全部产品
Search

搜索本产品

    Key Management Service:Gunakan KMS untuk mengenkripsi sumber daya layanan cloud

    文档中心

    Key Management Service:Gunakan KMS untuk mengenkripsi sumber daya layanan cloud

    更新时间:Jul 06, 2025

    Key Management Service (KMS) terintegrasi dengan layanan cloud seperti Elastic Compute Service (ECS), Object Storage Service (OSS), Container Service for Kubernetes (ACK), dan ApsaraDB RDS. Anda dapat menggunakan KMS untuk mengenkripsi sumber daya layanan cloud ini guna memastikan keamanan data di cloud.

    Enkripsi Sumber Daya ECS

    Anda dapat menggunakan KMS untuk mengenkripsi sumber daya ECS seperti disk sistem, disk data, serta gambar dan snapshot terkait.

    Contoh berikut menjelaskan cara mengenkripsi disk data saat membuat Instance ECS. Untuk informasi lebih lanjut tentang metode lain untuk mengenkripsi sumber daya ECS, lihat Gunakan KMS untuk Melindungi Beban Kerja ECS dengan Beberapa Klik.

    1. Masuk ke Konsol ECS.

    2. Di panel navigasi sebelah kiri, pilih Instances & Images > Instances.

    3. Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat Instance ECS.

    4. Pada halaman Instances, klik Create Instance.

    5. Di bagian Storage dari langkah Basic Configurations, lakukan operasi berikut untuk mengenkripsi disk data:

      1. Klik Add Disk.

      2. Konfigurasikan spesifikasi untuk disk.

      3. Pilih Disk Encryption, lalu pilih kunci dari daftar drop-down.

        Anda dapat memilih Default Service CMK untuk menggunakan kunci utama pelanggan layanan default (CMK) atau memilih CMK yang Anda buat di KMS untuk enkripsi. Encrypt a data disk when you create an ECS instance

    6. Konfigurasikan parameter lainnya sesuai petunjuk di layar.

      Untuk informasi lebih lanjut, lihat Buat Instance pada Tab Peluncuran Kustom.

    Enkripsi Sumber Daya OSS

    Setelah Anda mengunggah objek ke Bucket OSS, KMS secara otomatis mengenkripsi objek tersebut.

    • Enable encryption when you create an OSS bucket

      1. Masuk ke Konsol OSS.

      2. Di bagian Bucket Management pada halaman Overview, klik Create Bucket.

      3. Di panel Create Bucket, atur parameter Encryption Method menjadi KMS.

      4. Konfigurasikan parameter Encryption Algorithm. Nilai valid:

        • AES256

        • SM4

          Catatan KMS menyediakan algoritma SM4 dengan menggunakan Managed HSM. Untuk informasi lebih lanjut, lihat Ikhtisar.

      5. Konfigurasikan parameter CMK.

        Anda dapat memilih ID CMK. OSS menggunakan CMK yang ditentukan untuk menghasilkan kunci berbeda untuk mengenkripsi objek yang berbeda. Objek secara otomatis didekripsi saat diunduh oleh pengguna yang memiliki izin dekripsi. Sebelum memilih ID CMK, Anda harus membuat CMK reguler atau CMK eksternal di wilayah yang sama dengan bucket di Konsol KMS. Untuk informasi lebih lanjut, lihat Buat CMK.

      6. Konfigurasikan parameter lainnya sesuai petunjuk di layar.

        Untuk informasi lebih lanjut, lihat Buat Bucket.

    • Encrypt data in an existing bucket

      1. Masuk ke Konsol OSS.

      2. Di panel navigasi sebelah kiri, klik Buckets.

      3. Klik nama bucket yang datanya ingin Anda enkripsi.

      4. Di panel navigasi sebelah kiri, pilih Content Security > Server-side Encryption.

      5. Di bagian Server-side Encryption, klik Configure.

        1. Atur parameter Encryption Method menjadi KMS.

        2. Konfigurasikan parameter Encryption Algorithm. Nilai valid:

          • AES256

          • SM4

            Catatan KMS menyediakan algoritma SM4 dengan menggunakan Managed HSM. Untuk informasi lebih lanjut, lihat Ikhtisar.

        3. Konfigurasikan parameter CMK.

          Anda dapat memilih ID CMK. OSS menggunakan CMK yang ditentukan untuk menghasilkan kunci berbeda untuk mengenkripsi objek yang berbeda. Objek secara otomatis didekripsi saat diunduh oleh pengguna yang memiliki izin dekripsi. Sebelum memilih ID CMK, Anda harus membuat CMK reguler atau CMK eksternal di wilayah yang sama dengan bucket di Konsol KMS. Untuk informasi lebih lanjut, lihat Buat CMK.

        4. Klik Save.

          Penting

          Modifikasi metode enkripsi default untuk bucket tidak memengaruhi konfigurasi enkripsi objek yang sudah ada di bucket.

    Enkripsi Sumber Daya ACK

    Kluster Kubernetes yang dikelola secara profesional di ACK memungkinkan Anda menggunakan CMK yang Anda buat di KMS untuk mengenkripsi rahasia Kubernetes.

    1. Masuk ke Konsol ACK.

    2. Di panel navigasi sebelah kiri, klik Clusters.

    3. Di sudut kanan atas halaman Clusters, klik Cluster Templates.

    4. Di kotak dialog Select Cluster Template, pilih Professional Managed Kubernetes Cluster dan klik Create.

    5. Pada tab Managed Kubernetes, temukan parameter Secret Encryption, pilih Select Key, lalu pilih ID CMK dari daftar drop-down.

    6. Konfigurasikan parameter lainnya sesuai petunjuk di layar.

      Untuk informasi lebih lanjut, lihat Buat Kluster ACK Pro.

    Enkripsi Sumber Daya ApsaraDB RDS

    ApsaraDB RDS mendukung enkripsi disk dan enkripsi data transparan (TDE). Contoh berikut menjelaskan cara mengenkripsi SSD standar atau SSD Enhanced saat membuat instance ApsaraDB RDS for MySQL.

    1. Buka halaman Konfigurasi Dasar di Konsol ApsaraDB RDS.

    2. Atur parameter Storage Type menjadi Standard SSD atau Enhanced SSD (Recommended). Lalu, pilih Disk Encryption.

    3. Pilih ID CMK dari daftar drop-down Key.

      SSD

    4. Konfigurasikan parameter lainnya sesuai petunjuk di layar.

      Untuk informasi lebih lanjut, lihat Cepat Buat Instance ApsaraDB RDS for MySQL.

    Enkripsi Sumber Daya Layanan Cloud Lainnya

    Untuk informasi tentang cara mengenkripsi sumber daya layanan cloud lainnya, lihat Layanan Alibaba Cloud yang Dapat Diintegrasikan dengan KMS.