Cara memigrasikan kunci setelah wilayah tidak lagi didukung atau diganti - Key Management Service

Peningkatan dan perbaikan diperlukan untuk wilayah dan zona tertentu guna menyediakan layanan yang efisien dan berkualitas tinggi. Jika Anda menerima notifikasi migrasi, segera migrasikan kunci dan rahasia Key Management Service (KMS). Topik ini menjelaskan cara memigrasikan kunci lintas wilayah.

Kunci yang digunakan untuk enkripsi data di layanan Alibaba Cloud

Gunakan solusi migrasi data dari layanan terkait untuk memigrasikan data layanan Alibaba Cloud. Untuk informasi lebih lanjut, lihat dokumentasi resmi layanan Alibaba Cloud.

Kunci yang digunakan untuk enkripsi data di aplikasi yang dikelola sendiri

Penting

Nonaktifkan fitur rotasi kunci sebelum migrasi. Untuk informasi lebih lanjut, lihat Konfigurasi Rotasi Kunci.

Kunci dalam instans manajemen kunci perangkat lunak

Beli instans manajemen kunci perangkat lunak di wilayah tujuan. Kemudian, migrasikan kunci ke wilayah tujuan menggunakan cadangan dan pemulihan. Contohnya, kunci di KMS Instance A di Region A dimigrasikan ke KMS Instance B di Region B.

Buat dan aktifkan KMS Instance B di Region B. Untuk informasi lebih lanjut, lihat Beli dan Aktifkan Instans KMS.
Cadangkan data KMS Instance A di Region A.
Catatan
KMS menyediakan satu instans cadangan gratis di setiap wilayah. Anda dapat mencadangkan data satu instans manajemen kunci perangkat lunak. Jika ingin mencadangkan beberapa instans, Anda harus membeli instans cadangan tambahan.
1. Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi di sebelah kiri, pilih Security Operations > Disaster Recovery > Backups
2. Di halaman Backups, temukan instans cadangan yang ingin diaktifkan dan klik Enable di kolom Actions.
3. Di panel Enable Backup, pilih KMS Instance A untuk parameter Source Instance, masukkan alias kustom di bidang Backup Alias, lalu klik OK.
  Catatan
  Proses pencadangan membutuhkan waktu sekitar 5 menit. Semakin banyak sumber daya dalam instans, semakin lama waktu pencadangan yang dibutuhkan.
Pulihkan data KMS Instance A ke KMS Instance B.
- Pemulihan Data di Daratan Tiongkok
  1. Di bagian atas halaman, pilih Region A. Navigasikan ke halaman Backups, temukan instans cadangan yang diinginkan, lalu klik Details di kolom Actions.
  2. Pilih Fully Backed up Keys untuk parameter Data Type, pilih kunci yang ingin dimigrasikan, dan klik Batch Restore di bagian bawah halaman.
  3. Di panel Restore Data, pilih KMS Instance B di Region B dan klik OK.
- Pemulihan Data Lintas Batas
  1. Di bagian atas halaman, pilih Region A. Navigasikan ke halaman Backups, temukan instans cadangan yang diinginkan, lalu klik Download di kolom Actions.
  2. Tetapkan parameter Backup Date dan klik OK. Klik ikon di sebelah Encryption Key untuk menyimpan kunci enkripsi ke komputer Anda. Klik Unduh di sebelah Backup Data untuk mengunduh data cadangan.
  3. Di bagian atas halaman, pilih Region B. Navigasikan ke halaman Backups dan klik Upload Backup.
  4. Masukkan informasi yang diperlukan untuk Decryption Key dan Backup Name (alias cadangan yang ditentukan). Klik OK. Di kotak dialog yang muncul, pilih file data cadangan KMS Instance A untuk diunggah.
  5. Di daftar cadangan, temukan file cadangan yang diunggah dan klik View Data di kolom Actions.
  6. Di tab Fully Backed up Keys, Incrementally Backed up Keys, atau Rotated Keys, klik Restore Data di kolom Actions, pilih instans tempat Anda ingin memulihkan data untuk parameter Destination Instance, lalu klik OK.

Modifikasi aplikasi Anda untuk memanggil instans KMS di Region B.

Operasi

Deskripsi

Operasi manajemen

Anda dapat menggunakan SDK Alibaba Cloud untuk melakukan operasi tersebut. Anda perlu mengubah titik akhir ke titik akhir KMS di Region B. Untuk informasi lebih lanjut tentang titik akhir KMS, lihat Wilayah dan zona.

Operasi kriptografi

Anda dapat menggunakan SDK Instans KMS untuk melakukan operasi tersebut. Untuk mencapai ini, Anda perlu mengganti beberapa pengaturan parameter dalam kode, seperti isi file kunci klien dan sertifikat CA dari instans KMS.

