Layanan kunci merupakan komponen inti Key Management Service (KMS) yang menyediakan kunci yang sepenuhnya dikelola serta fitur perlindungan kunci, dilengkapi operasi API cloud-native untuk enkripsi data dan manajemen tanda tangan digital.
Apa yang dapat Anda lakukan dengan layanan kunci:
Mengelola siklus hidup kunci secara lengkap — Buat, rotasi, nonaktifkan, dan hapus CMK.
Lindungi kunci dengan perangkat keras khusus — Simpan bahan kunci secara eksklusif di HSM untuk memenuhi persyaratan kepatuhan GM/T dan FIPS 140-2 Level 3.
Impor kunci Anda sendiri — Bawa kunci dari sumber offline, cloud lain, atau Alibaba Cloud Data Encryption Service.
Enkripsi data tanpa menulis kode kriptografi — Integrasikan KMS dengan layanan Alibaba Cloud melalui konfigurasi, atau gunakan KMS SDK dan Encryption SDK dalam aplikasi Anda.
Tanda tangan dan verifikasi data — Gunakan CMK asimetris untuk operasi tanda tangan digital.
Hosting dan perlindungan kunci
| Fitur | Deskripsi | Topik terkait |
|---|---|---|
| Manage siklus hidup kunci | Buat, nonaktifkan, dan jadwalkan penghapusan CMK. | Buat CMK, Nonaktifkan CMK, Jadwalkan tugas penghapusan kunci |
| Rotasi kunci | Rotasi kunci secara manual atau berdasarkan jadwal untuk membatasi paparan versi kunci tertentu. | Ikhtisar rotasi kunci, Rotasi kunci Otomatis |
| Gunakan alias dan operasi API | Tetapkan alias untuk CMK agar dapat dirujuk berdasarkan nama, bukan ID. Manage kunci secara terprogram melalui operasi API KMS. | Ikhtisar alias, Operasi API layanan kunci |
| Lindungi kunci dengan HSM | Tetapkan tingkat perlindungan CMK ke hardware security module (HSM) agar bahan kunci disimpan secara eksklusif di dalam perangkat keras khusus. Saat perlindungan HSM diaktifkan, tidak ada pihak yang dapat mengakses atau mengekspor teks biasa dari bahan kunci tersebut. Kunci yang dilindungi HSM memenuhi persyaratan kepatuhan GM/T dan FIPS 140-2 Level 3. | Ikhtisar HSM, Gunakan HSM terkelola |
| Bring your own key (BYOK) | Impor kunci Anda sendiri ke KMS untuk memenuhi persyaratan keamanan atau kepatuhan tertentu. Sumber kunci yang didukung mencakup kunci yang dikelola secara offline, kunci yang di-host di cloud lain, dan kunci dari Alibaba Cloud Data Encryption Service. | Impor bahan kunci, Kontrol kunci |
Enkripsi data
KMS menyediakan operasi API kriptografi cloud-native yang lebih mudah digunakan dibandingkan modul kriptografi tradisional atau pustaka perangkat lunak. Berbagai SDK tersedia untuk mempercepat pengembangan. Untuk ikhtisar alat yang tersedia, lihat Ikhtisar alat pengembangan.
| Pendekatan | Deskripsi | Topik terkait |
|---|---|---|
| Enkripsi data di layanan Alibaba Cloud — tanpa perlu menulis kode | KMS terintegrasi dengan berbagai layanan Alibaba Cloud. Dengan beberapa langkah konfigurasi, KMS secara otomatis mengenkripsi data Anda di layanan-layanan tersebut. | Integrasi dengan KMS, Layanan Alibaba Cloud yang terintegrasi dengan KMS |
| Enkripsi data menggunakan KMS SDK | KMS SDK membungkus operasi API KMS. Gunakan contoh kode untuk memanggil operasi Encrypt secara langsung dalam aplikasi Anda. | Contoh kode untuk enkripsi data |
| Enkripsi data menggunakan Encryption SDK | Encryption SDK adalah pustaka enkripsi sisi klien yang dibangun di atas operasi API KMS. Pustaka ini mendukung enkripsi amplop, yang memungkinkan Anda mengenkripsi volume data besar secara efisien tanpa mengirim data langsung ke KMS. | Panduan cepat Encryption SDK untuk Java, Gunakan enkripsi amplop untuk mengenkripsi dan mendekripsi data lokal |
Algoritma yang didukung
KMS mendukung algoritma simetris dan asimetris berikut.
| Kelas algoritma | Algoritma | Enkripsi dan dekripsi | Generasi dan verifikasi signature |
|---|---|---|---|
| Simetris | AES | Didukung | Tidak didukung |
| Simetris | SM4 ¹ | Didukung | Tidak didukung |
| Asimetris | RSA | Didukung | Didukung |
| Asimetris | ECC | Tidak didukung | Didukung |
| Asimetris | SM2 ¹ | Didukung | Didukung |
¹ Hanya HSM terkelola di Tiongkok daratan yang mendukung algoritma SM4 dan SM2. Untuk detailnya, lihat Wilayah yang didukung.
Kunci simetris
Kunci simetris digunakan untuk mengenkripsi dan mendekripsi data. Jika Anda tidak menentukan parameter KeySpec saat membuat kunci, KMS secara default akan membuat kunci simetris. Untuk informasi selengkapnya, lihat Ikhtisar kunci simetris.
Kunci asimetris
CMK asimetris terdiri dari kunci publik dan kunci privat. Kunci publik dapat didistribusikan secara bebas; kunci privat harus dijaga kerahasiaannya. KMS tidak menyediakan operasi API untuk mengekspor kunci privat—Anda hanya dapat memanggil operasi API untuk menggunakannya dalam pembuatan tanda tangan atau dekripsi. Untuk informasi selengkapnya, lihat Ikhtisar kunci asimetris.