Anda dapat mengelola akun basis data ApsaraDB for Redis atau ApsaraDB for Redis Enhanced Edition (Tair) dalam rahasia ApsaraDB for Redis/Tair dari Key Management Service (KMS). Dengan integrasi SDK ke aplikasi Anda, aplikasi dapat secara dinamis mengambil rahasia dari KMS untuk masuk ke basis data. Anda juga dapat mengonfigurasi rotasi rahasia guna mengurangi risiko kebocoran akun. Topik ini menjelaskan cara mengelola dan menggunakan rahasia ApsaraDB for Redis/Tair.
Deskripsi fitur
Dengan menggunakan rahasia ApsaraDB for Redis/Tair, Anda tidak perlu mengonfigurasi akun basis data statis di aplikasi. Setelah membuat rahasia ApsaraDB for Redis/Tair untuk basis data di KMS, aplikasi dapat memanggil operasi GetSecretValue untuk mengambil rahasia dan mengakses basis data.
Anda hanya dapat mengelola akun baru ApsaraDB for Redis atau Tair dalam rahasia ApsaraDB for Redis/Tair hanya dalam mode dua akun. Anda tidak dapat mengelola akun yang sudah ada. Saat Anda membuat rahasia ApsaraDB for Redis/Tair di KMS, Anda harus mengonfigurasi akun basis data kustom. Dalam hal ini, KMS memanggil operasi ApsaraDB for Redis atau Tair untuk membuat dua akun yang memiliki izin dan kata sandi yang sama. Ambil Tair (Redis OSS-compatible) sebagai contoh. Jika Anda memasukkan awalan nama pengguna user, akun bernama user dan user_clone dibuat. Label tahap versi untuk rahasia akun user disetel ke ACSCurrent, dan label tahap versi untuk rahasia akun user_clone disetel ke ACSPrevious. Untuk melihat akun, masuk ke konsol ApsaraDB for Redis, buka halaman Instances, lalu temukan instance terkait. Di halaman detail instance, klik Account Management.
Jika Anda mengonfigurasi rotasi rahasia, kata sandi dari dua akun ApsaraDB for Redis tetap valid selama proses rotasi. Hal ini memastikan bahwa aplikasi masih dapat mengambil rahasia yang valid saat rahasia sedang dirotasi. Mode dua akun memberikan ketersediaan lebih tinggi dibandingkan mode satu akun.
Jika Anda mengelola akun ApsaraDB for Redis atau Tair di KMS, jangan modifikasi atau hapus akun di Tair (Redis OSS-compatible). Jika tidak, kegagalan layanan mungkin terjadi.
Jika ApsaraDB for Redis atau Tair berada dalam arsitektur kluster, KMS tidak mendukung akun ApsaraDB for Redis atau Tair. Untuk informasi lebih lanjut tentang arsitektur Tair (Redis OSS-compatible), lihat Arsitektur Layanan.
Proses berikut menggunakan Tair (Redis OSS-compatible) sebagai contoh untuk menjelaskan cara menggunakan rahasia.
Prasyarat
Instans KMS telah dibuat dan diaktifkan. Untuk informasi lebih lanjut, lihat Beli dan Aktifkan Instans KMS.
Sebuah kunci simetris untuk mengenkripsi rahasia telah dibuat di dalam instans KMS. Untuk informasi lebih lanjut, lihat Create a key.
Instans ApsaraDB for Redis atau instans Tair telah dibuat. Untuk informasi lebih lanjut, lihat Langkah 1: Buat Instans.
Jika Anda menggunakan Pengguna Resource Access Management (RAM) atau Peran RAM untuk mengelola rahasia ApsaraDB for Redis/Tair, kebijakan sistem AliyunKMSSecretAdminAccess harus dilampirkan ke Pengguna RAM atau Peran RAM. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM atau Berikan Izin kepada Peran RAM.
Buat rahasia ApsaraDB for Redis/Tair
Saat membuat rahasia, Anda dapat mengonfigurasi rotasi otomatis untuk mengurangi risiko kebocoran rahasia.
Masuk ke konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih .
Klik tab Database Secrets, pilih ID instans KMS dari daftar drop-down Instance ID, lalu klik Create a secret.
