Langkah 2: Lakukan migrasi - Key Management Service

Topik ini menjelaskan cara memigrasikan sumber daya dari instans KMS 1.0 ke instans KMS 3.0.

Catatan

Migrasi hanya didukung dalam wilayah yang sama. Jika Anda memiliki sumber daya di beberapa wilayah, Anda harus membeli instans KMS 3.0 untuk setiap wilayah tersebut dan memigrasikan sumber daya masing-masing wilayah secara terpisah.

1. Tentukan apakah Anda memiliki sumber daya yang perlu dimigrasikan

Catatan

Metode ini hanya menampilkan kunci yang dapat dimigrasikan. Untuk kunci yang tidak dapat dimigrasikan, Anda dapat melihat kunci yang tersisa di konsol lama setelah migrasi dan menghubungi dukungan teknis Alibaba Cloud untuk bantuan.

Masuk ke konsol Key Management Service lama. Di panel navigasi sebelah kiri, klik Migration Tool.
Jika tombol Migrate tersedia, berarti terdapat kunci atau kredensial yang perlu dimigrasikan di wilayah saat ini.
Penting
Data ditampilkan berdasarkan wilayah. Pastikan untuk memeriksa data di semua wilayah agar tidak melewatkan sumber daya apa pun.
Klik angka pada kolom Unmigrated Keys, Migrated Keys, Unmigrated Credentials, dan Migrated Credentials untuk melihat ID kunci dan nama kredensial tertentu.

2. Prosedur migrasi

Penting

Anda dapat memigrasikan maksimal 50 kunci dan 50 kredensial sekaligus. Jika Anda memiliki lebih banyak sumber daya, Anda harus memigrasikannya secara bertahap.

Migrasi akun tunggal

Persiapkan instans KMS tujuan.
- Jika Anda belum membeli instans KMS, Anda harus terlebih dahulu membeli dan mengaktifkannya. Untuk informasi selengkapnya, lihat Purchase and enable a KMS instance.
  Disarankan untuk mengaktifkan perpanjangan otomatis pada instans KMS guna mencegah kegagalan dekripsi akibat kedaluwarsa dan pelepasan instans, yang dapat menyebabkan data aplikasi menjadi tidak dapat diakses.
- Jika Anda sudah memiliki instans, pastikan versi gambarnya memenuhi persyaratan migrasi.
  - Instans manajemen kunci perangkat lunak: Jika versi gambarnya lebih awal dari 2.9.0, tingkatkan gambar ke versi terbaru. Untuk informasi selengkapnya, lihat Upgrade the image version of a KMS instance.
  - Instans manajemen kunci perangkat keras: Hubungi dukungan teknis Alibaba Cloud untuk meningkatkan versi gambar.
Masuk ke konsol Key Management Service lama dan nonaktifkan rotasi kunci dan kredensial.
Catatan
Rotasi tidak dapat dinonaktifkan secara batch. Anda harus menonaktifkan rotasi untuk setiap kunci dan kredensial satu per satu.

Di panel navigasi sebelah kiri, klik Migration Tool. Temukan wilayah yang berisi sumber daya yang ingin Anda migrasikan dan klik Migrate di kolom Actions. Pada tab Migrate Resources, lengkapi konfigurasinya.

Item konfigurasi	Deskripsi
Instance Type	Tipe instans KMS tujuan.
Instance	Pilih instans KMS tujuan dan tetapkan sebagai instans default. Setelah migrasi, jika Anda membuat sumber daya tanpa menentukan instans KMS (baik di konsol KMS 1.0 maupun dengan tidak memberikan ID instans KMS dalam panggilan API), sumber daya tersebut akan dibuat di KMS 1.0 dan ditandai untuk migrasi. Untuk menghindari hal ini, Anda harus menetapkan instans default selama migrasi. Setelah Anda menetapkan instans default, sumber daya yang dibuat tanpa instans KMS yang ditentukan secara otomatis akan ditugaskan ke instans default tersebut. Catatan Jika instans default belum pernah ditetapkan untuk wilayah saat ini, kotak centang Set As Default 3.0 Instance akan dipilih secara otomatis setelah Anda memilih instans KMS tujuan. Jika instans default telah ditetapkan untuk wilayah tersebut, kotak centang tidak akan dipilih secara otomatis. Namun, jika Anda memilih instans KMS yang berbeda, pengaturan default sebelumnya akan ditimpa secara otomatis. Hanya satu instans default yang dapat ditetapkan per wilayah.
Migration Method	Automatic Migration: Pilih waktu migrasi. Migrasi akan dimulai secara otomatis pada waktu yang ditentukan. Immediate Manual Migration: Migrasi dimulai segera setelah konfigurasi selesai.
Migration Time	Ini diperlukan hanya ketika Anda memilih Automatic Migration.
Resources To Migrate	Penting Sebelum memigrasikan, pastikan instans KMS Anda memiliki kuota yang cukup untuk menghindari kegagalan migrasi. Manually Select Resources To Migrate: Pilih sumber daya secara manual. Anda dapat memilih hingga 50 kunci dan 50 kredensial sekaligus. Anda dapat menyaring sumber daya berdasarkan ID kunci, alias kunci, dan nama kredensial. Full Migration Of All Keys And Credentials To Be Migrated: Migrasikan semua kunci dan kredensial sekaligus.