Buat titik akses aplikasi (AAP) di Region B untuk akses ke KMS Instance B. Untuk informasi lebih lanjut, lihat Buat AAP.
Catatan
Setelah Anda membuat AAP, simpan konten berikut:
- Aplikasi Akses Rahasia(ClientKeyContent): Secara default, Aplikasi Akses Rahasia(ClientKeyContent) disimpan dalam file bernama dalam format clientKey_****.json.
- Kata Sandi: Secara default, Kata Sandi disimpan dalam file bernama dalam format clientKey_****_Password.txt.
- Sertifikat CA dari instans KMS: Secara default, sertifikat CA diunduh ke file bernama dalam format PrivateKmsCA_kst-******.pem.
Modifikasi kode.
Ganti pengaturan parameter untuk menginisialisasi SDK Instans KMS Anda dengan KMS Instance B dan isi file kunci klien yang baru dibuat. Sebagai contoh, jika Anda menggunakan SDK Instans KMS (Java), Anda perlu memodifikasi pengaturan berikut saat membuat klien:
- clientKeyFilePath atau clientKeyContent: Ganti nilainya dengan jalur atau isi file kunci klien baru.
- clientKeyPass: Ganti nilainya dengan kata sandi baru dalam file kunci klien yang baru dibuat.
- endpoint: Gantinya dengan nama domain KMS Instance B dalam format kst-hzz659dfeee864za2****.cryptoservice.kms.aliyuncs.com.
- caCertPath atau caCert: Ganti nilainya dengan jalur atau isi sertifikat CA dari KMS Instance B.

Kunci dalam instans KMS tipe manajemen kunci perangkat keras dan kunci di luar instans KMS

KMS tidak mendukung migrasi kunci semacam itu. Untuk menghilangkan ketergantungan pada kunci di wilayah sumber, gunakan solusi berikut:

Kunci yang Digunakan untuk Enkripsi dan Dekripsi (ENCRYPT/DECRYPT)
Solusi ini cocok untuk kunci simetris dan kunci asimetris.
1. Dekripsi semua teks sandi data dan teks sandi kunci data yang dihasilkan dengan menggunakan kunci di wilayah sumber.
2. Migrasikan teks biasa data dan kunci data yang didekripsi ke wilayah tujuan.
3. Beli instans KMS di wilayah tujuan dan gunakan kunci di instans KMS untuk mengenkripsi data.
  1. Beli dan aktifkan instans KMS. Untuk informasi lebih lanjut, lihat Pemilihan Instans dan Beli dan Aktifkan Instans KMS.
  2. Gunakan instans KMS untuk mengenkripsi data di aplikasi yang dikelola sendiri. Untuk informasi lebih lanjut, lihat Gunakan Kunci untuk Mengenkripsi dan Mendekripsi Data dan Gunakan Enkripsi Amplop.
4. Nonaktifkan kunci di wilayah sumber lalu jadwalkan penghapusan kunci setelah Anda yakin bahwa kunci tersebut tidak lagi digunakan. Operasi ini direkomendasikan. Untuk informasi lebih lanjut, lihat Nonaktifkan Kunci dan Hapus Kunci.
Kunci yang Digunakan untuk Penandatanganan dan Verifikasi (SIGN/VERIFY)
1. Unduh kunci publik dari kunci master pelanggan (CMK) yang sesuai di wilayah sumber dan simpan kunci publik hingga kunci publik tidak lagi digunakan untuk penandatanganan dan verifikasi.
  Masuk ke Konsol KMS dan dapatkan kunci publik.
2. Beli dan aktifkan instans KMS di wilayah tujuan. Untuk informasi lebih lanjut, lihat Pemilihan Instans dan Beli dan Aktifkan Instans KMS.
3. Buat kunci di instans KMS. Untuk informasi lebih lanjut, lihat Kelola Kunci atau Kelola Kunci.
4. Gunakan SDK Instans KMS untuk penandatanganan dan verifikasi. Untuk informasi lebih lanjut, lihat SDK Instans KMS.
5. Nonaktifkan kunci di wilayah sumber lalu jadwalkan penghapusan kunci setelah Anda yakin bahwa kunci tersebut tidak lagi digunakan. Operasi ini direkomendasikan. Untuk informasi lebih lanjut, lihat Nonaktifkan Kunci dan Hapus Kunci.

Apa itu kunci di luar instans KMS?

Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah yang diinginkan. Navigasikan ke halaman Keys dan klik tab Default Keys. Kunci yang ditampilkan di tab ini adalah kunci di luar instans KMS.

Catatan

Jika Anda menggunakan KMS 3.0, tab Kunci Default menampilkan satu CMK dan beberapa kunci layanan. Jika Anda menggunakan versi lama KMS, tab Default Keys menampilkan semua CMK Anda, seperti yang ditunjukkan dalam kotak merah pada gambar berikut. Anda hanya dapat melihat CMK ini di KMS 3.0. Jika ingin memodifikasi properti CMK, buka versi lama Konsol KMS.