Manajemen Backup KMS melindungi kunci dan rahasia Anda dari penghapusan tidak disengaja serta skenario bencana, membantu memenuhi persyaratan retensi kepatuhan dan meminimalkan waktu pemulihan. Topik ini menjelaskan cara mengaktifkan backup otomatis dan manual, serta cara memulihkan, memperpanjang, mengatur ulang, dan mengunduh data backup.
Cakupan
Tipe instans yang didukung
Baik instans manajemen kunci perangkat lunak maupun instans manajemen kunci perangkat keras mendukung backup. Untuk informasi lebih lanjut, lihat Manage keys.
Instans manajemen kunci perangkat lunak: Mendukung backup metadata kunci, bahan kunci, dan data rahasia.
Instans manajemen kunci perangkat keras:
Cakupan backup: Hanya metadata kunci perangkat keras yang dibackup. Bahan kunci tidak termasuk dan justru dibackup oleh kluster HSM terkait. Untuk informasi lebih lanjut, lihat Data backup and restoration.
PentingUntuk melindungi sepenuhnya data kunci dalam instans perangkat keras, Anda harus mengaktifkan backup KMS dan backup HSM.
Persyaratan versi gambar: Instans manajemen kunci perangkat keras memerlukan versi gambar 3.9.1 atau yang lebih baru untuk menggunakan fitur backup. Untuk upgrade, lihat Upgrade the image version of a KMS instance.
Cakupan target pemulihan
Akun tunggal: Pulihkan ke instans manajemen kunci perangkat lunak mana pun dalam akun Anda.
Berbagi multi-akun: Operasi backup dan pemulihan hanya dapat dilakukan oleh pemilik resource.
Resource yang dibuat oleh pemilik resource: Dapat dipulihkan ke instans manajemen kunci perangkat lunak mana pun yang dimiliki oleh pemilik resource.
Resource yang dibuat oleh konsumen resource: Hanya dapat dipulihkan ke instans KMS bersama asli. Setelah pemulihan, kedua pihak dapat menggunakan resource tersebut.
Instans manajemen kunci perangkat keras: Pemulihan data ke instans asli saat ini tidak didukung. Data hanya dapat dipulihkan ke instans baru.
Kasus penggunaan
Memulihkan instans manajemen kunci perangkat lunak atau instans manajemen kunci perangkat keras setelah dilepas.
Memulihkan kunci atau rahasia yang terhapus secara tidak sengaja.
Menyalin kunci atau rahasia ke wilayah lain untuk disaster recovery atau akses latensi rendah ketika bisnis Anda mencakup beberapa wilayah.
Fitur
Setiap backup dapat mencadangkan data satu instans KMS. KMS menyediakan dua mode backup: backup otomatis dan backup manual.
Backup otomatis:
Diaktifkan secara default untuk instans manajemen kunci perangkat lunak yang dibuat setelah 26 April 2024. KMS secara otomatis membuat cadangan. Untuk informasi selengkapnya, lihat [Pengumuman] Instans KMS jenis manajemen kunci perangkat lunak mendukung fitur pencadangan otomatis.
Instans manajemen kunci perangkat keras yang dibuat setelah 1 April 2026 memiliki backup otomatis yang diaktifkan secara default.
Backup manual: Termasuk backup default dan backup berbayar. Anda harus mengaktifkan mode ini secara manual.