Pilih Create Single Secret atau Create Bulk Secrets. Kemudian, konfigurasikan parameter dan klik OK.
CatatanSaat membuat rahasia, sistem secara otomatis membuat peran terhubung layanan AliyunServiceRoleForKMSSecretsManagerForRedis dan melampirkan kebijakan AliyunServiceRolePolicyForKMSSecretsManagerForRedis ke peran tersebut. KMS mengasumsikan peran ini untuk mengelola rahasia, seperti merotasi kata sandi akun yang disimpan dalam rahasia.
Anda dapat masuk ke konsol RAM untuk melihat detail peran dan kebijakan terhubung layanan. Untuk informasi lebih lanjut, lihat Lihat Informasi tentang Peran RAM dan Lihat Informasi tentang Kebijakan.
Contoh berikut menunjukkan pembuatan rahasia tunggal.
Parameter
Deskripsi
Database Type
Jenis rahasia basis data yang ingin Anda buat. Pilih ApsaraDB for Redis Secrets.
Secret Name
Nama rahasia. Nama rahasia unik di wilayah saat ini.
ApsaraDB for Redis/Tair Instance
Instans ApsaraDB for Redis yang ada yang ingin Anda kelola dalam akun Alibaba Cloud Anda.
Account Management
Hanya Manage Dual Accounts yang didukung.
Secret Value
Saat Anda menggunakan KMS untuk mengelola akun instans ApsaraDB for Redis, Anda hanya dapat mengelola akun baru. Akun yang sudah ada tidak dapat dikelola.
Account Name: Masukkan awalan nama pengguna. Lalu, KMS memanggil operasi ApsaraDB for Redis untuk membuat dua akun yang memiliki izin yang sama. Sebagai contoh, jika Anda memasukkan awalan nama pengguna
user,userdanuser _cloneakun dibuat.Permissions: Nilai valid adalah Read/Write dan Read-Only. Dua akun ApsaraDB for Redis memiliki izin yang sama.
CMK
Kunci yang digunakan untuk mengenkripsi nilai saat ini dari rahasia.
PentingKunci dan rahasia Anda harus milik instans KMS yang sama. Kunci tersebut harus berupa kunci simetris. Untuk informasi lebih lanjut tentang kunci simetris yang didukung oleh KMS, lihat Spesifikasi kunci untuk enkripsi simetris dan asimetris.
Jika Anda adalah Pengguna RAM atau Peran RAM, Anda harus memiliki izin untuk memanggil operasi GenerateDataKey menggunakan kunci.
Tag
Tag yang ingin Anda tambahkan ke rahasia. Anda dapat menggunakan tag untuk mengklasifikasikan dan mengelola rahasia. Tag terdiri dari pasangan kunci-nilai.
CatatanKunci tag atau nilai tag dapat mencapai panjang hingga 128 karakter dan dapat berisi huruf, angka, garis miring (/), backslash (\), garis bawah (_), tanda hubung (-), titik (.), tanda plus (+), tanda sama dengan (=), titik dua (:), at (@), dan spasi.
Kunci tag tidak boleh dimulai dengan aliyun atau acs:.
Anda dapat mengonfigurasi hingga 20 pasangan kunci-nilai untuk setiap rahasia.
Automatic Rotation
Menentukan apakah akan mengaktifkan rotasi rahasia otomatis.
Rotation Period
Interval rotasi rahasia otomatis. Pengaturan ini hanya diperlukan saat Anda mengaktifkan Automatic Rotation. Nilainya berkisar antara 6 jam hingga 365 hari.
KMS secara berkala memperbarui rahasia berdasarkan nilai parameter ini.
Description
Deskripsi rahasia.
Policy Settings
Pengaturan kebijakan rahasia. Untuk informasi lebih lanjut, lihat Ikhtisar.
Anda dapat menggunakan kebijakan default dan kemudian memodifikasi kebijakan berdasarkan persyaratan bisnis Anda setelah Anda membuat rahasia.
