全部产品
Search

搜索本产品

    Key Management Service:Konfigurasi Rotasi Kunci

    文档中心

    Key Management Service:Konfigurasi Rotasi Kunci

    更新时间:Oct 23, 2025

    Key Management Service (KMS) menyediakan fitur rotasi kunci. Anda dapat merotasi kunci secara berkala untuk meningkatkan keamanan kunci dan melindungi data bisnis Anda. Topik ini menjelaskan cara kerja rotasi kunci serta cara mengonfigurasi rotasi kunci di KMS.

    Manfaat rotasi kunci

    • Mengurangi jumlah data yang dienkripsi menggunakan setiap kunci, sehingga mengurangi risiko serangan kriptanalitik.

      Keamanan kunci berbanding terbalik dengan jumlah data yang dienkripsi menggunakan kunci tersebut. Dalam banyak kasus, jumlah tersebut merujuk pada total byte yang dienkripsi menggunakan kunci. Rotasi otomatis mengurangi permukaan serangan setiap kunci dan meningkatkan keamanan solusi enkripsi berbasis kunci.

    • Membantu menangani insiden keamanan.

      Tambahkan fitur rotasi kunci selama desain dan implementasi sistem, serta perlakukan rotasi kunci sebagai transaksi manajemen keamanan rutin. Praktik ini memastikan bahwa sistem dapat melakukan rotasi kunci sebagai tanggapan atas insiden keamanan.

    • Mengurangi jendela waktu bagi kunci untuk diretas.

      Setelah rotasi kunci diaktifkan, data yang dienkripsi menggunakan kunci yang ada dapat dienkripsi ulang menggunakan kunci baru. Interval antara rotasi kunci dianggap sebagai jendela waktu ketika kunci dapat diretas. Penyerang hanya dapat mengakses data jika mereka berhasil meretas kunci dalam interval antara dua operasi rotasi kunci. Hal ini sangat meningkatkan keamanan data terhadap serangan kriptanalitik.

    • Memenuhi persyaratan kepatuhan regulasi.

      Rotasi kunci otomatis memfasilitasi kepatuhan terhadap berbagai regulasi, termasuk tetapi tidak terbatas pada yang berikut:

      • Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS)

      • Standar industri terkait kriptografi yang dikeluarkan oleh Administrasi Kriptografi Negara, seperti GM/T 0051-2016 Manajemen perangkat kriptografi - Spesifikasi teknologi manajemen kunci simetris.

      • Standar terkait kriptografi yang dikeluarkan oleh National Institute of Standards and Technology (NIST), seperti NIST Special Publication 800-57 Rekomendasi untuk Manajemen Kunci.

    Cara kerja rotasi kunci

    KMS mendukung beberapa versi kunci. Versi kunci yang berbeda tidak saling terkait secara kriptografis. Selama rotasi kunci, KMS menghasilkan versi kunci baru dan menggunakan versi kunci terbaru untuk operasi kriptografi. Anda tidak dapat menentukan versi kunci.

    Catatan

    • Rotasi kunci hanya menambahkan versi kunci. Rotasi kunci tidak mengubah atribut kunci, seperti ID, Alibaba Cloud Resource Name (ARN), dan alias.

    • KMS tidak menghapus versi kunci. Versi kunci dari suatu kunci hanya dihapus ketika kunci itu sendiri dihapus.

    Setelah kunci dibuat, KMS menghasilkan versi kunci awal dan menetapkannya sebagai versi utama. Setelah kunci dirotasi, KMS menghasilkan versi kunci baru dan menetapkan versi baru sebagai versi utama.

    Jika rotasi otomatis dikonfigurasi, waktu rotasi berikutnya dihitung menggunakan rumus berikut: Waktu Rotasi Berikutnya = Waktu Rotasi Terakhir + Periode Rotasi.

    Catatan

    • Anda dapat memanggil operasi DescribeKey. Dalam respons, LastRotationDate menunjukkan waktu rotasi terakhir, dan NextRotationDate menunjukkan waktu rotasi berikutnya, yang dihitung oleh KMS.

