全部产品
Search

搜索本产品

    Key Management Service:Integrasi dengan KMS

    文档中心

    Key Management Service:Integrasi dengan KMS

    更新时间:Jul 02, 2025

    Alibaba Cloud dapat mengenkripsi data Anda yang disimpan di layanan Alibaba Cloud menggunakan kunci dari Key Management Service (KMS). Alibaba Cloud mendukung algoritma Advanced Encryption Standard (AES) 256-bit untuk enkripsi, memenuhi persyaratan enkripsi untuk data sensitif.

    Integrasi layanan Alibaba Cloud dengan KMS memberikan manfaat berikut:
    • Peningkatan keamanan dan perlindungan privasi untuk data yang disimpan di layanan Alibaba Cloud

      Layanan Alibaba Cloud dapat menggunakan kunci KMS untuk mengenkripsi data milik Anda, termasuk data yang dapat Anda akses secara langsung maupun data internal layanan Alibaba Cloud yang hanya dapat Anda akses secara tidak langsung, seperti file yang dihasilkan oleh mesin database. Hal ini memastikan keamanan dan privasi data Anda yang disimpan di layanan Alibaba Cloud.

    • Tidak perlu mengembangkan sistem enkripsi data sendiri
      Untuk mengembangkan sistem enkripsi data sendiri, Anda harus:
      • Merancang hierarki kunci dan mode distribusi data yang tepat untuk menyeimbangkan antara performa enkripsi dan keamanan.
      • Merancang mekanisme rotasi kunci dan re-enkripsi data.
      • Menguasai teknologi kriptografi untuk memastikan bahwa algoritma enkripsi Anda kuat, aman, dan proteksi anti-pemalsuan.
      • Meningkatkan ketahanan dan keandalan teknis sistem Anda untuk memastikan persistensi data.
      Integrasi layanan Alibaba Cloud dengan KMS menyelesaikan semua masalah teknis dan keamanan yang kompleks ini untuk Anda serta mengurangi biaya R&D.

    Pilih kunci yang sesuai

    Anda dapat memilih berbagai jenis kunci yang disimpan di KMS untuk enkripsi sesuai dengan kebutuhan perlindungan data Anda.

    • Kunci yang Dikelola Layanan

      Setiap layanan Alibaba Cloud dapat membuat kunci default, juga dikenal sebagai kunci layanan, untuk Anda di KMS. Anda tidak perlu mengelola kunci layanan ini karena dikelola oleh layanan Alibaba Cloud. Selain itu, Anda tidak perlu secara eksplisit memberi otorisasi kepada layanan Alibaba Cloud untuk menggunakan kunci layanan ini. Dengan menggunakan ActionTrail, Anda dapat mengaudit penggunaan kunci layanan oleh layanan Alibaba Cloud.

      Untuk memudahkan identifikasi kunci layanan, KMS menetapkan atribut Creator dari kunci layanan ke kode layanan Alibaba Cloud dan mengaitkan kunci layanan dengan alias khusus dalam format acs/<kode layanan Alibaba Cloud>. Sebagai contoh, atribut Creator dari kunci layanan yang dibuat oleh Object Storage Service (OSS) diatur ke OSS, dan kunci layanan dikaitkan dengan alias acs/oss.

    • Kunci yang Dikelola Pengguna

      Anda dapat menggunakan kunci yang Anda buat sendiri untuk mengenkripsi data yang disimpan di layanan Alibaba Cloud, memberi Anda lebih banyak kontrol atas cara data dienkripsi. Anda harus secara eksplisit memberi otorisasi layanan Alibaba Cloud untuk menggunakan kunci Anda melalui Resource Access Management (RAM). Dengan mengonfigurasi kebijakan izin dan memberikan kebijakan tersebut ke layanan Alibaba Cloud di RAM, Anda dapat mengizinkan atau menolak layanan Alibaba Cloud untuk menggunakan customer master key (CMK) tertentu yang disimpan di KMS. Saat layanan Alibaba Cloud meminta CMK dari KMS, KMS memeriksa izin layanan Alibaba Cloud melalui RAM.

      Selain kunci yang dihasilkan oleh KMS, Anda dapat mengimpor bahan kunci offline secara aman ke CMK di KMS melalui fitur Bring Your Own Key (BYOK) dan menggunakan CMK ini sebagai kunci Anda. Dengan cara ini, Anda dapat memperoleh lebih banyak kontrol atas kunci. Misalnya, Anda tidak dapat segera menghapus bahan kunci yang dihasilkan oleh KMS, tetapi Anda dapat segera menghapus bahan kunci yang diimpor ke KMS. Berhati-hatilah saat menggunakan fitur BYOK karena fitur ini menimbulkan biaya manajemen tambahan. Untuk informasi lebih lanjut, lihat Informasi Latar Belakang.

    Enkripsi data di layanan Alibaba Cloud

    Desain enkripsi bervariasi tergantung pada layanan Alibaba Cloud, sesuai dengan bentuk bisnis dan kebutuhan pelanggan mereka. Secara umum, hierarki kunci yang terdiri dari setidaknya dua lapis digunakan, dan data bisnis dienkripsi menggunakan mekanisme enkripsi amplop.

    Lapis pertama adalah CMK di KMS, sedangkan lapis kedua adalah kunci data (DK). CMK digunakan untuk mengenkripsi dan mendekripsi DK, sementara DK digunakan untuk mengenkripsi dan mendekripsi data bisnis Anda. Saat menyimpan data bisnis Anda ke medium penyimpanan persisten, layanan Alibaba Cloud menulis ciphertext DK (di-enkripsi oleh KMS menggunakan CMK) dan ciphertext data bisnis (di-enkripsi oleh layanan Alibaba Cloud menggunakan DK) ke medium ini. Mekanisme ini dikenal sebagai enkripsi amplop. Ciphertext DK dan ciphertext data bisnis dikemas bersama dalam "amplop." Saat membaca data terenkripsi, layanan Alibaba Cloud membaca ciphertext DK dan ciphertext data bisnis. Layanan Alibaba Cloud harus mendekripsi ciphertext DK terlebih dahulu sebelum menggunakan DK yang telah didekripsi untuk mendekripsi ciphertext data bisnis.

    Dalam enkripsi amplop, CMK dilindungi oleh infrastruktur manajemen kunci KMS. Layanan Alibaba Cloud harus diberi otorisasi untuk menggunakan CMK guna menghasilkan DK untuk mengenkripsi data bisnis atau mendekripsi ciphertext DK untuk mendekripsi data bisnis. Plaintext DK tidak pernah meninggalkan memori host tempat instance layanan Alibaba Cloud berada, artinya DK tidak akan disimpan dalam plaintext di medium penyimpanan persisten apa pun.