All Products
Search

This Product

    Key Management Service:Migrasikan kunci antar wilayah

    Document Center

    Key Management Service:Migrasikan kunci antar wilayah

    Last Updated:Mar 26, 2026

    Untuk terus menyediakan layanan berkualitas tinggi, kami sedang melakukan peningkatan infrastruktur di beberapa wilayah dan zona lama. Jika Anda menerima notifikasi tentang peningkatan dan migrasi wilayah, Anda harus memigrasikan kunci dan rahasia Key Management Service (KMS). Topik ini menjelaskan cara memigrasikan kunci antar wilayah.

    Layanan Alibaba Cloud

    Ikuti panduan migrasi data untuk layanan Alibaba Cloud tertentu guna memigrasikan data terenkripsi Anda.

    Aplikasi yang dikelola sendiri

    Penting

    Sebelum memulai, nonaktifkan rotasi kunci. Untuk informasi selengkapnya, lihat Rotasi kunci.

    Kunci dalam instans KMS berbasis perangkat lunak

    Migrasikan kunci dengan membuat backup dari instans sumber dan memulihkannya ke instans baru di wilayah tujuan. Panduan ini menggunakan contoh migrasi kunci dari Instans A di Wilayah A ke Instans B di Wilayah B.

    1. Di Wilayah B, buat dan aktifkan Instans B. Untuk informasi selengkapnya, lihat Beli dan aktifkan instans KMS.

    2. Di Wilayah A, buat backup data dari Instans A.

      Catatan

      Setiap wilayah menyediakan satu instans backup gratis, yang dapat Anda gunakan untuk membuat backup data dari satu instans KMS berbasis perangkat lunak. Jika Anda ingin membuat backup beberapa instans KMS berbasis perangkat lunak, Anda harus membeli instans backup tambahan.

      1. Login ke Konsol Key Management Service. Pilih wilayah dari bilah menu atas. Di panel navigasi sebelah kiri, klik Security Operations > Disaster Recovery > Backups.

      2. Pada halaman Backups, temukan instans backup dan klik Enable di kolom Actions.

      3. Pada kotak dialog Enable Backup, pilih Instans A untuk Source Instance, masukkan alias kustom untuk Backup Alias, lalu klik OK.

        Catatan

        Proses backup memerlukan waktu sekitar lima menit. Durasi backup bergantung pada jumlah sumber daya dalam instans tersebut.

    3. Pulihkan data dari Instans A ke Instans B.

      • Pulihkan data dalam satu negara yang sama

        1. Di bilah navigasi atas, pilih Wilayah A. Pada halaman Backups, temukan instans backup dan klik View Data di kolom Actions.

        2. Pada tab Fully Backed up Keys, pilih kunci yang akan dimigrasikan, lalu klik Batch Restore di bagian bawah halaman.

        3. Pada panel Restore Data, pilih Instans B di Wilayah B sebagai tujuan, lalu klik OK.

      • Pulihkan data lintas batas negara

        1. Di bilah navigasi atas, pilih Wilayah A. Pada halaman Backups, temukan instans backup dan klik Download di kolom Actions.

        2. Pilih Backup Date dan klik OK. Simpan Encryption Key dan unduh file Backup Data.

        3. Di bilah navigasi atas, pilih Wilayah B. Pada halaman Backups, klik Upload Backup.

        4. Masukkan Decryption Key dan Backup Name (alias kustom), klik OK, lalu unggah file backup untuk Instans A.

        5. Dalam daftar backup, temukan backup yang telah Anda unggah dan klik View Data di kolom Actions.

        6. Pada tab Fully Backed up Keys, Incrementally Backed up Keys, atau Rotated Keys, klik Restore Data di kolom Actions, pilih Destination Instance, lalu klik OK.

    4. Modifikasi aplikasi Anda agar memanggil instans KMS di Wilayah B.

      Jenis operasi

      Deskripsi

      Operasi control plane

      Jika Anda menggunakan SDK Alibaba Cloud, ubah endpoint ke endpoint layanan KMS untuk Wilayah B. Untuk informasi selengkapnya mengenai endpoint layanan KMS, lihat Wilayah dan zona.

      Operasi kriptografi

      Jika Anda menggunakan KMS Instance SDK, ganti ClientKey, sertifikat CA instans, dan parameter lainnya dalam kode Anda.

      1. Di Wilayah B, buat titik akses aplikasi (AAP) untuk mengakses Instans B. Untuk informasi selengkapnya, lihat Buat AAP.

        Catatan

        Setelah membuat AAP, simpan informasi berikut:

        • File ClientKey: Konten kredensial aplikasi Anda (ClientKeyContent). Nama file default adalah clientKey_****.json.