Item | Description | Automatic Backup | Manual Backup | |
Default Backup | Purchased Backup | |||
Cost | Apakah dikenakan biaya tambahan. | Gratis. | Gratis. | Berbayar. Biaya didasarkan pada durasi pembelian dan jumlah hari yang dapat dilihat yang dikonfigurasi. |
Backup deletion policy | Waktu default saat data backup dihapus. | Siklus hidup backup bergantung pada instans KMS terkait. Data backup dihapus 90 hari setelah instans KMS dilepas. Penghapusan manual data backup tidak didukung. | Berlaku tanpa batas waktu. Mendukung penghapusan manual melalui operasi reset. | Siklus hidup backup bergantung pada durasi pembelian. Backup dilepas dan dihapus 15 hari setelah kedaluwarsa. Penghapusan manual melalui operasi reset juga didukung. Penting Tidak ada operasi yang didukung setelah backup kedaluwarsa. Namun, Anda dapat memperpanjang backup yang kedaluwarsa untuk mengaktifkan kembali dan menggunakannya sebelum dilepas. Biaya perpanjangan sama dengan membeli backup baru dengan spesifikasi yang sama. |
Viewable days | Jumlah hari data backup yang dapat Anda lihat. Misalnya, jika Anda mengatur hari yang dapat dilihat menjadi 50 untuk backup berbayar, dan data backup berusia 80 hari, hanya data backup 50 hari terakhir yang terlihat. Untuk melihat data sebelumnya, Anda perlu memperpanjang hari yang dapat dilihat. Catatan Konfigurasikan hari yang dapat dilihat berdasarkan jadwal rotasi kunci dan kebutuhan disaster recovery Anda. | 90 hari. Tidak dapat diperpanjang. | 7 hari. Tidak dapat diperpanjang. | Pilih 7 hingga 600 hari saat pembelian. Anda juga dapat memperpanjang hari yang dapat dilihat setelah pembelian, tetapi menurunkan spesifikasi tidak didukung. |
Backup schedule | Waktu harian saat backup dilakukan. | Backup penuh dilakukan pada eksekusi pertama. Setelah itu, backup penuh dijalankan setiap hari pukul 00:00, dan backup inkremental dijalankan setiap 5 menit setelah setiap backup penuh selesai. | ||
Backup type | Membedakan sumber backup untuk identifikasi cepat. | System Created | Default | Paid |
Backup data
Sebelum memulai
Instans target harus memenuhi kondisi berikut sebelum Anda dapat memulihkan backup.
Instans target memiliki kuota yang cukup untuk kunci atau rahasia.
Tidak ada kunci atau rahasia dengan nama yang sama di wilayah target. Untuk menimpa saat pemulihan, hapus terlebih dahulu kunci atau rahasia yang ada di wilayah target.
Saat memulihkan rahasia, kunci yang digunakan untuk mengenkripsi rahasia tersebut harus sudah ada di instans target.
Backup otomatis
Setelah Anda mengaktifkan instans manajemen kunci perangkat lunak atau instans manajemen kunci perangkat keras, KMS secara otomatis membuat backup untuk instans tersebut. Untuk informasi lebih lanjut tentang cara mengaktifkan instans, lihat Purchase and enable a KMS instance.
Setelah instans diaktifkan, KMS secara otomatis menghasilkan backup. Lihat di halaman Backups. Backup yang dibuat oleh KMS memiliki Backup Type yang diatur ke System Created dan Backup Object yang sesuai dengan instans manajemen kunci Anda.
Backup manual
Login ke KMS console.
(Opsional) Beli backup.
CatatanLewati langkah ini jika Anda menggunakan backup default.
Di halaman Backups, klik Create Backup, konfigurasikan parameter sesuai kebutuhan, lalu klik Buy Now.
Parameter
Description
Key Management Type
Pilih Key Value-Added Service.
Key Value-Added Service
Pilih Instance Backup.
Region
Harus sama dengan wilayah instans manajemen kunci perangkat lunak yang ingin Anda backup.
Viewable Days
Jumlah hari data backup yang dapat Anda lihat.
Quantity
Jumlah backup yang akan dibeli.
CatatanSetiap backup dapat mencadangkan data satu instans KMS.
Duration
Durasi pembelian untuk backup.
Di halaman Confirm Order, tinjau perjanjian layanan dan selesaikan pembayaran.
Aktifkan backup.
PentingBackup penuh dilakukan saat Anda pertama kali mengaktifkan backup. Setelah itu, backup penuh dijalankan setiap hari pukul 00:00, dan backup inkremental dijalankan setiap 5 menit setelah setiap backup penuh selesai.
Di halaman Backups, temukan backup target dan klik Enable di kolom Actions.
Di kotak dialog Enable Backup, konfigurasikan parameter lalu klik OK.
Parameter
Description
Backup Type
Pilih Software Key Management atau Hardware Key Management. Saat Anda mengganti tipe, bidang target backup akan diatur ulang.
Backup Object
Pilih instans manajemen kunci yang akan dibackup. Daftar hanya menampilkan instans yang telah diaktifkan dan spesifikasinya sesuai dengan spesifikasi data backup yang dipilih.
