全部产品
Search

搜索本产品

    Key Management Service:Gunakan KMS untuk melindungi beban kerja ECS dengan beberapa klik

    文档中心

    Key Management Service:Gunakan KMS untuk melindungi beban kerja ECS dengan beberapa klik

    更新时间:Jul 02, 2025

    Dalam banyak skenario, data produksi yang digunakan dalam beban kerja Elastic Compute Service (ECS) berisi rahasia bisnis, informasi privasi, atau kredensial penting. Oleh karena itu, Anda harus melindungi beban kerja ini dari kebocoran informasi. Key Management Service (KMS) mendukung enkripsi cepat untuk beban kerja ECS guna melindungi data transien dan persisten yang dihasilkan dalam lingkungan komputasi. Ini memastikan kerahasiaan dan privasi data serta memenuhi persyaratan kepatuhan. KMS membantu membangun lingkungan komputasi awan yang aman dengan biaya rendah.

    Informasi latar belakang

    Pelanggan memiliki persyaratan keamanan data terkait rahasia bisnis dan privasi pribadi. Jenis data ini sangat penting bagi perusahaan dan tunduk pada regulasi kepatuhan. Sebagai contoh, General Data Protection Regulation (GDPR) mengharuskan perusahaan untuk melindungi data privasi pribadi. Data tersebut disimpan dalam database. Sebelum menyimpan data sistem aplikasi dalam database, Anda harus mengenkripsinya untuk mengurangi risiko kebocoran data akibat serangan seperti serangan kamus.

    Untuk memastikan keamanan dan kepatuhan enkripsi, Anda dapat menggunakan KMS atau Layanan Enkripsi Data untuk mengenkripsi data bisnis sistem aplikasi. Untuk informasi lebih lanjut tentang cara mengenkripsi data bisnis Anda di lapisan aplikasi, lihat Gunakan Enkripsi Amplop untuk Mengenkripsi dan Mendekripsi Data Lokal.

    Jika Anda telah mengenkripsi data bisnis Anda, beban kerja yang digunakan untuk mengenkripsi dan mendekripsi data menjadi titik lemah dalam sistem Anda. Perhatikan poin-poin berikut, yang dapat menyebabkan risiko keamanan:

    • Aplikasi Anda yang diterapkan pada Instance ECS berisi kredensial penting yang digunakan untuk mengakses KMS, modul keamanan perangkat keras (HSM), layanan mikro, atau subsistem.

    • Disk sistem Instance ECS Anda mungkin menghasilkan beberapa file sementara, termasuk file data sensitif yang terlibat dalam transmisi jaringan dan pemrosesan data lokal.

    • Cadangan disk berdasarkan snapshot otomatis diaktifkan untuk Instance ECS Anda untuk menyimpan beberapa salinan data sensitif. Ini membantu mencapai redundansi data.

    Catatan

    Risiko yang disebutkan di atas adalah beberapa contoh. Saat Anda menerapkan sistem bisnis, masalah lain mungkin terjadi. Sebagai contoh, jika mekanisme penyebaran aplikasi dan perubahan siklus hidup digunakan dalam mode DevOps, insinyur O&M dan keamanan tidak mengetahui apakah jenis data sensitif baru dihasilkan untuk beban kerja. Mereka tidak dapat menentukan apakah akan memperkenalkan logika bisnis untuk memproses data sensitif baru tersebut.

    Manfaat

    Instance ECS Alibaba Cloud menggunakan KMS untuk melindungi sumber daya yang dibutuhkan oleh beban kerja ECS. Sumber daya tersebut mencakup disk sistem dan disk data Instance ECS serta gambar dan snapshot terkait.

    Anda dapat memberi otorisasi Instance ECS untuk menggunakan kunci master pelanggan (CMK) di KMS dan mengenkripsi sumber daya tersebut dengan beberapa klik. Ini melindungi data sensitif yang diketahui, potensial, transien, dan persisten dari akses tidak sah. Dalam keadaan darurat, Anda dapat menonaktifkan dekripsi berbasis KMS pada Instance ECS dengan mencabut izin atau menonaktifkan CMK.

    Catatan

    Insinyur O&M dan keamanan dapat mengenkripsi sumber daya yang dibutuhkan oleh beban kerja ECS dalam mode DevOps. Proses ini sederhana dan efisien.

    Enkripsi disk sistem

    Disk sistem berisi sistem operasi dan perangkat lunak aplikasi yang diperlukan untuk operasi bisnis. Disk ini biasanya dikemas sebagai gambar.

    Setelah Anda membuat gambar kustom yang dapat berjalan di lingkungan produksi dan menggunakan gambar tersebut sebagai dasar, Anda dapat menyalin dan mengenkripsinya. Dengan cara ini, disk sistem terenkripsi dibuat.

    1. Masuk ke Konsol ECS.

    2. Di panel navigasi di sebelah kiri, pilih Instances & Images > Images.

    3. Di bilah navigasi atas, pilih wilayah dan grup sumber daya dari sumber daya yang ingin Anda kelola. 地域

    4. Di halaman Images, klik tab Custom Images.

    5. Temukan gambar Anda dan klik Copy Image di kolom Actions.

    6. Di dalam kotak dialog Copy Image, pilih Encrypt. Kemudian, pilih sebuah kunci dari daftar drop-down.

      Secara default, Default Service CMK digunakan, yang menunjukkan CMK yang dikelola oleh layanan. Anda juga dapat memilih CMK yang Anda buat di KMS untuk enkripsi. CMK yang Anda buat memberikan lebih banyak izin pada disk data. Dalam keadaan darurat, Anda dapat menonaktifkan dekripsi berbasis KMS pada instance ECS dengan mencabut izin atau menonaktifkan CMK.

      Catatan

      Jika ini adalah pertama kalinya Anda memilih kunci enkripsi kustom yang berbeda, klik Confirm Authorization Policy dan pilih AliyunECSDiskEncryptDefaultRole untuk mengizinkan ECS mengakses sumber daya KMS Anda. Langkah ini hanya menjelaskan cara mengonfigurasi pengaturan enkripsi saat Anda menyalin citra kustom. Untuk informasi lebih lanjut tentang pengaturan lainnya, lihat Salin Citra Kustom.

      Copy Image dialog box in the ECS console

    7. Klik OK.

    Enkripsi disk data

    Anda dapat mengenkripsi disk data saat Anda membuat Instance ECS atau membuat disk tersebut.

    Encrypt a data disk when you create an ECS instance

    1. Masuk ke Konsol ECS.

    2. Di panel navigasi di sebelah kiri, pilih Instances & Images > Instances.

    3. Di halaman Instances, klik Create Instance.

    4. Di bagian Storage pada halaman yang muncul, buat disk data dan konfigurasikan pengaturan enkripsi.

      Catatan

      Langkah ini hanya menjelaskan cara mengonfigurasi pengaturan enkripsi saat Anda membuat Instance ECS. Untuk informasi lebih lanjut tentang pengaturan lainnya, lihat Buat Instance pada Tab Custom Launch.

      1. Klik Add Data Disk.

      2. Tentukan kategori disk dan kapasitasnya.

      3. Pilih Encryption. Kemudian, pilih sebuah kunci dari daftar drop-down.

        Secara default, Default Service CMK digunakan, yang menunjukkan CMK yang dikelola oleh layanan. Anda juga dapat memilih CMK yang Anda buat di KMS untuk enkripsi. CMK yang Anda buat memberikan lebih banyak izin pada disk data. Dalam keadaan darurat, Anda dapat menonaktifkan dekripsi berbasis KMS pada Instance ECS dengan mencabut izin atau menonaktifkan CMK.

        Catatan

        Jika ini adalah pertama kalinya Anda memilih kunci enkripsi kustom yang berbeda, klik Confirm Authorization Policy dan pilih AliyunECSDiskEncryptDefaultRole untuk mengizinkan ECS mengakses sumber daya KMS Anda.

    Encrypt a data disk when you create the disk

    1. Masuk ke Konsol ECS.

    2. Di panel navigasi di sebelah kiri, pilih Block Storage.

    3. Di halaman Penyimpanan Blok, klik Create Cloud Disk.

    4. Tentukan kategori disk dan kapasitasnya.

      Catatan

      Langkah ini hanya menjelaskan cara mengonfigurasi pengaturan enkripsi saat Anda membuat disk. Untuk informasi lebih lanjut tentang pengaturan lainnya, lihat Buat Disk Data Kosong.

    5. Di bagian Storage pada halaman yang muncul, pilih Disk Encryption. Kemudian, pilih sebuah kunci dari daftar drop-down.

      Secara default, Default Service CMK digunakan, yang menunjukkan CMK yang dikelola oleh layanan. Anda juga dapat memilih CMK yang Anda buat di KMS untuk enkripsi. CMK yang Anda buat memberikan lebih banyak izin pada disk data. Dalam keadaan darurat, Anda dapat menonaktifkan dekripsi berbasis KMS pada Instance ECS dengan mencabut izin atau menonaktifkan CMK.

      Catatan

      Jika ini adalah pertama kalinya Anda memilih kunci enkripsi kustom yang berbeda, klik Confirm Authorization Policy dan pilih AliyunECSDiskEncryptDefaultRole untuk mengizinkan ECS mengakses sumber daya KMS Anda.

      Create a pay-as-you-go data disk