Kelola AAP - Key Management Service

Setelah membuat titik akses aplikasi (AAP) untuk instance KMS Dedicated, Anda dapat melihat Dedicated KMS di bidang Scope kebijakan AAP. Anda juga dapat memperbarui AAP, menghapus AAP, atau menghapus kunci klien sesuai dengan kebutuhan bisnis Anda.

Buat AAP

Jika instance KMS Dedicated dalam status Enabled, Anda dapat membuat AAP dan kunci klien untuk instance tersebut. Dengan cara ini, aplikasi dapat mengakses instance KMS Dedicated. Kunci klien digunakan sebagai identitas kredensial aplikasi.

Masuk ke Konsol KMS.
Di bilah navigasi atas, pilih wilayah tempat instance KMS Dedicated Anda berada.
Di panel navigasi sisi kiri, klik Dedicated KMS.
Pada halaman Dedicated KMS, temukan instance KMS Dedicated yang ingin Anda buat AAP dan klik Details di kolom Actions.
Di bagian Applications access Dedicated KMS, klik Create an application access point.
Di panel Configure Application Access Credential and Permissions, konfigurasikan parameter-parameter berikut.
1. Masukkan nama di Name of Application Access Point.
2. Konfigurasikan parameter di bawah Access Control Policies.
  - Accessible Resources: Pertahankan nilai default Key/*. Nilai ini menentukan bahwa aplikasi dapat mengakses semua kunci dari instance Dedicated KMS.
  - Allowed IP Addresses: Masukkan jenis jaringan dan alamat IP yang diizinkan untuk mengakses instance KMS Dedicated. Anda dapat memasukkan alamat IP privat atau blok CIDR. Pisahkan beberapa alamat IP atau blok CIDR dengan koma (,).
3. Klik Create.
Di kotak dialog Application Access Credential, salin kata sandi dan kunci klien dari Password dan Credential.
- Password: Klik Copy untuk menyalin kata sandi.
- Credential: Klik Download untuk menyimpan kunci klien.
  Kunci klien terdiri dari keyID dan PrivateKeyData. Contoh:
```
{
  "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
  "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
}
```
  Catatan Dedicated KMS tidak menyimpan PrivateKeyData dari kunci klien. Anda hanya dapat memperoleh file PKCS 12 terenkripsi yang ditunjukkan oleh PrivateKeyData saat Anda membuat kunci klien. Anda harus menjaga kerahasiaan file tersebut.
Klik Close.
Setelah AAP dibuat, Anda dapat mengklik Applications di panel navigasi sisi kiri untuk melihat informasi tentang AAP. Informasi tersebut mencakup metode autentikasi, kebijakan izin, aturan akses jaringan, dan kunci klien.
Di bagian Applications access Dedicated KMS, klik Download di bawah Configure CA Certificate for Dedicated KMS Instance untuk mengunduh file sertifikat otoritas sertifikat (CA) dalam format PEM.

Perbarui AAP

Untuk mengubah izin pada instance KMS Dedicated untuk sebuah AAP, Anda dapat memperbarui kebijakan AAP. Dengan cara ini, aplikasi yang berbeda dapat mengakses instance yang diperlukan.

Masuk ke Konsol KMS.
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat AAP.
Di panel navigasi sisi kiri, klik Applications.
Klik nama AAP. Pada halaman yang muncul, klik Update di pojok kanan atas.

Di kotak dialog Update Application Access Point, perbarui kebijakan.

Klik ikon di sebelah kanan Policies.

Di kotak dialog RBAC Policy, konfigurasikan parameter berikut dan klik Create.

Parameter	Deskripsi
Policy Name	Nama kebijakan.
Scope	Cakupan kebijakan. Pilih ID layanan instance KMS Dedicated.
RBAC Permissions	Template manajemen izin. Template ini menentukan operasi yang dapat dilakukan pada sumber daya tertentu. Pilih CryptoServiceKeyUser.
Accessible Resources	Sumber daya tempat kebijakan berlaku. Anda dapat menggunakan salah satu metode berikut untuk mengonfigurasi sumber daya: Metode 1: Di bagian Key: Resources, pilih sumber daya yang ada dan klik ikon . Metode 2: Di bagian Key: Selected Resources, klik ikon . Di kotak dialog yang muncul, tentukan sumber daya dan klik Add. Catatan Anda dapat menggunakan karakter wildcard asterisk (*) sebagai akhiran.
Network Access Rules	Tipe jaringan dan alamat IP yang diizinkan untuk mengakses instance. Di bagian Rules, pilih aturan yang ada atau lakukan langkah-langkah berikut untuk membuat aturan: Klik ikon . Di kotak dialog Create Network Access Rule, konfigurasikan parameter berikut: Name: Masukkan nama aturan akses jaringan. Network Type: Pilih tipe jaringan yang diizinkan untuk mengakses instance. Jika aplikasi Anda mengakses instance melalui virtual private cloud (VPC), pilih Private. Description: Masukkan deskripsi tentang aturan akses jaringan. Allowed Private IP Address: Masukkan alamat IP yang diizinkan untuk mengakses instance. Anda dapat memasukkan alamat IP privat atau blok CIDR. Anda harus memisahkan beberapa alamat IP atau blok CIDR dengan koma (,). Klik Create. Pilih aturan baru dan klik ikon .

Pilih kebijakan baru dan klik ikon .

Masukkan deskripsi dan klik Update.

Hapus AAP

Setelah AAP dihapus, semua kunci klien yang terikat ke AAP juga akan dihapus.

Peringatan Sebelum menghapus AAP, pastikan bahwa AAP tersebut sudah tidak digunakan lagi. Jika Anda menghapus AAP yang sedang digunakan, layanan Anda mungkin menjadi tidak tersedia.

Masuk ke Konsol KMS.
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat AAP.
Di panel navigasi sisi kiri, klik Applications.
Temukan AAP yang ingin Anda hapus dan klik Delete di kolom Actions.
Di pesan Delete Application Access Point, klik OK.

Hapus kunci klien

Kunci klien digunakan untuk mengotentikasi aplikasi. Saat Anda membuat kunci klien, Anda harus menyimpan file PKCS 12 dari kunci klien. Jika file PKCS 12 hilang, Anda harus menghapus kunci klien dan membuat kunci klien lainnya.

Peringatan Sebelum menghapus kunci klien, pastikan bahwa kunci klien tersebut sudah tidak digunakan lagi. Jika Anda menghapus kunci klien yang sedang digunakan, layanan Anda mungkin menjadi tidak tersedia.

Masuk ke Konsol KMS.
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat AAP.
Di panel navigasi sisi kiri, klik Applications.
Klik nama AAP.
Di bagian Client Key, temukan kunci klien dan klik Delete di kolom Actions.
Di pesan Delete Client Key, klik OK.