Integrasi rahasia ApsaraDB for Redis/Tair ke dalam aplikasi
KMS menyediakan Alibaba Cloud SDK, KMS Instance SDK, dan klien rahasia untuk mengambil rahasia. Aplikasi dapat menggunakan SDK untuk mengintegrasikan rahasia ApsaraDB for Redis/Tair. Untuk informasi lebih lanjut tentang SDK, lihat Referensi SDK.
Jika Anda ingin menggunakan KMS Instance SDK, lakukan operasi dengan mengacu pada Gunakan KMS untuk Mengelola Rahasia Instans. Jika Anda menggunakan SDK lainnya, kami sarankan menggunakan mekanisme ulang untuk meningkatkan stabilitas layanan.
Untuk informasi lebih lanjut tentang cara menggunakan KMS Instance SDK, lihat Gunakan KMS untuk Mengelola Rahasia Instans.
Jika Anda menggunakan SDK untuk melakukan operasi manajemen, seperti membuat rahasia ApsaraDB for Redis/Tair dan memodifikasi tag yang ditambahkan ke rahasia, Anda hanya dapat menggunakan Alibaba Cloud SDK.
Putar rahasia ApsaraDB for Redis/Tair
Saat KMS memutar rahasia ApsaraDB for Redis/Tair, kata sandi akun terkait diubah. Nama pengguna akun tetap tidak berubah. Jika rotasi belum selesai setelah lebih dari 2 menit, periksa apakah instans ApsaraDB for Redis atau Tair terkait dan akun ApsaraDB for Redis atau Tair terkait normal.
Catatan penggunaan sebelum rotasi
Saat rahasia ApsaraDB for Redis/Tair sedang dirotasi, KMS mengirim permintaan ke ApsaraDB for Redis atau Tair untuk mengubah kata sandi akun terkait. Sebelum memutar rahasia, pastikan semua aplikasi Anda mengambil rahasia dari KMS untuk mencegah ketidaktersediaan aplikasi.
Saat rahasia sedang dirotasi, jangan hapus instans dan akun yang terkait dengan rahasia tersebut. Jika tidak, kegagalan rotasi akan terjadi.
Kami sarankan Anda melakukan pemeriksaan akun sebelum rotasi dan melakukan rotasi setelah KMS memberi tahu bahwa pemeriksaan berhasil. Jika Anda menghapus instans atau akun di ApsaraDB for Redis atau Tair yang terkait dengan rahasia, KMS tidak dapat memutar rahasia.
Proses rotasi
Anda hanya dapat menggunakan mode dua akun untuk mengelola rahasia ApsaraDB for Redis/Tair. Saat membuat rahasia ApsaraDB for Redis/Tair di KMS, Anda perlu mengonfigurasi akun ApsaraDB for Redis atau Tair kustom. Dalam hal ini, KMS memanggil operasi ApsaraDB for Redis atau Tair untuk membuat dua akun dengan izin dan kata sandi yang sama.
Ambil Tair (Redis OSS-compatible) sebagai contoh. Jika Anda memasukkan awalan nama pengguna user, akun bernama user dan user_clone dibuat. Label tahap versi untuk rahasia akun user disetel ke ACSCurrent, dan label tahap versi untuk rahasia akun user_clone disetel ke ACSPrevious.
Selama rotasi pertama, KMS memanggil operasi ApsaraDB for Redis untuk mengubah kata sandi akun user_clone, dan menyetel label tahap versi untuk rahasia akun user ke ACSPrevious dan label tahap versi untuk rahasia akun user_clone ke ACSCurrent. KMS secara bergantian mengubah kata sandi dari dua akun setiap kali rahasia dirotasi. Gambar berikut menunjukkan detailnya.
Anda dapat mengonfigurasi rotasi otomatis untuk rahasia guna mengurangi risiko kebocoran rahasia. Jika rahasia bocor, Anda dapat segera memutar rahasia di konsol KMS untuk menghilangkan risiko intrusi.
Masuk ke konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih .
Klik tab Database Secrets, pilih ID instans KMS dari daftar drop-down Instance ID, pilih Redis/Tair dari daftar drop-down Secret Type, temukan rahasia yang ingin Anda putar, lalu klik Details di kolom Actions.
Di tab Versions, klik Configure Rotation untuk mengonfigurasi kebijakan rotasi.
