全部产品
Search

搜索本产品

    Key Management Service:Buat AAP

    文档中心

    Key Management Service:Buat AAP

    更新时间:Jul 06, 2025

    Jika Anda mengintegrasikan aplikasi yang dikelola sendiri dengan SDK seperti Key Management Service (KMS) Instance SDK atau secret SDK, kunci klien dari titik akses aplikasi (AAP) diperlukan untuk memverifikasi identitas dan izin. Topik ini menjelaskan cara membuat AAP.

    Catatan penggunaan

    • Disarankan untuk membuat AAP terpisah untuk setiap aplikasi yang perlu mengakses KMS. Dengan demikian, aplikasi yang berbeda dapat memiliki izin akses ke sumber daya KMS yang berbeda.

    • Kunci klien memiliki masa berlaku default lima tahun. Saat membuat kunci klien, Anda dapat menentukan periode validitas kustom. Kami menyarankan untuk menetapkan periode validitas menjadi satu tahun. Untuk memastikan akses ke KMS, ganti kunci klien sebelum tanggal kedaluwarsanya. Untuk informasi lebih lanjut, lihat Ubah kunci klien.

    Prasyarat

    Gunakan Konsol KMS

    Anda dapat membuat AAP dalam mode pembuatan cepat atau standar. Jika Anda ingin dengan cepat mengintegrasikan aplikasi Anda dengan SDK, gunakan mode pembuatan cepat. Mode ini memiliki batasan berikut:

    • Dalam mode pembuatan cepat, AAP hanya dapat digunakan untuk mengakses kunci dan rahasia melalui titik akhir instans KMS. Dalam mode pembuatan standar, AAP dapat digunakan untuk mengakses kunci dan rahasia melalui titik akhir instans KMS serta mengakses rahasia melalui titik akhir KMS.

    • Masa berlaku kunci klien dalam AAP ditetapkan selama lima tahun. Anda tidak dapat menentukan periode validitas kustom. Kami menyarankan Anda mengubah kunci klien satu tahun setelah mulai menggunakannya. Untuk informasi lebih lanjut, lihat Ubah kunci klien.

    • Secara default, accessible resources mencakup semua kunci dan rahasia dalam instans KMS. Anda dapat memodifikasi kebijakan izin setelah AAP dibuat. Untuk informasi lebih lanjut, lihat Kelola AAP.

    Mode 1: Pembuatan cepat

    1. Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih Application Access > AAPs.

    2. Pada tab Application Access, klik Create AAP. Di panel Create AAP, konfigurasikan parameter.

      Parameter

      Deskripsi

      Mode

      Pilih Quick Creation.

      Scope (KMS Instance)

      Pilih instans KMS yang ingin Anda akses.

      Application Access Point Name

      Masukkan nama AAP.

      Authentication Method

      Nilai defaultnya adalah ClientKey, yang tidak dapat diubah.

      Default Permission Policy

      Nilai defaultnya adalah key/*secret/*, yang tidak dapat diubah. Aplikasi Anda dapat mengakses semua kunci dan rahasia dalam instans KMS yang ditentukan.

    3. Klik OK. Browser akan secara otomatis mengunduh kunci klien yang dibuat.

      Kunci klien mencakup Application Access Secret(ClientKeyContent) dan Password. Secara default, Application Access Secret(ClientKeyContent) disimpan dalam file dengan nama format clientKey_****.json. Secara default, Password disimpan dalam file dengan nama format clientKey_****_Password.txt.

    Mode 2: Pembuatan standar

    1. Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih Application Access > AAPs.

    2. Buat aturan akses jaringan.

      Catatan

      Jika Anda tidak perlu mengontrol akses berdasarkan alamat IP sumber, Anda tidak perlu mengonfigurasi aturan akses jaringan. Namun, demi keamanan, kami menyarankan untuk mengonfigurasinya.

      1. Klik tab Network Access Rules. Kemudian, klik Create Network Access Rule.

      2. Di panel Create Network Access Rule, konfigurasikan parameter dan klik OK.

        Parameter

        Deskripsi

        Rule Name

        Nama aturan akses jaringan. Anda dapat menentukan nilai kustom.

        Network Type

        • Privat: Jika aplikasi Anda perlu mengakses kunci dan rahasia melalui titik akhir instans KMS, pilih opsi ini.

        • Publik: Jika aplikasi Anda perlu mengakses rahasia melalui titik akhir publik KMS, pilih opsi ini.

