全部产品
Search

搜索本产品

    Key Management Service:Kelola rahasia dinamis ApsaraDB RDS

    文档中心

    Key Management Service:Kelola rahasia dinamis ApsaraDB RDS

    更新时间:Jul 06, 2025

    Anda dapat membuat rahasia dinamis ApsaraDB RDS yang diputar secara otomatis dan berkala, mengurangi risiko kebocoran rahasia. Topik ini menjelaskan cara membuat, menghapus, dan memulihkan rahasia dinamis ApsaraDB RDS di Konsol Key Management Service (KMS).

    Prasyarat

    • Instansi ApsaraDB RDS telah dibuat. Untuk informasi lebih lanjut, lihat Cepat Buat Instansi ApsaraDB RDS for MySQL.

    • Jika Anda menggunakan pengguna RAM atau peran RAM untuk mengelola rahasia, lampirkan kebijakan sistem AliyunKMSSecretAdminAccess ke pengguna RAM atau peran RAM. Kebijakan ini memberikan izin berikut:

      • Izin untuk menggunakan fitur Secrets Manager.

      • Izin untuk menanyakan instansi ApsaraDB RDS dan mengelola akun.

      • Izin untuk membuat peran terkait layanan yang dapat membuat rahasia terkelola ApsaraDB RDS.

    Buat rahasia dinamis ApsaraDB RDS

    1. Masuk ke Konsol KMS.

    2. Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat rahasia.

    3. Di panel navigasi sisi kiri, klik Secret.

    4. Klik Create Secret.

    5. Di kotak dialog Create Secret, konfigurasikan parameter berikut dan klik Next:

      • Select Type: Pilih Managed Credential for RDS.

      • Secret name: Tentukan nama rahasia.

      • Select RDS Instance: Pilih instansi ApsaraDB RDS yang ada di akun Alibaba Cloud Anda.

      • Set Secret Value: Pilih mode pengelolaan rahasia dan konfigurasikan nilai rahasia.

        • Manage Dual Account: Mode ini berlaku untuk skenario di mana rahasia digunakan oleh aplikasi untuk mengakses instansi ApsaraDB RDS. Kami menyarankan Anda memilih mode ini. Dalam mode ini, KMS mengelola dua akun dengan izin identik, memastikan bahwa koneksi antara aplikasi dan instansi ApsaraDB RDS tidak terputus saat rahasia diputar ulang.

          • Klik tab One-click creation and authorization, tentukan awalan nama akun, pilih database, lalu tentukan izin.

            Catatan

            KMS tidak langsung membuat akun. KMS akan membuat akun setelah Anda meninjau dan mengonfirmasi informasi rahasia.

          • Klik tab Import existing accounts, pilih akun, lalu tentukan kata sandi akun tersebut.

            Catatan

            Kami menyarankan Anda menggunakan kata sandi yang sama seperti yang Anda tentukan saat membuat instansi ApsaraDB RDS. Jika akun yang diimpor dan kata sandi yang ditentukan tidak cocok, Anda dapat memperoleh akun dan kata sandi yang valid setelah rahasia diputar ulang untuk pertama kalinya.

        • Manage Single Account: Mode ini berlaku untuk skenario di mana akun istimewa atau akun O&M manual dikelola. Dalam mode ini, versi rahasia saat ini mungkin sementara tidak tersedia saat rahasia diputar ulang.

          • Klik tab One-click creation and authorization, tentukan awalan nama akun dan pilih tipe akun.

            Anda dapat memilih Common Account atau High Authority Account sebagai tipe akun. Jika Anda memilih Common Account, Anda harus memilih database dan menentukan izin akun tersebut.

          • Klik tab Import existing accounts, pilih akun, lalu tentukan kata sandi akun tersebut.

      • Secret Description: Masukkan deskripsi rahasia.

    6. Di kotak dialog Configuration rotation, pilih Turn on automatic rotation, konfigurasikan parameter Rotation Period, lalu klik Next.

      Catatan

      Jika Anda tidak ingin rahasia ApsaraDB RDS diputar secara otomatis, pilih Turn off automatic rotation.

    7. Di kotak dialog Review and confirm, konfirmasikan konfigurasi rahasia dan klik OK.

    8. Di pesan Created successfully, klik Close.

    Hapus rahasia dinamis ApsaraDB RDS

    Sebelum menghapus rahasia dinamis ApsaraDB RDS, pastikan bahwa rahasia tersebut tidak lagi digunakan.

    Anda dapat menjadwalkan penghapusan rahasia dinamis ApsaraDB RDS atau langsung menghapusnya.

    1. Temukan rahasia dinamis ApsaraDB RDS yang ingin Anda hapus dan pilih More > Plan Deletion Secret di kolom Actions.

    2. Di kotak dialog Delete Secret, pilih metode untuk menghapus rahasia dan klik OK.

      • Jika Anda memilih Plan Deletion Secret, konfigurasikan parameter Delete In (7-30 days). Sistem akan menghapus rahasia tersebut setelah jumlah hari yang ditentukan.

        Sebelum sistem menghapus rahasia, Anda dapat memulihkan rahasia untuk membatalkan penghapusan. Untuk informasi lebih lanjut, lihat Pulihkan Rahasia Dinamis ApsaraDB RDS.

      • Jika Anda memilih Delete Secret Immediately, sistem akan segera menghapus rahasia tersebut.

    Pulihkan rahasia dinamis ApsaraDB RDS

    Jika Anda menjadwalkan penghapusan rahasia dinamis ApsaraDB RDS, Anda dapat memulihkan rahasia untuk membatalkan penghapusan sebelum sistem menghapusnya. Setelah pemulihan, rahasia tersebut dapat digunakan secara normal.

    1. Temukan rahasia dinamis ApsaraDB RDS yang ingin Anda pulihkan dan pilih More > Restore Secret di kolom Actions.

    2. Di pesan Restore Secret, klik OK.