Key Management Service (KMS) adalah platform layanan ujung ke ujung untuk manajemen kunci dan enkripsi data. KMS menyediakan kemampuan yang sederhana, andal, aman, serta sesuai standar untuk mengenkripsi dan melindungi data. KMS secara signifikan mengurangi biaya pengadaan, operasi & pemeliharaan (O&M), serta penelitian dan pengembangan (R&D) pada infrastruktur kriptografi dan produk enkripsi data, sehingga memungkinkan Anda lebih fokus pada bisnis inti.
Fungsi dan fitur
KMS terdiri dari empat komponen utama: Key Service, Secrets Manager, Certificates Manager, dan Dedicated KMS.
| Komponen | Deskripsi | Referensi |
| Key Service | Key Service sepenuhnya mengelola dan melindungi kunci Anda. Key Service mendukung enkripsi data dan tanda tangan digital dalam mode sederhana berdasarkan Operasi API cloud-native. | Ikhtisar |
| Secrets Manager | Secrets Manager menyediakan fitur enkripsi rahasia, hosting rahasia, rotasi berkala, distribusi aman, dan manajemen terpusat. Secrets Manager mengurangi risiko keamanan yang disebabkan oleh rahasia statis yang dikonfigurasikan di fasilitas TI tradisional. | Ikhtisar |
| Certificates Manager | Certificates Manager menyediakan kemampuan yang sangat tersedia dan aman untuk mengelola kunci dan sertifikat. Certificates Manager juga memungkinkan Anda untuk memperoleh sertifikat guna menghasilkan dan memverifikasi tanda tangan. | Ikhtisar |
| Dedicated KMS | Dedicated KMS adalah layanan manajemen kunci yang dapat Anda kelola sepenuhnya. Misalnya, Anda dapat menentukan virtual private cloud (VPC) tempat Dedicated KMS diterapkan dan mengonfigurasi kolam sumber daya kriptografi yang digunakan oleh Dedicated KMS. Anda juga dapat menentukan kebijakan kontrol akses berbasis peran (RBAC) untuk mengizinkan akses dari aplikasi. | Ikhtisar |
Manfaat
Tabel berikut mencantumkan manfaat dari setiap fitur.
| Fitur | Manfaat | Deskripsi | Referensi |
| Key Service | Kemampuan kepatuhan keamanan terdepan | KMS mendukung infrastruktur kriptografi tingkat industri dan memenuhi persyaratan tingkat keamanan dan kepatuhan keamanan Anda. | Kepatuhan |
| Implementasi yang dikelola sepenuhnya | Anda tidak perlu membeli perangkat keras atau perangkat lunak kriptografi. Anda tidak perlu berinvestasi dalam O&M atau R&D fasilitas kriptografi. Anda dapat langsung menggunakan fitur yang disediakan oleh Key Service dan memperluas fitur tersebut. | Gunakan HSM terkelola | |
| Kemampuan cloud-native | KMS dapat diintegrasikan dengan berbagai layanan Alibaba Cloud berdasarkan Operasi API cloud-native. KMS memungkinkan Anda mengonfigurasi enkripsi sisi server (SSE) hanya dengan beberapa klik. | Layanan Alibaba Cloud yang dapat diintegrasikan dengan KMS | |
| Akses aplikasi yang disederhanakan | KMS menyediakan berbagai metode seperti SDK KMS dan SDK Enkripsi untuk membantu Anda menggunakan API enkripsi KMS. Dengan cara ini, Anda dapat mengenkripsi dan mendekripsi data, serta menghasilkan dan memverifikasi tanda tangan digital dengan mudah. | ||
| Manajemen terpusat dan berskala besar | KMS dapat diaktifkan secara otomatis dan mendukung layanan seperti Resource Orchestration Service (ROS) dan Terraform. KMS memungkinkan Anda menerapkan enkripsi data otomatis untuk login multi-akun menggunakan kebijakan enkripsi default. KMS secara otomatis mengaktifkan SSE untuk sumber daya seperti instance Elastic Compute Service (ECS) yang menggunakan disk cloud, Bucket OSS, instance ApsaraDB RDS, dan proyek MaxCompute. | Beli instance KMS khusus | |
| Secrets Manager | Kemampuan cloud-native | KMS menghasilkan rahasia dinamis ApsaraDB RDS berdasarkan Operasi API cloud-native, yang membantu Anda menangani ancaman keamanan utama pada database. | Ikhtisar rahasia dinamis ApsaraDB RDS |
| Akses aplikasi yang disederhanakan | KMS menyediakan berbagai metode seperti SDK KMS, Secrets Manager Client, dan plug-in Kubernetes untuk membantu Anda menggunakan rahasia dinamis. | Hubungkan aplikasi ke Secrets Manager | |
| Manajemen terpusat dan berskala besar | KMS dapat diaktifkan secara otomatis dan mendukung layanan seperti ROS dan Terraform. KMS memungkinkan Anda menerapkan orkestrasi otomatis sumber daya Alibaba Cloud seperti database dan Bucket OSS, serta manajemen rahasia otomatis. Rahasia sepenuhnya dikelola di Secrets Manager. Ini mencapai manajemen rahasia terpusat. | Beli instance KMS khusus | |
| Certificates Manager | Penyimpanan kunci aman | Certificates Manager menggunakan modul keamanan perangkat keras (HSM) terkelola untuk memastikan bahwa kunci dan sertifikat dihasilkan dan disimpan dengan aman. | Ikhtisar |
| Manajemen siklus hidup | Certificates Manager memungkinkan Anda mengelola kunci dan sertifikat. Anda dapat menghasilkan permintaan penandatanganan sertifikat (CSR), mengimpor sertifikat dan rantai sertifikat, memverifikasi tanda tangan rantai sertifikat, dan memeriksa validitas sertifikat. | ||
| Integrasi berbasis API yang mudah | Certificates Manager menyediakan berbagai Operasi API untuk membantu Anda mengintegrasikan layanan sertifikat dengan lingkungan pengembangan Anda, mempercepat penyebaran produk, dan meluncurkan fitur terkait sertifikat. | Operasi sertifikat | |
| Dedicated KMS | Akses melalui jaringan pribadi | Dedicated KMS memungkinkan Anda menerapkan instance spesifik penyewa di VPC penyewa. Dengan cara ini, Dedicated KMS dapat diakses melalui jaringan pribadi. | Ikhtisar |
| Isolasi sumber daya dan isolasi kriptografi | Dedicated KMS menggunakan kolam sumber daya kriptografi spesifik penyewa untuk menerapkan isolasi sumber daya dan isolasi kriptografi. Ini meningkatkan keamanan. Kolam ini juga disebut kluster HSM. | Ikhtisar | |
| Manajemen kunci | Dedicated KMS memungkinkan Anda menggunakan HSM dengan cara yang lebih mudah. Dedicated KMS menyediakan layanan manajemen kunci lapisan atas dan operasi kriptografi untuk HSM secara stabil dan mudah. | Ikhtisar | |
| Integrasi dengan berbagai layanan Alibaba Cloud | Dedicated KMS memungkinkan Anda mengintegrasikan HSM Anda dengan layanan Alibaba Cloud secara mulus. Ini membantu meningkatkan keamanan dan kontrol enkripsi untuk layanan Alibaba Cloud. | Layanan Alibaba Cloud yang dapat diintegrasikan dengan KMS |