Baca dengan cermat Migration Notes dan klik OK. Kemudian, tinjau daftar periksa migrasi dan klik Migrate.
Anda dapat melihat progres migrasi di kolom Task Status. Setelah migrasi selesai, pesan Migration Completed akan ditampilkan.
Jika rotasi otomatis diaktifkan untuk kunci dan kredensial sebelum migrasi, Anda harus mengaktifkan kembali rotasi setelah migrasi selesai. Untuk informasi selengkapnya, lihat Key rotation dan Overview of credential management.

Migrasi multi-akun

Untuk memigrasikan sumber daya dari beberapa akun Alibaba Cloud ke satu instans KMS, lakukan langkah-langkah berikut.

Persiapkan instans KMS tujuan di salah satu akun.
- Jika Anda belum membeli instans KMS, Anda harus terlebih dahulu membeli dan mengaktifkannya. Untuk informasi selengkapnya, lihat Purchase and enable a KMS instance.
  Disarankan untuk mengaktifkan perpanjangan otomatis pada instans KMS guna mencegah kegagalan dekripsi akibat kedaluwarsa dan pelepasan instans, yang dapat menyebabkan data aplikasi menjadi tidak dapat diakses.
- Jika Anda sudah memiliki instans, pastikan versi gambarnya memenuhi persyaratan migrasi.
  - Instans manajemen kunci perangkat lunak: Jika versi gambarnya lebih awal dari 2.9.0, tingkatkan gambar ke versi terbaru. Untuk informasi selengkapnya, lihat Upgrade the image version of a KMS instance.
  - Instans manajemen kunci perangkat keras: Hubungi dukungan teknis Alibaba Cloud untuk meningkatkan versi gambar.
Bagikan instans KMS tersebut ke akun Alibaba Cloud lainnya. Untuk informasi selengkapnya, lihat Langkah 1 hingga 3 di Share a KMS instance across multiple accounts.
Penting
Pembagian hanya didukung dalam direktori sumber daya. Pemilik sumber daya dan pihak yang berwenang harus termasuk dalam perusahaan yang sama yang telah menyelesaikan verifikasi identitas.
Masuk ke setiap akun Alibaba Cloud dan migrasikan sumber dayanya ke instans KMS bersama tersebut. Prosedurnya sama seperti migrasi akun tunggal.

3. Operasi pasca-migrasi

Penting

Setelah migrasi, KMS menerapkan kebijakan default pada kunci dan kredensial yang dimigrasikan. Untuk informasi selengkapnya, lihat Overview of key policies dan Overview of credential policies.

Masuk ke konsol baru untuk melihat dan mengonfirmasi sumber daya yang dimigrasikan.
- Kunci layanan
  1. Buka halaman Key Management dan pilih wilayah dari bilah menu atas.
  2. Klik tab Default Keys. Verifikasi bahwa kunci layanan Anda tercantum dan kolom Key Usage diatur ke Service Key.
- Kunci master pelanggan
  1. Buka halaman Key Management dan pilih wilayah dari bilah menu atas.
  2. Klik tab Customer Master Keys dan verifikasi bahwa kunci master pelanggan yang dimigrasikan ditampilkan.
- Kredensial
  1. Buka halaman Credential Management dan pilih wilayah dari bilah menu atas.
  2. Pilih instans KMS dan konfirmasi bahwa kredensial yang dimigrasikan tercantum.
Jika Anda menggunakan Terraform untuk mengelola sumber daya KMS, Anda harus memodifikasi konfigurasi Terraform. Untuk informasi selengkapnya, lihat Modify configurations after migration in a Terraform scenario.

4. Pemantauan migrasi

Untuk memastikan migrasi kunci berjalan lancar, dapat diamati, dan dapat dilacak, Anda harus memantau gerbang bersama dan gerbang khusus sebelum, selama, dan setelah migrasi. Anda dapat menggunakan CloudMonitor, Simple Log Service (SLS), dan ActionTrail untuk pemantauan komprehensif. Bagian berikut menjelaskan poin pengamatan utama dan tindakan yang direkomendasikan.