    • Jika rotasi otomatis dikonfigurasi dan operasi rotasi segera dilakukan di antara dua operasi rotasi, waktu rotasi terakhir adalah waktu rotasi segera tersebut.

    Ruang lingkup

    • Tipe Kunci dan Sumber:

      Jenis Kunci

      Sumber bahan kunci

      Rotasi otomatis periodik

      Rotasi manual segera

      Kunci yang dilindungi perangkat lunak (Simetris)

      Dibuat oleh KMS

      Didukung

      Didukung

      Diimpor (BYOK)

      Tidak didukung

      Didukung

      Kunci yang dilindungi perangkat lunak (Asimetris)

      Dibuat oleh KMS, diimpor (BYOK)

      Tidak didukung

      Kunci yang dilindungi perangkat keras (Simetris dan asimetris)

      Dibuat oleh KMS

      Diimpor (BYOK)

    • Status Kunci: Kunci harus dalam status Enabled.

      Jika kunci dalam status Disabled atau Pending Deletion, KMS menangguhkan fitur rotasi kunci yang diaktifkan. Jika kunci diaktifkan kembali, fitur rotasi kunci juga diaktifkan kembali.

    • Kondisi Tambahan untuk Kunci Tertentu:

      Untuk kunci default, rotasi adalah layanan bernilai tambah yang harus dibeli secara terpisah.

    Konfigurasi rotasi untuk kunci default

    Deskripsi penagihan

    Kunci default hanya digunakan untuk enkripsi sisi server di Layanan Alibaba Cloud dan disediakan oleh KMS secara gratis. Rotasi kunci default tersedia sebagai fitur bernilai tambah.

    Biaya: USD 9 per tahun-wilayah. Jika Anda membeli fitur rotasi kunci default di wilayah tertentu, Anda dapat merotasi semua kunci default termasuk kunci layanan dan kunci master pelanggan (CMK) di wilayah tersebut.

    Metode rotasi dan tanggal rotasi

    Kunci default hanya mendukung rotasi otomatis. Kunci default tidak mendukung rotasi manual segera.

    Periode rotasi adalah 365 hari dan tidak dapat diubah. Setelah Anda mengaktifkan rotasi otomatis untuk kunci default, rotasi pertama terjadi 365 hari setelah kunci default dibuat. Selanjutnya, kunci default dirotasi setiap 365 hari.

    Catatan

    Anda dapat membeli fitur rotasi kunci default secara tahunan. Pastikan pesanan Anda tetap valid hingga rotasi berikutnya. Jika tidak, tidak ada rotasi yang dilakukan.

    Aktifkan rotasi (rotasi periodik otomatis)

    1. Beli paket bernilai tambah fitur rotasi kunci default.

      1. Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi di sebelah kiri, pilih Resource > Keys.

      2. Di tab Default Keys, klik Buy Key Rotation dan konfigurasikan parameter.

        1. Key Management Type: Pilih Key Value-added Service.

        2. Value-added Plan: Pilih Default Key Rotation.

        3. Region: Pilih wilayah tempat kunci default berada.

        4. Quantity: Pilih 1. Anda hanya perlu membeli satu paket untuk wilayah tersebut.

      3. Baca Service Agreement dengan cermat, klik Buy Now, lalu klik Pay untuk menyelesaikan pembelian.

    2. Aktifkan rotasi otomatis.

      • Kunci Layanan

        Tidak diperlukan konfigurasi. KMS secara otomatis mengaktifkan rotasi.

      • CMK

        Gunakan konsol

        1. Di halaman Keys, klik tab Default Keys lalu klik ID CMK.

        2. Di bagian bawah halaman detail, klik tab Key Version, lalu klik Configure Rotation.

        3. Di kotak dialog Configure Rotation, aktifkan sakelar Rotation Status, dan klik OK. Di halaman detail kunci, Rotation Status berubah menjadi Enabled, dan Rotation Period adalah 365 Days.

        Gunakan API

        • Aktifkan rotasi saat Anda membuat kunci.

          Panggil operasi CreateKey dan atur parameter `EnableAutomaticRotation` dan `RotationInterval`. `EnableAutomaticRotation` menentukan apakah akan mengaktifkan rotasi otomatis, dan `RotationInterval` menentukan periode rotasi otomatis.

        • Aktifkan rotasi setelah Anda membuat kunci.

          Panggil operasi UpdateRotationPolicy dan atur parameter `EnableAutomaticRotation` dan `RotationInterval`.

    Gunakan kunci yang telah dirotasi

    Kunci default hanya digunakan untuk enkripsi sisi server di Layanan Alibaba Cloud. Setelah Anda mengaktifkan rotasi, Layanan Alibaba Cloud secara otomatis mengelola kunci tanpa memerlukan intervensi manual. Untuk informasi lebih lanjut, lihat Ikhtisar Integrasi KMS untuk Enkripsi Sisi Server.

    Lihat detail rotasi

    Gunakan konsol

    1. Di halaman Keys, klik tab Default Keys dan temukan kunci layanan atau CMK yang ingin Anda lihat.

    2. Klik ID kunci. Di halaman detail, lihat Rotation Status, Rotation Period, dan Key Version.

    Gunakan API

    • Panggil operasi DescribeKey untuk melihat parameter `AutomaticRotation` dan `RotationInterval` yang dikembalikan.

    • Panggil operasi ListKeyVersions untuk melihat parameter `KeyVersions` yang dikembalikan.

    Konfigurasi rotasi untuk kunci di instans KMS

    Konsumsi kuota

    Rotasi kunci mengonsumsi kuota kunci dari instans KMS. Setiap versi kunci mengonsumsi satu kuota kunci. Sebagai contoh, jika sebuah kunci memiliki tiga versi (V1, V2, dan V3), maka kunci tersebut mengonsumsi tiga kuota kunci. Untuk informasi lebih lanjut tentang cara meningkatkan kuota, lihat Tingkatkan Instans KMS.

    Metode rotasi dan tanggal rotasi

    Kunci dapat dirotasi secara berkala dan otomatis atau secara manual sesuai permintaan.

    • Rotasi otomatis berkala: Versi kunci baru dihasilkan secara berkala berdasarkan periode rotasi kustom 7 hingga 365 hari.

    • Rotasi manual: Versi kunci baru dihasilkan segera sesuai permintaan.

    Aktifkan rotasi

    • Aktifkan Rotasi Otomatis Berkala

      Menggunakan konsol

      • Anda dapat mengaktifkan rotasi otomatis saat membuat kunci. Untuk informasi lebih lanjut, lihat Kelola Kunci.

        1. Di halaman Keys, pada tab Customer Master Keys, pilih ID instans dan klik Create Key.

        2. Di panel Create Key, konfigurasikan parameter, aktifkan Automatic Rotation, atur Rotation Period, dan klik OK.

      • Anda dapat mengaktifkan rotasi otomatis setelah membuat kunci.

        1. Di halaman Keys, klik tab Customer Master Keys, pilih ID instans, lalu klik ID kunci target.

        2. Di bagian Key Version pada halaman detail kunci, klik Configure Rotation. Di kotak dialog Configure Rotation Policy, aktifkan rotasi berkala otomatis, atur periode rotasi, dan klik OK.

      Menggunakan operasi API

      • Anda dapat mengaktifkan fitur ini saat membuat kunci.

        Panggil operasi CreateKey dan atur parameter EnableAutomaticRotation dan RotationInterval. Parameter EnableAutomaticRotation menentukan apakah akan mengaktifkan rotasi otomatis. Parameter RotationInterval menentukan periode rotasi.

      • Anda dapat mengaktifkan rotasi otomatis setelah membuat kunci.

        Panggil operasi UpdateRotationPolicy dan atur parameter EnableAutomaticRotation dan RotationInterval. Parameter EnableAutomaticRotation menentukan apakah akan mengaktifkan rotasi otomatis. Parameter RotationInterval menentukan periode rotasi.

    • Putar Kunci Secara Manual

      • Kunci dengan bahan kunci yang dihasilkan oleh KMS.

        Menggunakan konsol

        1. Di halaman Keys, klik tab Customer Master Keys. Pilih ID instans lalu klik ID kunci target.

        2. Di bagian Key Version di halaman detail kunci, klik Configure Rotation. Di kotak dialog Configure Rotation Policy, pilih Rotate Now lalu klik OK.

        Menggunakan operasi API

        Panggil operasi CreateKeyVersion.

      • Kunci dengan bahan kunci yang diimpor secara eksternal (Bring-Your-Own-Key (BYOK)).

        1. Impor Bahan Kunci Baru

          1. Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi di sebelah kiri, pilih Resource > Keys.

          2. Di tab Keys, pilih ID instans, lalu di kolom Tindakan untuk kunci target, klik Details.

          3. Di tab Key Material and Version, klik Import New Key Material di pojok kiri atas. Untuk informasi lebih lanjut, lihat Impor Bahan Kunci Simetris.

          4. Setelah bahan kunci baru diimpor, versi kunci baru dihasilkan. Versi kunci baru muncul di daftar versi kunci dengan status "Menunggu Rotasi".

            Penting

            Anda tidak dapat mengimpor versi kunci lain sampai versi baru saat ini dirotasi.

        2. Lakukan rotasi.

          1. Untuk versi kunci yang dihasilkan di Langkah 1, klik Rotate di kolom Tindakan.

          2. Di kotak dialog Rotate Now, konfirmasikan bahwa ID bahan kunci benar lalu klik OK.

    Gunakan kunci yang telah dirotasi

    Setelah Anda mengaktifkan rotasi kunci untuk enkripsi sisi server di Layanan Alibaba Cloud, rotasi dikelola secara otomatis dan tidak memerlukan operasi manual. Untuk enkripsi data dalam aplikasi yang dikelola sendiri, Anda harus memanggil operasi API berikut. Secara default, operasi ini menggunakan versi kunci terbaru setelah rotasi.

    Saat menggunakan SDK Alibaba Cloud

    SDK Alibaba Cloud memanggil OpenAPI. Panggil operasi berikut untuk enkripsi dan dekripsi.

    • GenerateDataKey: menghasilkan kunci data. KMS menggunakan versi utama kunci untuk mengenkripsi kunci data.

    • Encrypt: Mengenkripsi data. KMS menggunakan versi utama kunci untuk mengenkripsi teks biasa.

    • Decrypt: Mendekripsi ciphertext. KMS menggunakan versi kunci yang sesuai dengan ciphertext untuk mendekripsi ciphertext.

    Saat menggunakan SDK instans KMS (tidak direkomendasikan)

    Kami tidak merekomendasikan pengguna baru menggunakan SDK ini. SDK instans KMS memanggil operasi API instans. Panggil operasi berikut untuk enkripsi dan dekripsi.

    • AdvanceGenerateDataKey: menghasilkan kunci data. KMS menggunakan versi utama kunci untuk mengenkripsi kunci data.

    • AdvanceEncrypt: mengenkripsi data. KMS menggunakan versi utama kunci untuk mengenkripsi teks biasa.

    • AdvanceDecrypt: mendekripsi ciphertext. KMS menggunakan versi kunci yang sesuai dengan ciphertext untuk mendekripsi ciphertext.

    Penting

    Jika rotasi otomatis diaktifkan untuk kunci, jangan panggil operasi Encrypt, Decrypt, atau GenerateDataKey. Operasi ini menggunakan versi awal kunci dan tidak menggunakan versi kunci baru yang dihasilkan setelah rotasi.

    Lihat detail rotasi

    Menggunakan konsol

    1. Di halaman Keys, klik tab Customer Master Keys, pilih ID instans, lalu klik ID kunci target.

    2. Di halaman detail, lihat Rotation Status, Rotation Period, dan Key Version.

    Menggunakan operasi API

    • Anda dapat memanggil operasi DescribeKey untuk melihat nilai parameter AutomaticRotation dan RotationInterval.

    • Anda dapat memanggil operasi ListKeyVersions untuk melihat nilai parameter KeyVersions.