Key Management Service (KMS) menyediakan SDK dan KMS Agent untuk manajemen kunci, operasi kriptografi, serta pengambilan nilai rahasia. Anda dapat mengintegrasikan SDK atau KMS Agent ke dalam aplikasi yang dikelola sendiri untuk menjalankan operasi tersebut. Topik ini menjelaskan proses integrasi.
Ikhtisar Integrasi
Aplikasi dapat menggunakan berbagai alat integrasi untuk memanggil operasi API KMS. Metode autentikasi yang didukung dan jenis API bervariasi tergantung pada tipe gateway. Gambar berikut menunjukkan proses integrasi.
Tipe Gateway: KMS menyediakan gateway bersama dan khusus. Gateway bersama digunakan untuk jaringan global KMS, sedangkan gateway khusus digunakan untuk instance KMS tertentu.
Metode Autentikasi: KMS mendukung autentikasi Resource Access Management (RAM) dan autentikasi titik akses aplikasi (AAP). Namun, autentikasi AAP tidak direkomendasikan.
Metode Integrasi: KMS menyediakan SDK dan KMS Agent untuk membantu pengguna mengintegrasikan KMS ke dalam kode bisnis. SDK yang didukung meliputi Alibaba Cloud SDK, secret SDK, dan KMS Instance SDK.
Jenis API: KMS menyediakan KMS API dan KMS Instance API. KMS Instance API tidak direkomendasikan. Operasi API yang didukung dikategorikan menjadi operasi API manajemen dan operasi API bisnis. Operasi API bisnis mencakup operasi kriptografi dan operasi pengambilan rahasia. KMS API mendukung kedua jenis operasi, sedangkan KMS Instance API hanya mendukung operasi API bisnis.
Tipe Gateway
KMS menyediakan dua jenis gateway: gateway bersama dan gateway khusus. Gateway bersama digunakan untuk jaringan global KMS, memungkinkan pengguna mengakses KMS melalui Internet atau virtual private clouds (VPC), serta mendukung operasi API manajemen dan bisnis. Sementara itu, gateway khusus digunakan untuk jaringan instance KMS tertentu, di mana pengguna hanya dapat mengakses KMS melalui jaringan pribadi. Gateway khusus hanya mendukung operasi API bisnis dan menjamin keamanan end-to-end untuk operasi API serta tingkat keamanan data yang tinggi.
Perbedaan | Gateway bersama | Gateway khusus |
Skenario yang direkomendasikan |
|
|
Endpoint | Internet atau VPC | Jaringan pribadi KMS |
Performa | Untuk performa enkripsi dan dekripsi data, permintaan per detik (QPS) adalah 1.000 saat menggunakan gateway bersama untuk mengakses KMS. | Performa bergantung pada performa komputasi instance KMS Anda. Sebagai contoh, performa komputasi bisa 1.000 atau 2.000 QPS. |
Metode integrasi yang didukung | Alibaba Cloud SDK, secret SDK, dan KMS Agent | Alibaba Cloud SDK, secret SDK, KMS Agent, dan KMS Instance SDK |
Operasi API yang didukung | Semua operasi API KMS | Operasi kriptografi dan pengambilan nilai rahasia KMS API, serta operasi KMS Instance API. Operasi KMS Instance API tidak direkomendasikan. |
Autentikasi | Autentikasi RAM dan autentikasi AAP. Autentikasi AAP tidak direkomendasikan. | Autentikasi RAM dan autentikasi AAP. Autentikasi AAP tidak direkomendasikan. |
Sertifikat Otoritas Sertifikat (CA) | Tidak diperlukan sertifikat CA. | Diperlukan sertifikat CA. |
Autentikasi
KMS mendukung autentikasi RAM dan autentikasi AAP. Namun, autentikasi AAP tidak direkomendasikan. Untuk informasi lebih lanjut, lihat Kelola Kredensial Akses dan Manajemen AAP.
Perbedaan | Autentikasi RAM | Autentikasi AAP (tidak direkomendasikan) |
Fungsi |
|
|
Metode integrasi yang didukung | Alibaba Cloud SDK, secret SDK, dan KMS Agent | Secret SDK dan KMS Instance SDK |
Operasi API yang didukung | Semua operasi API KMS | Operasi pengambilan rahasia KMS API dan operasi KMS Instance API |
Gateway yang didukung | Gateway khusus dan bersama | Gateway khusus dan bersama Catatan Untuk autentikasi AAP, dua mode autentikasi konfigurasi gateway khusus dan konfigurasi gateway bersama disediakan untuk gateway berbeda. Untuk informasi lebih lanjut, lihat Autentikasi AAP. |
Metode Integrasi
KMS menyediakan SDK dan KMS Agent untuk integrasi. SDK mendukung semua operasi API manajemen dan bisnis, termasuk operasi kriptografi dan operasi pengambilan rahasia. KMS Agent hanya mendukung operasi pengambilan rahasia.
SDK
SDK mengenkapsulasi proses penandatanganan data kompleks ke dalam metode sederhana. Anda hanya perlu memasukkan parameter yang diperlukan dan informasi autentikasi sesuai deskripsi API. KMS menyediakan Alibaba Cloud SDK, secret SDK, dan KMS Instance SDK. KMS Instance SDK tidak direkomendasikan. Pilih SDK yang sesuai dengan kebutuhan bisnis Anda, lalu integrasikan SDK berdasarkan diagram alur berikut. Untuk informasi lebih lanjut tentang integrasi SDK, lihat Referensi SDK.
Catatan Penggunaan
Semua operasi API manajemen dan bisnis terkait kunci dan rahasia didukung. Operasi API manajemen hanya mendukung metode integrasi SDK.
SDK tersedia dalam berbagai bahasa pemrograman untuk lingkungan yang sesuai.
Diagram Alur Integrasi
Deskripsi Integrasi
Tipe SDK | Operasi API yang Didukung | Gateway dan Metode Autentikasi | Bahasa Pemrograman yang Didukung |
Secret SDK |
| Gateway Bersama:
Gateway Khusus: Autentikasi AAP untuk KMS Instance API (tidak direkomendasikan) |
|
Alibaba Cloud SDK | KMS API:
| Gateway Bersama: Autentikasi RAM untuk KMS API Gateway Khusus: Autentikasi RAM untuk KMS API |
|
KMS Instance SDK (tidak direkomendasikan) | KMS Instance API: Operasi Terkait Kunci, Operasi Terkait Rahasia, dan GenerateRandom | Gateway Bersama: tidak didukung Gateway Khusus: Autentikasi AAP untuk KMS Instance API |
|
KMS Agent
KMS Agent menyederhanakan proses autentikasi dan manajemen cache untuk akses aplikasi ke KMS. Ini dibangun di atas antarmuka HTTP standar. Untuk informasi lebih lanjut, lihat KMS Agent.
Catatan Penggunaan
Aplikasi bisnis dalam bahasa pemrograman apa pun dapat mengakses KMS Agent.
KMS Agent hanya mendukung akses dari aplikasi bisnis lokal.
KMS Agent hanya mendukung operasi pengambilan rahasia dan tidak mendukung operasi manajemen informasi rahasia, seperti memodifikasi atau menghapus rahasia.
Diagram Alur Integrasi
Deskripsi Integrasi
Operasi API yang Didukung | Tipe Gateway | Metode Autentikasi | Bahasa Pemrograman yang Didukung |
KMS API: | Gateway bersama dan khusus | Autentikasi RAM | KMS Agent dikembangkan di atas antarmuka HTTP standar dan dapat digunakan oleh aplikasi bisnis dalam semua bahasa pemrograman. |
Jenis API
KMS menyediakan KMS API dan KMS Instance API. KMS Instance API tidak direkomendasikan. Operasi API yang didukung diklasifikasikan menjadi operasi API manajemen, operasi kriptografi, dan operasi pengambilan nilai rahasia. Untuk informasi lebih lanjut, lihat KMS API dan KMS Instance API.
Operasi API Manajemen
Operasi API manajemen mencakup operasi untuk mengelola instance KMS, kunci, dan rahasia, seperti membuat kunci, membuat rahasia, membuat instance KMS, dan memodifikasi tag rahasia.
Anda hanya dapat menggunakan Alibaba Cloud SDK untuk memanggil operasi API manajemen KMS API melalui gateway bersama.
Operasi Kriptografi
Operasi kriptografi mencakup enkripsi simetris dan dekripsi, enkripsi asimetris dan dekripsi, enkripsi amplop, pembuatan kunci data, penandatanganan data, dan verifikasi tanda tangan.
Anda dapat menggunakan Alibaba Cloud SDK atau KMS Instance SDK untuk memanggil operasi kriptografi.
Untuk memanggil operasi kriptografi melalui gateway bersama, Anda harus mengaktifkan saklar untuk akses melalui Internet. Untuk informasi lebih lanjut, lihat Akses Kunci Instance KMS melalui Internet.
Pengambilan Nilai Rahasia
Anda dapat menggunakan secret SDK, Alibaba Cloud SDK, KMS Instance SDK, atau KMS Agent untuk memanggil GetSecretValue dari KMS API atau GetSecretValue dari KMS Instance API melalui gateway bersama atau khusus. Operasi GetSecretValue dari KMS Instance API tidak direkomendasikan.