nanti.

Buat application access point

Pada halaman Dedicated KMS, temukan instans dan klik Details di kolom Actions.
Di bagian Applications access Dedicated KMS, klik Create an application access point.

Di panel Configure Application Access Credential and Permissions, isi field berikut dan klik Create:

Field	Deskripsi
Name of Application Access Point	Nama untuk AAP.
Accessible Resources	Kunci yang dapat diakses oleh AAP. Nilai default `Key/*` memberikan akses ke semua kunci dalam instans.
Allowed IP Addresses	Jenis jaringan dan alamat IP yang diizinkan untuk mengakses instans Dedicated KMS. Anda dapat memasukkan Alamat IP pribadi atau Blok CIDR. Pisahkan beberapa nilai dengan koma (`,`).

Di kotak dialog Application Access Credential, salin dan simpan kedua kredensial: Client key adalah file JSON yang berisi field KeyId dan PrivateKeyData yang dienkripsi Base64 dalam format PKCS12:
- Password: klik Copy untuk menyimpan password.
- Credential (client key): klik Download untuk menyimpan file client key.
```
{
  "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
  "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
}
```
Klik Close.

Unduh sertifikat CA

Di bagian Applications access Dedicated KMS, klik Download di bawah Configure CA Certificate for Dedicated KMS Instance untuk mengunduh sertifikat CA dalam format PEM. Aplikasi Anda menggunakan sertifikat ini untuk memverifikasi identitas instans Dedicated KMS.

Langkah Berikutnya

Gunakan Dedicated KMS SDK untuk memanggil Operasi API Dedicated KMS. SDK tersedia untuk bahasa berikut: