全部产品
Search

搜索本产品

    Key Management Service:Menggunakan HSM terkelola

    文档中心

    Key Management Service:Menggunakan HSM terkelola

    更新时间:Jul 02, 2025

    Topik ini menjelaskan cara menggunakan HSM terkelola untuk membuat dan menggunakan kunci master pelanggan (CMK).

    Informasi latar belakang

    HSM terkelola hanya dapat digunakan di wilayah yang didukung. Untuk informasi lebih lanjut, lihat Wilayah yang Didukung.

    Buat CMK di Konsol Key Management Service (KMS)

    1. Masuk ke Konsol KMS.

    2. Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat CMK.

    3. Di panel navigasi sisi kiri, pilih Resource > Keys.

    4. Klik Create Key.

    5. Di kotak dialog Create Key, konfigurasikan parameter berikut: KMS Instance, Key Spec, Purpose, Alias Name, Protection Level, Description, Rotation Period, dan Key Material Source.

      Catatan

      • Disarankan untuk mengatur parameter Protection Level ke Hsm.

      • Untuk informasi lebih lanjut tentang parameter, lihat Buat CMK.

    6. Klik OK.

      Setelah CMK dibuat, tingkat perlindungan CMK dapat dilihat di kolom Protection Level.

    Buat CMK dengan menggunakan CLI Alibaba Cloud

    1. Panggil operasi CreateKey untuk membuat CMK.

      aliyun kms CreateKey --ProtectionLevel HSM --Description "Key1 in Managed HSM"

    2. Panggil operasi DescribeKey untuk menanyakan tingkat perlindungan CMK.

      aliyun kms DescribeKey --KeyId 1234abcd-12ab-34cd-56ef-12345678****

      Output yang Diharapkan:

      {
  "KeyMetadata": {
    "CreationDate": "2019-07-04T13:14:15Z",
    "Description": "Key1 in Managed HSM",
    "KeyId": "1234abcd-12ab-34cd-56ef-12345678****",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT/DECRYPT",
    "DeleteDate": "",
    "Creator": "151266687691****",
    "Arn": "acs:kms:cn-hongkong:151266687691****:key/1234abcd-12ab-34cd-56ef-12345678****",
    "Origin": "Aliyun_KMS",
    "MaterialExpireTime": "",
    "ProtectionLevel": "HSM"
  },
  "RequestId": "8eaeaa8b-4491-4f1e-a51e-f95a4e54620c"
}

    Impor CMK eksternal ke HSM terkelola

    Jika Anda ingin mengimpor CMK eksternal dari infrastruktur kunci yang dikelola pengguna ke HSM terkelola, atur parameter Protection Level ke Hsm saat membuat CMK eksternal. Untuk informasi lebih lanjut tentang cara membuat CMK eksternal, lihat Impor Material Kunci di Konsol KMS.

    Saat impor dimulai, KMS melakukan operasi berikut:

    • Saat memanggil operasi GetParametersForImport, KMS menghasilkan pasangan kunci di HSM terkelola untuk mengimpor CMK eksternal berdasarkan tingkat perlindungan Hsm dan mengembalikan kunci publik dari pasangan kunci tersebut.

    • Saat memanggil operasi ImportKeyMaterial, KMS mengimpor material kunci eksternal yang terenkripsi ke HSM terkelola dan kemudian mendekripsinya menggunakan mekanisme pembukaan kunci HSM terkelola. Teks bias dari material kunci tidak dapat diekspor.

    Kelola dan gunakan CMK

    Anda dapat menerapkan semua fitur manajemen dan kriptografi yang didukung oleh KMS ke CMK yang dibuat di HSM terkelola. Fitur-fitur ini memungkinkan Anda melakukan operasi berikut:

    • Aktifkan dan nonaktifkan CMK.

    • Kelola siklus hidup CMK.

    • Kelola alias CMK.

    • Kelola tag CMK.

    • Panggil operasi API kriptografi.

    Integrasi dengan layanan Alibaba Cloud lainnya

    CMK di HSM terkelola dapat digunakan untuk melindungi data asli di layanan Alibaba Cloud lainnya, seperti Elastic Compute Service (ECS), ApsaraDB RDS, dan Object Storage Service (OSS), dengan menggunakan API KMS standar. Prasyaratnya adalah bahwa layanan Alibaba Cloud mendukung enkripsi sisi server (SSE) dengan menggunakan CMK yang dikelola pengguna. Untuk menggunakan fitur enkripsi sisi server, cukup konfigurasikan CMK yang dibuat di HSM terkelola untuk layanan Alibaba Cloud.