Cara mengakses rahasia menggunakan AAP - Key Management Service

Anda dapat membuat titik akses aplikasi (AAP) untuk mengontrol cara aplikasi menggunakan rahasia.

Catatan

Topik ini hanya berlaku untuk pengguna versi lama Key Management Service (KMS). Jika Anda menggunakan KMS 3.0, lihat Referensi SDK.

Buat AAP

Masuk ke Konsol KMS.
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat AAP.
Di panel navigasi sisi kiri, klik Applications.
Klik Create Application Access Point.

Di dalam kotak dialog Create Application Access Point, konfigurasikan informasi dasar AAP.

Konfigurasikan Name dan Description.
Catatan
Nama AAP harus unik di wilayah yang dipilih dalam akun Alibaba Cloud Anda.

Di bagian Authentication Method, tentukan metode otentikasi.

Metode otentikasi

Deskripsi

Contoh

RAMRole

Jika Anda mengikat peran RAM ke lingkungan tempat aplikasi Anda berjalan, Anda dapat menggunakan metode otentikasi RAMRole. Aplikasi Anda dapat berjalan pada Instance ECS, dalam kluster Container Service for Kubernetes (ACK), atau di Function Compute. Dalam hal ini, Anda harus mengonfigurasi parameter berikut:

Trusted Role: KMS memverifikasi aturan kepercayaan delegasi dari peran RAM untuk mengotentikasi aplikasi Anda. Anda dapat mengonfigurasi parameter ini untuk menentukan jenis peran RAM. Kemudian, sistem secara otomatis mengonfigurasi aturan kepercayaan delegasi berdasarkan jenis peran RAM.
Nilai valid:
- ECS Instance Role: Jika aplikasi Anda diterapkan pada instance ECS, pilih nilai ini.
- ACK Worker Role: Jika aplikasi Anda diterapkan dalam kluster ACK, pilih nilai ini.
- Function Compute Role: Jika aplikasi Anda diterapkan di Function Compute, pilih nilai ini.
Role Name: Anda harus memasukkan nama peran RAM.

Trusted Role: ECS Instance Role
Role Name: ECSRole

Client Key

Anda dapat menggunakan metode otentikasi ClientKey dan mengikat kunci klien ke AAP. KMS menggunakan kunci klien untuk mengotentikasi aplikasi Anda.

Jika Anda menggunakan metode ini, Anda harus mengikat kunci klien ke AAP setelah Anda membuat AAP. Untuk informasi lebih lanjut, lihat Ikat kunci klien ke AAP.

Klik Next.

Konfigurasikan kebijakan izin.

Klik ikon di sebelah kanan Policies.

Dalam kotak dialog RBAC Policy, konfigurasikan parameter dan klik Create.

Parameter	Deskripsi	Contoh
Policy Name	Nama kebijakan izin.	RAMPolicy
Scope	Cakupan kebijakan izin. Nilai valid: Shared KMS: Kebijakan izin berlaku untuk KMS. ID instance KMS khusus: Kebijakan izin berlaku untuk instance KMS khusus yang ditentukan.	Shared KMS
RBAC Permissions	Template manajemen izin. Template tersebut menentukan operasi yang dapat dilakukan pada sumber daya tertentu. Nilai valid: SecretUser: melakukan operasi terkait rahasia pada KMS. Anda dapat memanggil operasi GetSecretValue. CryptoServiceKeyUser: melakukan operasi kriptografi pada instance KMS khusus.	SecretUser
Accessible Resources	Sumber daya tempat kebijakan izin berlaku. Anda dapat menggunakan salah satu metode berikut untuk mengonfigurasi sumber daya: Metode 1: Di bagian Resources, pilih sumber daya yang ada dan klik ikon . Metode 2: Di bagian Selected Resources, klik ikon , masukkan sumber daya, lalu klik Add. Catatan Anda dapat menggunakan karakter wildcard asterisk (*) sebagai akhiran.	secret/dataKey****
Network Access Rules	Tipe jaringan dan alamat IP yang dapat mengakses KMS berdasarkan kebijakan izin. Di bagian Available Rules, pilih aturan yang ada atau lakukan langkah-langkah berikut untuk membuat aturan. Klik ikon . Dalam kotak dialog Create Network Access Rule, konfigurasikan parameter berikut: Name: Tentukan nama aturan akses jaringan. Network Type: Pilih tipe jaringan yang ingin Anda gunakan untuk mengakses KMS. Nilai valid: Publik: Jika aplikasi Anda mengakses instance KMS menggunakan endpoint publik, pilih nilai ini. VPC: Jika aplikasi Anda mengakses instance KMS menggunakan alamat virtual private cloud (VPC), pilih nilai ini. Pribadi: Jika aplikasi Anda mengakses Dedicated KMS melalui VPC, pilih nilai ini. Description: Masukkan deskripsi untuk aturan akses jaringan. Alamat IP yang diizinkan: Masukkan alamat yang dapat mengakses KMS. Nilai valid: Jika Anda menetapkan Tipe Jaringan ke Publik, masukkan alamat IP publik. Jika Anda menetapkan Tipe Jaringan ke VPC, masukkan ID VPC dan alamat IP atau blok CIDR dari VPC. Jika Anda menetapkan Tipe Jaringan ke Pribadi, masukkan alamat IP pribadi atau blok CIDR. Catatan Pisahkan beberapa alamat IP dengan koma (,). Klik Create. Pilih aturan dan klik ikon .	Name: Jaringan Network Type: VPC Description: Akses VPC yang ditentukan VPC ID: vpc-bp1drih00fwsrgz2p** Allowed IP addresses**: 192.168.0.0/16

Pilih kebijakan izin dan klik ikon .
Klik Next.

Periksa informasi dan klik Create.

Ikat kunci klien ke AAP

Setelah membuat AAP berbasis kunci klien, Anda harus mengikat kunci klien ke AAP. Kunci klien digunakan untuk mengidentifikasi AAP.

Klik nama AAP.
Di bagian Client Key, klik Create Client Key.

Dalam kotak dialog Create Client Key, konfigurasikan parameter.

Parameter	Deskripsi	Contoh
Encryption Password	Kata sandi yang digunakan untuk mendekripsi file kunci privat kunci klien saat kunci klien digunakan untuk mengakses KMS. Simpan kata sandi tetap rahasia.	Test****
Validity Period	Masa berlaku kunci klien.	3 April 2022 hingga 4 Maret 2027

Klik OK.
Dalam kotak dialog Created, peroleh konten Password dan Client Key.
- Password: Klik Copy di sebelah kanan Decryption Password untuk memperoleh kata sandi.
- Client Key: Klik Download Client Key untuk memperoleh konten kunci klien.
  Kunci klien terdiri dari ID kunci (keyID) dan kunci privat (PrivateKeyData). Contoh:
```
{
  "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
  "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
}
```
  Catatan
  KMS tidak menyimpan kunci privat kunci klien. Kunci privat disimpan dalam file PKCS#12 terenkripsi. Anda hanya dapat memperoleh file tersebut saat membuat kunci klien. Simpan file tetap rahasia.