Key Management Service:Manage Dynamic ECS Secrets

Cara kerja

Saat Anda membuat rahasia ECS dinamis, KMS menggunakan peran terkait layanan untuk menyambungkan ke Instance ECS Anda. Pada setiap rotasi, KMS menghasilkan kredensial baru dan menerapkannya langsung ke instans tersebut, menggantikan password atau pasangan kunci sebelumnya. Aplikasi yang mengambil rahasia dari Secrets Manager selalu mendapatkan kredensial terkini yang valid.

Prasyarat

Sebelum memulai, pastikan Anda telah memenuhi persyaratan berikut:

• Instance ECS. Lihat Create an ECS instance.

• Akun Alibaba Cloud, atau Pengguna RAM atau Peran RAM dengan izin yang diperlukan. Jika Anda menggunakan Pengguna RAM atau Peran RAM, Anda harus menyambungkan kebijakan AliyunKMSSecretAdminAccess ke Pengguna RAM atau Peran RAM tersebut. Kebijakan ini memberikan izin untuk menggunakan Secrets Manager, melakukan kueri terhadap Instance ECS, dan membuat peran terkait layanan yang diperlukan untuk rahasia ECS dinamis. Lihat Grant permissions to a RAM user dan Grant permissions to a RAM role.

Create a dynamic ECS secret

1. Masuk ke KMS console.

2. Pada bilah navigasi atas, pilih Wilayah tempat Instance ECS Anda berada.

3. Pada panel navigasi kiri, klik Secret.

4. Klik Create Secret.

5. Pada kotak dialog Create Secret, konfigurasikan parameter berikut lalu klik Next.

   Parameter	Description
   Select Type	Pilih Managed ECS secret.
   Secret name	Masukkan nama untuk rahasia tersebut.
   Managed instance	Pilih Instance ECS yang akan dikelola.
   Managed User	Masukkan nama pengguna OS yang sudah ada pada instans tersebut, seperti root (Linux) atau Administrator (Windows).
   Initial secret value	Pilih Password atau Key pair lalu masukkan nilai awalnya. Jika nilainya tidak valid, kredensial yang valid akan dihasilkan setelah rotasi pertama.
   Secret Description	Masukkan deskripsi.

6. Pada kotak dialog Configuration rotation, konfigurasikan pengaturan rotasi lalu klik Next.

   • Untuk mengaktifkan rotasi otomatis, pilih Turn on automatic rotation dan atur Rotation Period.

   • Untuk menonaktifkan rotasi otomatis sementara, pilih Turn off automatic rotation. Rotasi manual tetap tersedia kapan saja.

7. Pada kotak dialog Review and confirm, tinjau konfigurasi lalu klik OK.

Rahasia tersebut muncul dalam daftar rahasia dengan Secret Type diatur ke Managed ECS secret.

Rotate a dynamic ECS secret

Jika kredensial terpapar, segera lakukan rotasi untuk mengganti nilai yang telah dikompromikan.

1. Pada daftar rahasia, klik nama rahasia ECS tersebut. Di halaman detail rahasia, klik Rotate Immediately di pojok kanan atas.

2. Pada kotak dialog Prompt, pilih cara menghasilkan kredensial baru:

   • Use Custom Secret aktif: Masukkan nilai rahasia baru tertentu.

   • Use Custom Secret nonaktif: KMS secara otomatis menghasilkan password acak sepanjang 32 karakter atau pasangan kunci publik–privat RSA-2048.

3. Klik Confirm rotation.

4. Pada pesan Rotation triggered, klik Close.

Delete a dynamic ECS secret

Untuk melindungi dari penghapusan tidak sengaja, KMS menyediakan jendela pemulihan selama 7 hingga 30 hari sebelum penghapusan permanen.

1. Pada daftar rahasia, temukan rahasia tersebut lalu pilih More > Plan Deletion Secret pada kolom Actions.

2. Pada kotak dialog Delete Secret, pilih metode penghapusan lalu klik OK.

   Method	Description
   Plan Deletion Secret	Atur parameter Delete In (7-30 days). Rahasia tersebut akan dihapus setelah jumlah hari yang ditentukan. Selama periode ini, Anda dapat memulihkan rahasia untuk membatalkan penghapusan.
   Delete Secret Immediately	Menghapus rahasia secara permanen.

Restore a dynamic ECS secret

Jika Anda telah menjadwalkan penghapusan rahasia ECS dinamis, pulihkan sebelum jendela pemulihan berakhir untuk membatalkan penghapusan. Setelah dipulihkan, rahasia tersebut berfungsi seperti biasa.

1. Pada daftar rahasia, temukan rahasia tersebut lalu pilih More > Restore Secret pada kolom Actions.

2. Pada pesan Restore Secret, klik OK.