Jika Anda perlu mengenkripsi sejumlah kecil data sensitif di aset dengan alamat IP publik yang ditempatkan di Alibaba Cloud atau cloud lainnya, Anda dapat menggunakan kunci di Key Management Service (KMS) untuk mengenkripsi dan mendekripsi data tersebut. Topik ini menjelaskan cara menggunakan kunci untuk mengenkripsi dan mendekripsi data.
Skenario
Proses yang dijelaskan dalam topik ini cocok untuk skenario di mana ukuran data untuk enkripsi simetris atau dekripsi tidak melebihi 6 KB per operasi, atau ukuran data untuk enkripsi asimetris atau dekripsi tidak melebihi 1 KB per operasi.
Ukuran data besar untuk satu operasi enkripsi meningkatkan kemungkinan kegagalan transmisi jaringan dan memperpanjang waktu transmisi. Waktu yang diperlukan oleh instance KMS untuk melakukan enkripsi dan dekripsi pada data juga bertambah.
Berikut adalah penjelasan skenario tipikal:
Skenario 1: Aplikasi yang ditempatkan di Alibaba Cloud memerlukan enkripsi dan dekripsi data
Aplikasi yang ditempatkan di Alibaba Cloud menghasilkan atau menerima data sensitif dalam teks biasa. Data sensitif tersebut harus dienkripsi lalu disimpan di database. Dalam skenario ini, kami merekomendasikan penggunaan enkripsi simetris.
Skenario 2: Aplikasi yang ditempatkan di dalam dan di luar Alibaba Cloud memerlukan enkripsi dan dekripsi data
Kami merekomendasikan penggunaan enkripsi asimetris. Aplikasi atau program klien yang ditempatkan di luar Alibaba Cloud menggunakan kunci publik untuk mengenkripsi data dan mengirimkan ciphertext ke aplikasi yang ditempatkan di Alibaba Cloud. Kemudian, aplikasi tersebut memanggil SDK Instance KMS untuk mendekripsi ciphertext dengan menggunakan kunci privat yang sesuai dengan kunci publik.
Skenario 1: Aplikasi yang ditempatkan di Alibaba Cloud memerlukan enkripsi dan dekripsi data
Operasi API terkait
Operasi API | Deskripsi |
AdvanceEncrypt (direkomendasikan) | Mengenkripsi teks biasa menjadi ciphertext dengan menggunakan versi utama dari sebuah kunci. Catatan Anda hanya dapat memanggil operasi ini jika Anda menggunakan kunci simetris di instance KMS tipe manajemen kunci perangkat lunak. |
AdvanceDecrypt (direkomendasikan) | Mendekripsi ciphertext menjadi teks biasa. Catatan Anda hanya dapat memanggil operasi ini jika Anda menggunakan kunci simetris di instance KMS tipe manajemen kunci perangkat lunak. |
Mengenkripsi teks biasa menjadi ciphertext dengan menggunakan versi awal dari sebuah kunci. | |
Mendekripsi ciphertext menjadi teks biasa. |
Prosedur
Beli dan aktifkan instance KMS tipe manajemen kunci perangkat keras atau tipe manajemen kunci perangkat lunak. Untuk informasi lebih lanjut, lihat Beli dan aktifkan instance KMS.
Buat kunci simetris di instance KMS untuk mengenkripsi dan mendekripsi data. Untuk informasi lebih lanjut, lihat Buat kunci.
Buat titik akses aplikasi (AAP), lalu buat kunci klien untuk AAP tersebut. Untuk informasi lebih lanjut, lihat Akses instance KMS menggunakan AAP.
CatatanAplikasi yang ditempatkan di Alibaba Cloud menggunakan AAP untuk mengakses instance KMS. Jika Anda memiliki beberapa aplikasi, buat AAP untuk setiap aplikasi.
Gunakan SDK Instance KMS untuk mengenkripsi dan mendekripsi data. Untuk informasi lebih lanjut, lihat SDK Instance KMS.
CatatanKMS menyediakan berbagai SDK. Hanya SDK Instance KMS yang mendukung operasi kriptografi. Untuk informasi lebih lanjut, lihat Panduan pengguna SDK.
Skenario 2: Aplikasi yang ditempatkan di dalam dan di luar Alibaba Cloud memerlukan enkripsi dan dekripsi data
Operasi API terkait
Operasi API | Deskripsi |
Mengenkripsi teks biasa menjadi ciphertext dengan menggunakan versi awal dari sebuah kunci. | |
Mendekripsi ciphertext menjadi teks biasa. |
Prosedur
Beli dan aktifkan instance KMS tipe manajemen kunci perangkat keras atau tipe manajemen kunci perangkat lunak. Untuk informasi lebih lanjut, lihat Beli dan aktifkan instance KMS.
Buat kunci asimetris di instance KMS untuk mengenkripsi dan mendekripsi data. Untuk informasi lebih lanjut, lihat Buat kunci.
Peroleh dan simpan kunci publik di konsol KMS, lalu distribusikan kunci publik ke aplikasi yang ditempatkan di luar Alibaba Cloud.
Buat AAP, lalu buat kunci klien untuk AAP tersebut. Untuk informasi lebih lanjut, lihat Akses instance KMS menggunakan AAP.
CatatanAplikasi yang ditempatkan di Alibaba Cloud menggunakan AAP untuk mengakses instance KMS. Jika Anda memiliki beberapa aplikasi, buat AAP untuk setiap aplikasi.
Aplikasi yang ditempatkan di luar Alibaba Cloud menggunakan kunci publik untuk mengenkripsi data sensitif atau kunci simetris sementara, lalu mengirimkan ciphertext data sensitif atau ciphertext kunci simetris sementara ke aplikasi yang ditempatkan di Alibaba Cloud. Aplikasi di Alibaba Cloud menggunakan SDK Instance KMS untuk mendekripsi data sensitif atau kunci simetris sementara. Untuk informasi lebih lanjut, lihat SDK Instance KMS.
CatatanKMS menyediakan berbagai SDK. Hanya SDK Instance KMS yang mendukung operasi kriptografi. Untuk informasi lebih lanjut, lihat Panduan pengguna SDK.