Layanan kunci merupakan komponen inti dari Key Management Service (KMS). Layanan ini menyediakan kunci yang dikelola sepenuhnya serta fitur perlindungan kunci. Layanan kunci mendukung enkripsi data sederhana dan manajemen tanda tangan digital melalui operasi API berbasis cloud-native.
Penyimpanan dan perlindungan kunci
Fitur | Deskripsi | Topik terkait |
Menyimpan dan mengelola kunci | Kunci enkripsi yang dikelola oleh KMS disebut customer master key (CMK). Anda dapat mengelola siklus hidup CMK. | |
Anda dapat memutar kunci. | ||
Anda dapat menetapkan alias untuk kunci agar mudah digunakan. Anda juga dapat mengelola kunci dengan memanggil operasi API. | ||
Melindungi kunci dan memenuhi persyaratan kepatuhan | Saat menggunakan kunci, Anda harus memenuhi persyaratan keamanan dan kepatuhan. Kami merekomendasikan untuk menetapkan tingkat perlindungan CMK Anda ke modul keamanan perangkat keras (HSM) untuk melindungi CMK dengan menggunakan perangkat keras khusus. Ini juga memungkinkan kunci memenuhi persyaratan kepatuhan GM/T atau FIPS 140-2 Level 3. Setelah tingkat perlindungan CMK diatur ke HSM, teks bias dari materi kunci hanya disimpan di dalam HSM. Tidak ada yang dapat mengakses teks bias dari materi kunci. Teks bias dari materi kunci tidak dapat diekspor dari HSM. | |
Gunakan Bring Your Own Key (BYOK) | Anda dapat mengimpor kunci Anda sendiri ke KMS dengan menggunakan fitur BYOK untuk memenuhi persyaratan keamanan tertentu. Kunci Anda sendiri mencakup kunci yang dikelola secara offline, kunci yang dihosting di cloud lain, dan kunci yang digunakan dalam Alibaba Cloud Data Encryption Service. |
Enkripsi data
KMS menyediakan operasi API kriptografi berbasis cloud-native yang lebih sederhana dibandingkan modul kriptografi tradisional atau pustaka perangkat lunak kriptografi. Selain itu, KMS menawarkan beberapa SDK untuk mempercepat pengembangan. Untuk informasi lebih lanjut tentang cara menggunakan SDK dalam pengembangan kode, lihat Ikhtisar Alat Pengembangan.
Fitur | Deskripsi | Topik Terkait |
Enkripsi Data untuk Layanan Alibaba Cloud dengan Beberapa Klik | KMS terintegrasi dengan berbagai layanan Alibaba Cloud dan menyediakan fitur enkripsi berbasis cloud-native. Anda hanya perlu melakukan konfigurasi sederhana agar KMS dapat secara otomatis mengenkripsi data di layanan Alibaba Cloud lainnya. | |
Enkripsi Data untuk Layanan Alibaba Cloud Menggunakan Kode | SDK KMS SDK KMS merangkum operasi API KMS. Anda dapat melihat contoh kode untuk mempelajari cara memanggil operasi Encrypt KMS dalam kode Anda guna mengenkripsi data. | |
Encryption SDK Encryption SDK adalah pustaka enkripsi sisi klien berdasarkan operasi API KMS. Anda dapat melihat panduan cepat Encryption SDK untuk mempelajari cara memanggil Encryption SDK dalam kode Anda guna menggunakan fitur enkripsi amplop. |
Deskripsi algoritma enkripsi yang didukung oleh KMS
Tabel berikut menjelaskan algoritma enkripsi yang didukung oleh KMS.
Kelas algoritma | Subkelas algoritma | Enkripsi dan dekripsi | Pembuatan tanda tangan dan verifikasi |
Algoritma kunci simetris | AES | Didukung | Tidak didukung |
Algoritma kunci simetris | SM4 Catatan | Didukung | Tidak didukung |
Algoritma kunci asimetris | RSA | Didukung | Didukung |
Algoritma kunci asimetris | ECC | Tidak didukung | Didukung |
Algoritma kunci asimetris | SM2 Catatan | Didukung | Didukung |
Hanya managed HSM di daratan Tiongkok yang mendukung algoritma SM4 dan SM2. Untuk informasi lebih lanjut, lihat Wilayah yang Didukung.
Kunci simetris digunakan untuk mengenkripsi atau mendekripsi data. Jika Anda tidak menentukan parameter KeySpec selama pembuatan kunci, KMS akan membuat kunci simetris. Untuk informasi lebih lanjut, lihat Ikhtisar.
Kunci asimetris dapat digunakan untuk mengenkripsi data, mendekripsi data, menghasilkan tanda tangan, atau memverifikasi tanda tangan. CMK asimetris di KMS terdiri dari kunci publik dan kunci privat, yang secara kriptografis saling terkait. Kunci publik dapat dikirimkan kepada siapa saja, tetapi kunci privat harus tetap aman. KMS tidak menyediakan operasi API bagi Anda untuk mengekspor kunci privat dari pasangan kunci asimetris. Anda hanya dapat memanggil operasi API untuk menggunakan kunci privat guna menghasilkan tanda tangan atau mendekripsi data. Untuk informasi lebih lanjut, lihat Ikhtisar.