Backup Data
Nilai default: Keys dan Secrets. Parameter ini tidak dapat diubah.
Backup Alias
Alias kustom untuk backup.
(Opsional) Lihat data backup.
Di kolom Actions backup target, klik View Data, pilih tanggal, lalu lihat data backup untuk hari tersebut.
Data Type
Description
Fully Backed up Keys
Semua kunci yang dibackup pukul 00:00 pada hari yang dipilih.
Incrementally Backed up Keys
Kunci yang baru ditambahkan pada hari yang dipilih.
Rotated Keys
Kunci yang dirotasi pada hari yang dipilih.
Fully Backed up Secrets
Semua rahasia yang dibackup pukul 00:00 pada hari yang dipilih.
Incrementally Backed up Secrets
Rahasia yang baru ditambahkan pada hari yang dipilih.
Rotated Secrets
Rahasia yang dirotasi pada hari yang dipilih.
Pulihkan data
Pulihkan instans perangkat lunak
Login ke KMS console.
Di kolom Actions backup target, klik Extend Queryable Range untuk memilih tanggal ke mana Anda ingin memulihkan data.
PentingUntuk backup berbayar, jika data yang akan dipulihkan berada di luar rentang hari yang dapat dilihat saat ini, perpanjang terlebih dahulu hari yang dapat dilihat lalu pulihkan. Anda tidak dapat memulihkan data dari sebelum backup diaktifkan, meskipun dengan memperpanjang hari yang dapat dilihat.
Contoh: backup diaktifkan pada 1 Mei 2024 dengan 10 hari yang dapat dilihat. Untuk memulihkan data dari 5 Mei pada 20 Mei 2024, perpanjang hari yang dapat dilihat menjadi 16.
Data Type
Procedure
Keys
Pilih Data Type (misalnya, Fully Backed up Keys), temukan kunci target, lalu klik Upload Backup di kolom Actions.
Di kotak dialog Upload Backup, pilih wilayah dan informasi instans target, lalu klik OK.
Secrets
Pulihkan kunci yang mengenkripsi rahasia tersebut.
CatatanInstans target harus memiliki kunci yang mengenkripsi rahasia tersebut. Jika Anda yakin kunci tersebut sudah ada di instans target, lewati langkah ini dan langsung pulihkan rahasia tersebut.
Pilih Data Type (misalnya, Fully Backed up Keys), temukan kunci yang terkait dengan rahasia tersebut, lalu klik Upload Backup di kolom Actions.
Di kotak dialog Upload Backup, pilih wilayah dan informasi instans target, lalu klik OK.
Pulihkan rahasia tersebut.
Pilih Data Type (misalnya, Fully Backed up Secrets), temukan rahasia target, lalu klik Upload Backup di kolom Actions.
Di kotak dialog Upload Backup, pilih wilayah dan informasi instans target, lalu klik OK.
Pulihkan instans perangkat keras
Catatan operasi
Pemulihan data ke instans asli saat ini tidak didukung. Data hanya dapat dipulihkan ke instans baru.
Untuk memastikan konsistensi data akhir, atur waktu backup HSM satu hari setelah waktu backup KMS.
Langkah 1: Backup data HSM
Jika Anda telah mengaktifkan backup dan pemulihan data untuk instans HSM terkait saat membeli instans perangkat keras, lewati langkah ini.
Di halaman VSMs, temukan HSM target dan klik .
Di halaman perubahan konfigurasi, aktifkan backup dan pemulihan data serta pilih jumlah mirror image. Tinjau perjanjian layanan, centang kotak, lalu klik Buy Now untuk menyelesaikan pembelian.
PentingJaga jumlah mirror image agar konsisten dengan Viewable Days yang dikonfigurasi untuk backup instans KMS. Jika tidak, backup mungkin tidak lengkap. Misalnya, jika hari yang dapat dilihat diatur ke 30, Anda perlu membeli 30 mirror image.
Setelah pembelian berhasil, backup secara otomatis dibuat berdasarkan jadwal. Anda dapat melihat nama backup yang dihasilkan di halaman Backups.
Langkah 2: Buat instans manajemen kunci perangkat keras dan pulihkan data
Pulihkan data: Setelah data backup HSM dihasilkan, ikuti petunjuk di bawah ini untuk memulihkan data.