Sebelum migrasi: Amati dasbor gerbang bersama
Sebelum migrasi kunci selesai dan sebelum Anda mengalihkan Endpoint klien, semua permintaan KMS masih diproses oleh gerbang bersama. Pada tahap ini, fokuslah pada stabilitas dan kinerja gerbang bersama.
- Tujuan pengamatan: Pastikan migrasi tidak menyebabkan beban abnormal atau kesalahan pada gerbang bersama.
- Metrik yang diamati:
  - Latensi permintaan: Periksa adanya peningkatan signifikan.
  - Distribusi kode kesalahan (seperti 4xx dan 5xx): Pastikan tidak ada lonjakan mendadak kesalahan abnormal.
  - Tren QPS/TPS: Bandingkan lalu lintas sebelum dan sesudah migrasi untuk memastikan konsistensi. Hal ini membantu mencegah lonjakan permintaan atau gangguan akibat operasi yang salah.
- Cara melihat:
  - Metode 1: Masuk ke konsol baru. Di halaman Ikhtisar, periksa metrik seperti latensi permintaan dan kode kesalahan pada dasbor Shared Gateway.
  - Metode 2: Masuk ke konsol CloudMonitor. Di bagian Product Monitoring, cari Key Management Service (KMS) untuk melihat dasbor Shared Gateway.
Catatan
Catat metrik garis dasar sebelum migrasi sebagai referensi perbandingan.

Setelah migrasi: Amati dasbor gerbang bersama dan gerbang khusus secara bersamaan

Sebelum mengalihkan Endpoint: Lanjutkan mengamati gerbang bersama. Meskipun kunci telah dimigrasikan ke instans khusus, permintaan masih dialihkan melalui gerbang bersama hingga Anda mengalihkan Endpoint klien. Gerbang bersama meneruskan permintaan tersebut secara transparan ke instans khusus di backend.

Setelah mengalihkan Endpoint: Amati gerbang bersama dan gerbang khusus secara bersamaan. Setelah klien menyelesaikan pengalihan Endpoint, permintaan langsung mengakses instans khusus melalui gerbang khusus. Pada titik ini, Anda harus memantau kedua gerbang tersebut:

Tipe Gateway	Poin pengamatan utama	Cara melihat
Gerbang khusus	Kode kesalahan Perubahan latensi permintaan Apakah QPS memenuhi ekspektasi	CloudMonitor: Dasbor gerbang khusus KMS
Gerbang bersama	Apakah permintaan dari layanan asli telah sepenuhnya dialihkan Apakah masih ada permintaan tersisa atau panggilan abnormal	Amati dasbor gerbang bersama untuk wilayah yang sesuai

Catatan

Kriteria untuk mengidentifikasi anomali:

Jika gerbang khusus melaporkan banyak kesalahan throttling, Anda mungkin perlu menyesuaikan tipe instans atau kebijakan throttling.
Jika gerbang bersama masih menerima permintaan dengan frekuensi tinggi, berarti beberapa klien belum menyelesaikan pengalihan Endpoint. Anda harus menyelidiki masalah tersebut.

Pengamatan tingkat log: Analisis log akses terperinci menggunakan SLS
Untuk mencapai pelacakan permintaan yang lebih rinci dan diagnosis masalah, aktifkan fitur pengumpulan log berikut:
- Log akses gerbang khusus:
  - Anda dapat membeli layanan tambahan analisis log untuk gerbang khusus guna mengirimkan log secara otomatis ke Simple Log Service (SLS).
  - Anda dapat melakukan kueri dan menganalisis log berdasarkan bidang-bidang seperti ID kunci, akun Alibaba Cloud, operasi API, dan kode status tanggapan.
- Log akses terperinci gerbang bersama:
  - Aktifkan ActionTrail dan kirimkan jejak event ke Logstore SLS yang ditentukan.
  - Analisis perilaku permintaan tertentu dengan melakukan kueri berdasarkan kondisi-kondisi seperti EventName = "Decrypt" dan ResourceType = "KMS".
  - Gunakan bidang ErrorCode untuk menentukan penyebab kegagalan, seperti izin yang tidak mencukupi atau kunci yang tidak ada.

Strategi pemantauan yang direkomendasikan

Fase	Fokus pemantauan	Alat
Sebelum migrasi	Stabilitas gerbang bersama	Dasbor CloudMonitor
Selama alih bencana	Tingkat keberhasilan permintaan, perubahan mendadak pada latensi	Pemantauan real-time + peringatan SLS
Setelah migrasi	Status kesehatan gerbang khusus	Dasbor gerbang khusus + log SLS
Sepanjang proses	Tren kode kesalahan abnormal	ActionTrail + analisis agregasi SLS