Rotasi Otomatis: Jika Anda mengaktifkan Rotasi Otomatis, Anda harus memilih periode rotasi. Nilainya berkisar antara 6 jam hingga 365 hari.
Putar Sekarang: Jika Anda memilih opsi ini, KMS segera memutar rahasia.
Apa yang Harus Dilakukan Selanjutnya
Lakukan Pemeriksaan Akun
KMS memeriksa apakah akun yang dilindungi oleh rahasia milik instans ApsaraDB for Redis atau instans Tair terkait. Jika ya, rahasia dapat dirotasi. Jika tidak, Anda harus menghapus rahasia dan membuat rahasia ApsaraDB for Redis/Tair lainnya.
Masuk ke konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih .
Klik tab Database Secrets, pilih ID instans KMS dari daftar drop-down Instance ID, pilih Redis/Tair dari daftar drop-down Secret Type, temukan rahasia yang ingin Anda putar, lalu klik Details di kolom Actions.
Di tab Versions, klik Check Account. Setelah pemeriksaan selesai, tinjau hasilnya.
Hapus rahasia ApsaraDB for Redis/Tair
Sebelum menghapus rahasia ApsaraDB for Redis/Tair, pastikan bahwa rahasia tersebut tidak lagi digunakan. Jika Anda menghapus rahasia yang sedang digunakan, kegagalan layanan mungkin terjadi.
Anda dapat segera menghapus rahasia atau membuat tugas terjadwal untuk penghapusan. Jika Anda menghapus rahasia ApsaraDB for Redis/Tair, rahasia tersebut hanya dihapus dari KMS. Nama pengguna dan kata sandi dalam rahasia tidak dihapus di ApsaraDB for Redis atau Tair.
Masuk ke konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih .
Klik tab Database Secrets, pilih ID instans KMS dari daftar drop-down Instance ID, pilih Redis/Tair dari daftar drop-down Secret Type, temukan rahasia yang ingin Anda hapus, lalu klik Schedule Deletion di kolom Actions.
Di kotak dialog Schedule Deletion, pilih metode untuk menghapus rahasia dan klik OK.
Jika Anda memilih Schedule Deletion, konfigurasikan Periode Penyimpanan (7 hingga 30 Hari). Saat periode penghapusan terjadwal berakhir, KMS menghapus rahasia.
Jika Anda memilih Delete Immediately, sistem segera menghapus rahasia.
Selama periode penghapusan terjadwal, Anda dapat mengklik OK di kolom Actions untuk membatalkan penghapusan.
Tambahkan tag ke rahasia
Anda dapat menggunakan tag untuk mengklasifikasikan dan mengelola rahasia. Tag terdiri dari pasangan kunci-nilai.
Kunci tag atau nilai tag dapat mencapai panjang hingga 128 karakter dan dapat berisi huruf, angka, garis miring (/), backslash (\), garis bawah (_), tanda hubung (-), titik (.), tanda plus (+), tanda sama dengan (=), titik dua (:), at (@), dan spasi.
Kunci tag tidak boleh dimulai dengan aliyun atau acs:.
Anda dapat mengonfigurasi hingga 20 pasangan kunci-nilai untuk setiap rahasia.
Tambahkan tag untuk rahasia
Solusi | Deskripsi |
Metode 1: Tambahkan tag pada halaman Rahasia |
|
Metode 2: Tambahkan tag pada halaman Detail Rahasia |
|
di kolom Tag.
di sebelah Tag.Konfigurasikan tag untuk beberapa rahasia sekaligus
Masuk ke konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih .
Klik tab berdasarkan jenis rahasia Anda, pilih ID instans yang diperlukan dari daftar drop-down Instance ID, lalu pilih rahasia yang diinginkan dari daftar rahasia.
Tambahkan tag: Di bagian bawah daftar rahasia, klik Tambah Tag. Di kotak dialog Tambah Tag, masukkan beberapa Tag Key dan Tag Value, lalu klik OK. Di pesan yang muncul, klik Tutup.
Hapus tag: Di bagian bawah daftar rahasia, klik Hapus Tag. Di kotak dialog Hapus Massal, pilih tag yang ingin Anda hapus lalu klik Hapus. Di pesan yang muncul, klik Tutup.