Persiapkan instans HSM:
Beli instans HSM di wilayah yang sama tempat Anda ingin memulihkan instans manajemen kunci perangkat keras.
Manajemen backup hanya mendukung HSM yang diterapkan dalam mode kluster. Saat membeli, Anda harus memilih minimal dua HSM di dua zona ketersediaan. Untuk informasi lebih lanjut, lihat Purchase an HSM instance.
PeringatanSetelah pembelian, jangan aktifkan instans HSM. Jika instans HSM target sedang digunakan, hubungi dukungan teknis Alibaba Cloud untuk menonaktifkan dan mengatur ulang instans HSM terlebih dahulu.
Pulihkan data HSM:
Login ke Encryption Service Management console.
Di halaman Backups, pilih data backup untuk HSM yang terkait dengan instans manajemen kunci perangkat keras (Backup Type adalah Auto Create).
CatatanPilih backup terbaru.
Klik View Image di kolom Actions backup target.
Di halaman detail backup image, klik Upload Backup di kolom Actions image target.
Di kotak dialog Upload Backup, pilih Restore Instance (instans HSM yang dibeli pada langkah sebelumnya), lalu klik OK.
Beli dan aktifkan instans manajemen kunci perangkat keras:
Login ke KMS console.
Di tab Hardware Key Management, klik Create Instance, pilih spesifikasi untuk instans manajemen kunci perangkat keras, lalu klik Buy Now.
Kembali ke tab Hardware Key Management, temukan instans manajemen kunci perangkat keras yang baru dibeli, lalu klik Enable di kolom Actions.
Di panel Connect to HSM, di bagian Select Cluster, pilih instans HSM yang dibeli pada langkah 1, lalu klik Connect to HSM.
Pulihkan data instans manajemen kunci perangkat keras:
Login ke KMS console.
Di kolom Actions backup target, klik Extend Queryable Range untuk memilih tanggal ke mana Anda ingin memulihkan data.
PentingUntuk backup berbayar, jika data yang akan dipulihkan berada di luar rentang hari yang dapat dilihat saat ini, perpanjang terlebih dahulu hari yang dapat dilihat lalu pulihkan. Anda tidak dapat memulihkan data dari sebelum backup diaktifkan, meskipun dengan memperpanjang hari yang dapat dilihat.
Contoh: backup diaktifkan pada 1 Mei 2024 dengan 10 hari yang dapat dilihat. Untuk memulihkan data dari 5 Mei pada 20 Mei 2024, perpanjang hari yang dapat dilihat menjadi 16.
Data Type
Procedure
Keys
Pilih Data Type (misalnya, Fully Backed up Keys), temukan kunci target, lalu klik Upload Backup di kolom Actions.
Di kotak dialog Upload Backup, pilih wilayah dan informasi instans target, lalu klik OK.
Secrets
Pulihkan kunci yang mengenkripsi rahasia tersebut.
CatatanInstans target harus memiliki kunci yang mengenkripsi rahasia tersebut. Jika Anda yakin kunci tersebut sudah ada di instans target, lewati langkah ini dan langsung pulihkan rahasia tersebut.
Pilih Data Type (misalnya, Fully Backed up Keys), temukan kunci yang terkait dengan rahasia tersebut, lalu klik Upload Backup di kolom Actions.
Di kotak dialog Upload Backup, pilih wilayah dan informasi instans target, lalu klik OK.
Pulihkan rahasia tersebut.
Pilih Data Type (misalnya, Fully Backed up Secrets), temukan rahasia target, lalu klik Upload Backup di kolom Actions.
Di kotak dialog Upload Backup, pilih wilayah dan informasi instans target, lalu klik OK.
Operasi tambahan
Perpanjang hari yang dapat dilihat
Hanya backup berbayar yang mendukung perpanjangan hari yang dapat dilihat, dan hanya peningkatan (bukan penurunan) yang didukung.
Login ke KMS console.
Di kolom Actions backup target, klik View Data.
Di halaman detail backup, klik Upgrade, pilih jumlah hari yang dapat dilihat yang diperpanjang, klik Buy Now, dan selesaikan pembayaran.
Atur ulang backup
Hanya backup default dan backup berbayar yang mendukung operasi reset. Mengatur ulang akan menghapus semua data yang telah dibackup dan memutuskan ikatan backup dari instans manajemen kunci perangkat lunak.