        • VPC: Jika aplikasi Anda perlu mengakses rahasia melalui titik akhir VPC KMS, pilih opsi ini. Opsi ini didukung hanya ketika instans KMS Anda berada di wilayah China (Hangzhou), China (Shanghai), China (Shenzhen), dan China (Zhangjiakou).

        Catatan

        • Operasi kriptografi: Anda hanya dapat melakukan operasi kriptografi saat menggunakan KMS Instance SDK dan titik akhir instans KMS untuk mengakses KMS. Saat membuat AAP Anda, tetapkan parameter Tipe Jaringan ke Privat.

        • Pengambilan nilai rahasia: Anda dapat mengambil nilai rahasia menggunakan KMS Instance SDK atau secret SDK. Kami menyarankan Anda menggunakan secret SDK dan menetapkan parameter Tipe Jaringan ke Privat saat membuat AAP Anda. Ini membantu mencapai permintaan per detik (QPS) tinggi dan keamanan tinggi.

          • KMS Instance SDK: Jika Anda menggunakan KMS Instance SDK, tetapkan parameter Tipe Jaringan ke Privat dan parameter Alamat IP Sumber yang Diizinkan ke alamat IP dalam virtual private cloud (VPC) yang terkait dengan instans KMS Anda untuk AAP Anda.

          • Secret SDK: Jika Anda menggunakan secret SDK, tetapkan parameter Tipe Jaringan ke Privat, Publik, atau VPC untuk AAP Anda.

        Allowed Source IP Addresses

        Alamat IP dari mana akses ke instans KMS Anda diizinkan. Tentukan nilainya berdasarkan tipe jaringan server aplikasi Anda. Jika Anda menggunakan server proxy, masukkan alamat IP server proxy.

        • Jika parameter Tipe Jaringan diatur ke Privat, masukkan alamat IP dalam VPC yang terkait dengan instans KMS Anda.

        • Jika parameter Tipe Jaringan diatur ke Publik, masukkan alamat IP publik.

        • Jika parameter Tipe Jaringan diatur ke VPC, masukkan ID VPC yang diperlukan dan alamat IP dalam VPC.

        Description

        Deskripsi untuk aturan akses jaringan.

    3. Buat kebijakan izin.

      1. Klik tab Policies lalu klik Create Policy.

      2. Di panel Create Policy, konfigurasikan parameter dan klik OK.

        Parameter

        Deskripsi

        Policy Name

        Nama kebijakan izin.

        Scope

        Jika Anda menetapkan parameter Network Type ke Private saat membuat aturan akses jaringan, pilih instans KMS yang ditentukan. Jika Anda menetapkan parameter Network Type ke Public atau VPC, pilih Shared KMS Gateway.

        RBAC Permissions

        • Jika Anda menetapkan parameter Scope ke instans KMS tertentu, Anda dapat menetapkan parameter ini ke salah satu nilai berikut:

          • CryptoServiceKeyUser: mengizinkan penggunaan kunci dalam instans KMS. Untuk informasi lebih lanjut tentang operasi kriptografi API Instans, lihat Operasi terkait kunci.

          • CryptoServiceSecretUser: mengizinkan penggunaan rahasia dalam instans KMS. Untuk informasi lebih lanjut tentang operasi terkait rahasia API Instans, lihat Operasi terkait rahasia.

        • Jika Anda menetapkan parameter Scope ke Shared KMS Gateway, Anda dapat menetapkan parameter ini ke nilai berikut:

          SecretUser: mengizinkan penggunaan semua rahasia dalam akun saat ini. Operasi GetSecretValue API didukung.

        Accessible Resources

        Kunci dan rahasia yang perlu diakses oleh aplikasi Anda.

        Penting

        Saat Anda memilih beberapa rahasia, jika panjang nama semua rahasia melebihi batas, pesan kesalahan "Parameter yang ditentukan tidak valid." akan dikembalikan. Dalam hal ini, Anda dapat menggunakan wildcard untuk mengonfigurasi rahasia yang diperlukan. Misalnya, rahasia secret/rds-ibm* termasuk wildcard yang menunjukkan bahwa semua rahasia dengan awalan rds-ibm dapat diakses.

        Network Access Rules

        Aturan akses jaringan yang Anda buat.

        Catatan

        Jika Anda tidak perlu mengontrol akses berdasarkan alamat IP sumber, Anda tidak perlu memilih aturan akses jaringan. Untuk tujuan keamanan, kami menyarankan Anda mengonfigurasi aturan akses jaringan.

        Description

        Deskripsi untuk kebijakan izin.

