Key Management Service：Migrasikan rahasia lintas wilayah

Rahasia generik

Untuk memigrasikan rahasia generik dalam instance KMS, beli instance KMS di wilayah tujuan lalu migrasikan rahasia menggunakan pencadangan dan pemulihan. Untuk detail lebih lanjut, lihat Manajemen Cadangan. Untuk memigrasikan rahasia generik di luar instance KMS, peroleh informasi rahasia dari wilayah sumber, lalu buat rahasia baru dengan informasi serupa di wilayah tujuan.

Catatan penggunaan

• Selama proses migrasi, jangan lakukan operasi apa pun pada rahasia di wilayah sumber hingga migrasi selesai dan rahasia di wilayah sumber telah dihapus. Sebagai contoh, jangan modifikasi metadata rahasia atau buat versi baru dengan memanggil operasi PutSecretValue.

• Setelah migrasi selesai, waktu pembuatan rahasia dan versinya mungkin berbeda antara wilayah sumber dan tujuan. Namun, ketidaksesuaian ini tidak akan memengaruhi layanan Anda.

Prosedur

1. Peroleh dan simpan detail rahasia yang ingin Anda kelola dari wilayah sumber.

   Gunakan operasi API untuk mendapatkan dan menyimpan informasi seperti metadata rahasia, semua versi rahasia, serta nilai rahasia dari setiap versi.

   Operasi API	Deskripsi
   DescribeSecret Catatan Atur FetchTags ke true.	Mendapatkan informasi metadata tentang rahasia.
   ListSecretVersionIds Catatan Atur IncludeDeprecated ke true.	Mendapatkan semua versi rahasia dari sebuah rahasia. ID yang ditunjukkan oleh VersionIds dalam respons tidak diurutkan berdasarkan waktu pembuatan. Urutkan ID berdasarkan waktu pembuatan secara lokal. Contohnya: Versi v1, dibuat pada 1 Januari 2023 dengan status 001. Versi v2, dibuat pada 1 Mei 2023 dengan status ACSPrevious. Versi v3, dibuat pada 1 November 2023 dengan status ACSCurrent.
   GetSecretValue	Mendapatkan nilai rahasia. Setiap versi rahasia memiliki nilai rahasia terkait. Pastikan untuk mendapatkan nilai rahasia dan tipe nilai rahasia dari setiap versi rahasia.

2. Migrasikan aplikasi Anda ke wilayah tujuan dan sesuaikan konfigurasinya.

   1. Migrasikan aplikasi ke wilayah tujuan.

   2. Buat kredensial untuk aplikasi.

      1. Jika aplikasi menggunakan pasangan AccessKey dari Pengguna Resource Access Management (RAM) atau Peran RAM di wilayah sumber, buat Pengguna RAM atau Peran RAM dan lampirkan kebijakan AliyunKMSSecretAdminAccess ke Pengguna RAM atau Peran RAM di wilayah tujuan. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM dan Berikan Izin kepada Pengguna RAM dan Buat Peran RAM dan Lampirkan Kebijakan yang Diperlukan ke Peran Tersebut.

      2. Jika aplikasi menggunakan kunci klien dari titik akses aplikasi (AAP) di wilayah sumber, buat kunci klien di wilayah tujuan. Untuk informasi lebih lanjut, lihat Buat AAP.

         Catatan

         Anda harus membeli instance KMS sebelum membuat AAP.

   3. Sesuaikan pengaturan titik akhir dan kredensial di aplikasi.

      Catatan

      Titik akhir KMS berbeda dari titik akhir instance KMS. Konfigurasikan titik akhir berdasarkan SDK yang digunakan. Untuk informasi lebih lanjut tentang titik akhir, lihat Referensi SDK.

3. Buat rahasia di wilayah tujuan.

   1. Beli instance KMS. Untuk informasi lebih lanjut, lihat Pemilihan Instance dan Pembelian dan Pengaktifan Instance KMS.

   2. Buat kunci di instance KMS untuk mengenkripsi rahasia. Untuk informasi lebih lanjut, lihat Memulai dengan Kunci.

   3. Gunakan operasi API untuk membuat rahasia. Metadata, semua versi rahasia, dan nilai rahasia dari setiap versi rahasia harus sama di wilayah sumber dan tujuan.

      API	Deskripsi
      CreateSecret	Membuat rahasia generik. secretName, secretType, Tags, Description, dan ExtendedConfig: Masukkan nilai yang Anda peroleh dengan memanggil operasi DescribeSecret di wilayah sumber. VersionId: Masukkan versi awal yang Anda peroleh dengan memanggil operasi ListSecretVersionIds di wilayah sumber. Dalam contoh ini, v1 digunakan. SecretData dan SecretDataType: Masukkan nilai rahasia dan tipe nilai rahasia dari versi awal yang Anda peroleh dengan memanggil operasi GetSecretValue di wilayah sumber. Dalam contoh ini, versi awal adalah v1.
      PutSecretValue	Menyimpan semua versi rahasia dalam rahasia. Ketika rahasia dibuat, versi awal sudah disimpan dalam rahasia. Dalam hal ini, hanya versi rahasia yang tersisa yang perlu disimpan. Dalam contoh ini, v2 dan v3 perlu disimpan.
      UpdateSecretVersionStage	Mengonfigurasi status untuk semua versi rahasia. Dalam contoh ini, status versi v1 diatur ke 001, status versi v2 diatur ke ACSPrevious, dan status versi v3 diatur ke ACSCurrent.

   4. Gunakan operasi DescribeSecret untuk memastikan bahwa informasi rahasia sama di wilayah sumber dan tujuan.

4. Verifikasi apakah aplikasi dapat berfungsi seperti yang diharapkan setelah integrasi rahasia.

5. Setelah Anda yakin bahwa rahasia di wilayah sumber tidak lagi diperlukan, hapus rahasia tersebut. Untuk informasi lebih lanjut, lihat Kelola dan Gunakan Rahasia Generik.

   Catatan

   Gunakan ActionTrail untuk melihat panggilan terbaru terkait rahasia. Untuk informasi lebih lanjut, lihat Gunakan ActionTrail untuk Menanyakan Acara KMS. Untuk informasi lebih lanjut tentang acara yang didukung di ActionTrail, lihat Acara Audit KMS. Acara terkait rahasia mencakup GetSecretValue, DescribeSecret, ListSecretVersionIds, PutSecretValue, UpdateSecret, UpdateSecretVersionStage, UpdateSecretRotationPolicy, dan RestoreSecret.

Rahasia RAM

Migrasi tidak didukung.

Pengguna RAM hanya dapat membuat satu rahasia di KMS. Hapus rahasia RAM di wilayah sumber, lalu buat rahasia RAM baru di wilayah tujuan.

Rahasia ApsaraDB RDS

Migrasi tidak diperlukan.

Instance ApsaraDB RDS adalah sumber daya spesifik wilayah. Tidak ada kebutuhan untuk memigrasikan rahasia terkait.

Rahasia ECS

Migrasi tidak diperlukan.

Instance Elastic Compute Service (ECS) adalah sumber daya spesifik wilayah. Tidak ada kebutuhan untuk memigrasikan rahasia terkait.