        • Password ClientKey: Password untuk kredensial tersebut (ClientKeyPassword). Nama file default adalah clientKey_****_Password.txt.

        • Sertifikat CA instans KMS: Nama file default adalah PrivateKmsCA_kst-******.pem.

      2. Modifikasi kode Anda.

        Perbarui parameter inisialisasi untuk KMS Instance SDK agar menggunakan Instans B dan ClientKey baru. Sebagai contoh, jika Anda menggunakan KMS Instance SDK untuk Java, modifikasi parameter berikut saat menginisialisasi client:

        • clientKeyFilePath atau clientKeyContent: Ganti nilainya dengan path ke atau konten file ClientKey baru.

        • clientKeyPass: Ganti nilainya dengan password ClientKey baru.

        • endpoint: Ganti nilainya dengan nama domain Instans B, seperti kst-hzz659dfeee864za2****.cryptoservice.kms.aliyuncs.com.

        • caCertPath atau caCert: Ganti nilainya dengan path ke atau konten sertifikat CA untuk Instans B.

    Kunci dalam instans KMS berbasis perangkat keras dan kunci di luar instans

    KMS tidak mendukung migrasi langsung untuk kunci jenis ini. Gunakan metode berikut untuk menghilangkan ketergantungan pada kunci di wilayah sumber.

    • Untuk kunci yang digunakan untuk enkripsi dan dekripsi (ENCRYPT/DECRYPT)

      Prosesnya serupa baik untuk kunci simetris maupun asimetris.

      1. Di wilayah sumber, gunakan kunci asli untuk mendekripsi seluruh ciphertext dan kunci data terenkripsi.

      2. Migrasikan data teks biasa dan kunci data teks biasa ke wilayah tujuan.

      3. Di wilayah tujuan, beli instans KMS dan gunakan kunci dalam instans tersebut untuk mengenkripsi ulang data.

        1. Beli dan aktifkan instans KMS. Untuk informasi selengkapnya, lihat Pemilihan instans dan Beli dan aktifkan instans KMS.

        2. Gunakan instans KMS untuk mengenkripsi data dalam aplikasi yang Anda kelola sendiri. Untuk informasi selengkapnya, lihat Gunakan kunci KMS untuk mengenkripsi dan mendekripsi data secara online dan Gunakan Enkripsi amplop.

      4. Setelah memastikan kunci asli tidak lagi digunakan, nonaktifkan terlebih dahulu kunci tersebut di wilayah sumber, lalu jadwalkan penghapusannya. Untuk informasi selengkapnya, lihat Nonaktifkan kunci dan Jadwalkan penghapusan kunci.

    • Untuk kunci yang digunakan untuk penandatanganan dan verifikasi (SIGN/VERIFY)

      1. Di wilayah sumber, unduh kunci publik dari customer master key (CMK). Simpan kunci ini selama masih diperlukan untuk verifikasi signature.

        Login ke Konsol KMS, lalu lihat dan simpan kunci publik seperti yang ditunjukkan pada gambar berikut.image.png

      2. Di wilayah tujuan, beli dan aktifkan instans KMS. Untuk informasi selengkapnya, lihat Pemilihan instans dan Beli dan aktifkan instans KMS.

      3. Buat kunci dalam instans KMS baru. Untuk informasi selengkapnya, lihat Kunci yang dilindungi perangkat lunak atau Kunci yang dilindungi perangkat keras.

      4. Gunakan KMS Instance SDK untuk penandatanganan dan verifikasi. Untuk informasi selengkapnya, lihat KMS Instance SDK.

      5. Setelah memastikan kunci asli tidak lagi digunakan, nonaktifkan terlebih dahulu kunci tersebut di wilayah sumber, lalu jadwalkan penghapusannya. Untuk informasi selengkapnya, lihat Nonaktifkan kunci dan Jadwalkan penghapusan kunci.

    Kunci di luar instans KMS

    Login ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Pada halaman Keys, semua kunci yang ditampilkan pada tab Default Keys merupakan kunci di luar instans KMS.

    Catatan

    Jika Anda menggunakan KMS V3.0, tab Default Keys menampilkan satu customer master key (CMK) dan beberapa service key. Jika Anda menggunakan versi KMS yang lebih lama, tab Default Keys menampilkan semua CMK Anda, seperti yang ditandai dalam kotak merah pada gambar di bawah. Di konsol baru, kunci-kunci ini hanya dapat dilihat. Untuk memodifikasi propertinya, kembali ke versi lama Konsol KMS.

    image.png