All Products
Search

This Product

    Key Management Service:Gunakan KMS untuk mengenkripsi Secrets kluster Kubernetes dengan satu klik

    Document Center

    Key Management Service:Gunakan KMS untuk mengenkripsi Secrets kluster Kubernetes dengan satu klik

    Last Updated:Apr 01, 2026

    Container Service for Kubernetes (ACK) memungkinkan Anda menggunakan customer master key (CMK) di Key Management Service (KMS) untuk mengenkripsi Secrets yang disimpan di etcd pada kluster Kubernetes managed profesional. Fitur ini melindungi data sensitif—seperti kata sandi, sertifikat, kredensial, dan access key—yang tersimpan di sekitar 50 Secrets bawaan kluster serta Secrets aplikasi yang Anda buat.

    Cara kerja

    ACK menggunakan mekanisme KMS provider Kubernetes untuk menerapkan enkripsi amplop. Enkripsi amplop menggunakan dua lapis kunci:

    • Data Encryption Key (DEK): Kunci unik yang dihasilkan untuk setiap Secret. DEK mengenkripsi data Secret sesungguhnya.

    • Key Encryption Key (KEK): CMK Anda di KMS. KEK mengenkripsi DEK.

    Alur Enkripsi

    Saat Anda menyimpan Secret Kubernetes melalui Kubernetes Secret API:

    1. API server menghasilkan DEK acak.

    2. DEK mengenkripsi data Secret.

    3. KMS mengenkripsi DEK menggunakan CMK Anda.

    4. Ciphertext DEK disimpan di etcd bersama Secret yang telah dienkripsi.

    Alur Dekripsi

    Saat Anda mengambil Secret:

    1. KMS mendekripsi ciphertext DEK menggunakan CMK Anda (melalui operasi Decrypt).

    2. DEK dalam bentuk teks biasa mendekripsi data Secret.

    3. Secret yang telah didekripsi dikembalikan.

    Prasyarat

    Sebelum memulai, pastikan Anda telah memiliki:

    • Akun Alibaba Cloud yang diberi peran AliyunCSManagedSecurityRole. Jika peran tersebut belum ditetapkan, Anda akan diminta untuk menetapkannya saat mengaktifkan enkripsi Secret.

    • Pengguna RAM yang diberikan izin AliyunKMSCryptoAdminAccess. Untuk detailnya, lihat Berikan izin kepada Pengguna RAM.

    • CMK bertipe Aliyun_AES_256 yang telah dibuat di konsol KMS. Untuk detailnya, lihat Buat CMK.

    Catatan Hanya CMK bertipe Aliyun_AES_256 yang didukung.

    Aktifkan enkripsi Secret at rest pada kluster baru

    1. Masuk ke Konsol ACK.

    2. Di panel navigasi sebelah kiri, klik Clusters.

    3. Di pojok kanan atas halaman Clusters, klik Cluster Template.

    4. Pada kotak dialog Select Cluster Template, pilih Professional Managed Kubernetes Cluster lalu klik Create.

    5. Di tab Managed Kubernetes, temukan Secret Encryption, pilih Select Key, lalu pilih ID CMK dari daftar drop-down.

    6. Atur parameter lainnya dan selesaikan pembuatan kluster.

    Untuk detail lengkap pembuatan kluster, lihat Buat kluster ACK Pro.

    Aktifkan enkripsi Secret at rest pada kluster yang sudah ada

    1. Di halaman Clusters, klik nama kluster Kubernetes managed profesional.

    2. Klik tab Basic Information. Di bagian Basic Information, aktifkan Secret Encryption.

    3. Pada kotak dialog Secret Encryption, pilih ID CMK dari daftar drop-down Existing Key lalu klik OK.

    Saat status kluster berubah dari Updating menjadi Running, enkripsi Secret at rest telah diaktifkan.

    Verifikasi enkripsi

    Untuk memastikan enkripsi Secret aktif:

    1. Buka Konsol ActionTrail.

    2. Buka halaman Event Detail Query.

    3. Filter event berdasarkan peran AliyunCSManagedSecurityRole dan cari panggilan enkripsi atau dekripsi KMS.

    Jika terdapat event KMS, berarti enkripsi Secret at rest telah aktif untuk kluster tersebut.

    Topik terkait