Reset akan menghapus permanen semua data yang telah dibackup oleh backup ini. Lakukan dengan hati-hati.
Login ke KMS console.
Di kolom Actions backup target, klik Reset.
Baca prompt di kotak dialog Reset dengan cermat, lalu klik OK.
Setelah reset, status backup berubah menjadi Disabled. Anda kemudian dapat mengikatnya kembali ke instans manajemen kunci perangkat lunak.
Perpanjang backup
Hanya backup berbayar yang mendukung perpanjangan.
Login ke KMS console.
Di kolom Actions backup target, klik Renew.
Di halaman perpanjangan, pilih durasi pembelian, tinjau perjanjian layanan, dan selesaikan pembayaran.
Unduh file data backup
Setelah mengunduh file data backup, simpan dengan aman. File data backup hanya dapat digunakan untuk memulihkan data di KMS console.
Login ke KMS console.
Di kolom Actions backup target, klik Download.
Di kotak dialog Download, pilih Backup Date, lalu klik OK.
CatatanJika data backup berada di luar rentang Viewable Days, Anda harus memperpanjang hari yang dapat dilihat sebelum mengunduh.
Simpan data backup.
Klik ikon
di samping Decryption Key untuk menyalin kunci, lalu simpan secara lokal.Klik Download di samping Backup Data untuk mengunduh file data backup dan simpan dengan aman.
PentingKunci enkripsi data digunakan untuk mendekripsi file data backup yang diunduh. KMS tidak menyimpan Data Encryption Key atau Backup Data File. Simpan dengan aman untuk mencegah kebocoran data.
Unggah file data backup
Jika Anda mengunggah file data backup lintas batas, pastikan Anda mematuhi undang-undang dan peraturan terkait ekspor data.
Login ke KMS console.
Di halaman Backups, klik Import Backup Data.
Di kotak dialog Import Backup Data, masukkan Decryption Key dan Backup Name, lalu klik OK.
Di dialog pemilihan file, pilih file data backup lalu klik Open.
Setelah unggah berhasil, Anda dapat melihat data yang diunggah di halaman Backups. Backup Type ditampilkan sebagai Upload.
Lihat informasi HSM terkait
Informasi ini membantu Anda mengidentifikasi kluster HSM yang perlu dibackup. Atur waktu backup HSM satu hari setelah waktu backup KMS untuk memastikan konsistensi data.
Login ke KMS console.
Di halaman Backups, klik Extend Queryable Range di kolom Actions backup target.
Di panel informasi dasar halaman detail backup, Anda dapat melihat bidang terkait HSM berikut:
Cluster ID: ID kluster HSM yang terkait dengan instans perangkat keras.
Primary HSM: ID HSM utama dalam kluster HSM.
FAQ
Bagaimana cara melihat hari yang dapat dilihat dari backup?
Di halaman Backups, lihat bidang Queryable Range.
Apa yang harus saya lakukan jika pemulihan gagal karena kuota tidak mencukupi?
Jika pemulihan gagal karena instans target telah mencapai batas kuota untuk kunci atau rahasia, hapus kunci atau rahasia yang tidak digunakan dari instans target untuk mengosongkan ruang, atau tingkatkan instans target ke spesifikasi yang lebih tinggi. Setelah menyelesaikan masalah kuota, coba lagi pemulihan tersebut.
Apa yang harus saya lakukan jika terjadi konflik nama saat pemulihan?
Pemulihan mensyaratkan tidak ada kunci atau rahasia dengan nama yang sama di instans target. Jika terjadi konflik, hapus resource yang bertabrakan di instans target terlebih dahulu, lalu coba lagi. Untuk mempertahankan resource yang ada, ubah namanya sebelum menghapus, atau pulihkan ke instans target yang berbeda.
Bagaimana menangani backup yang kedaluwarsa?
Untuk backup berbayar, tidak ada operasi yang didukung setelah kedaluwarsa. Jika backup belum dilepas (dalam 15 hari setelah kedaluwarsa), Anda dapat memperpanjangnya untuk mengaktifkan kembali. Biaya perpanjangan sama dengan membeli backup baru dengan spesifikasi yang sama. Backup otomatis tidak dapat diperpanjang dan bergantung pada siklus hidup instans KMS terkait.