    4. Buat AAP.

      1. Klik tab Application Access. Lalu, klik Create AAP.

      2. Di panel Create AAP, konfigurasikan parameter.

        Parameter

        Deskripsi

        Mode

        Pilih Standard Creation.

        Application Access Point Name

        Masukkan nama AAP.

        Authentication Method

        Pilih metode otentikasi. ClientKey dan RAMRole didukung. Dalam contoh ini, pilih ClientKey.

        Encryption Password

        Masukkan kata sandi untuk kunci klien Anda. Kata sandi harus terdiri dari 8 hingga 64 karakter dan harus mencakup setidaknya dua dari jenis berikut: digit, huruf, dan karakter khusus. Karakter khusus meliputi ~ ! @ # $ % ^ & * ? _ -.

        Validity Period

        Tentukan masa berlaku kunci klien Anda.

        Penting

        Kami menyarankan Anda menetapkan nilai menjadi satu tahun untuk mengurangi risiko kebocoran kunci klien. Untuk memastikan akses ke KMS, Anda harus mengubah kunci klien Anda sebelum tanggal kedaluwarsa kunci klien. Untuk informasi lebih lanjut, lihat Ubah kunci klien.

        Policies

        Pilih kebijakan izin yang telah Anda buat.

        Description

        Masukkan deskripsi untuk AAP.

      3. Klik OK. Browser akan secara otomatis mengunduh kunci klien yang dibuat.

        Kunci klien mencakup Application Access Secret(ClientKeyContent) dan Password. Secara default, Application Access Secret(ClientKeyContent) disimpan dalam file dengan nama format clientKey_****.json. Secara default, Password disimpan dalam file dengan nama format clientKey_****_Password.txt.

    Panggil Operasi API

    1. Panggil operasi CreateNetworkRule dan tentukan alamat IP privat atau blok CIDR privat dari mana akses ke KMS diizinkan untuk membuat aturan akses jaringan.

    2. Panggil operasi CreatePolicy dan tentukan kunci dan rahasia yang dapat diakses serta aturan akses jaringan yang diperlukan untuk membuat kebijakan izin.

    3. Panggil operasi CreateApplicationAccessPoint dan tentukan metode otentikasi yang diperlukan dan kebijakan izin untuk membuat AAP.

    4. Panggil operasi CreateClientKey dan tentukan kata sandi enkripsi yang diperlukan, masa berlaku, dan AAP untuk membuat kunci klien.

    Gunakan Terraform

    Untuk informasi lebih lanjut, lihat Buat AAP dengan Terraform.

    Operasi Terkait

    Jika cakupan AAP ditetapkan ke instans KMS, Anda harus mengonfigurasi sertifikat otoritas sertifikat (CA) instans KMS dan titik akhir instans KMS saat mengintegrasikan SDK ke aplikasi Anda. Operasi ini tidak diperlukan jika cakupan AAP ditetapkan ke Shared KMS Gateway.

    Peroleh Sertifikat CA Instans

    Instans KMS memiliki sertifikat SSL/TLS bawaan dan menggunakan protokol HTTPS untuk otentikasi dan komunikasi terenkripsi. Sertifikat CA instans KMS digunakan untuk memverifikasi validitas sertifikat SSL/TLS instans KMS. Sebagai contoh, ini melibatkan pengecekan bahwa sertifikat SSL/TLS instans KMS diterbitkan oleh CA yang benar, masih valid, dan nama domainnya sesuai dengan titik akhir instans KMS.

    Catatan

    Instans KMS hanya mendukung TLS 1.2.

    1. Di halaman Instances, pilih tab Software Key Management atau Hardware Key Management, lalu pilih instans target.

    2. Klik ID instans atau Details di kolom Actions. Di halaman detail, klik Download di sebelah Instance CA Certificate.

      Simpan sertifikat dengan aman. File yang diunduh akan diberi nama PrivateKmsCA_kst-******.pem secara default.

    Peroleh titik akhir instans

    1. Di halaman Instances, klik tab Software Key Management atau Hardware Key Management dan temukan instans KMS yang ingin Anda kelola.

    2. Klik ID instans untuk masuk ke halaman detail dan lihat parameter Instance VPC Endpoint.

    3. Hapus https:// dari nilai parameter Instance VPC Endpoint untuk mendapatkan titik akhir instans KMS.

    Referensi

    • Kami menyarankan Anda menghapus AAP yang tidak digunakan dalam waktu lama. Untuk informasi lebih lanjut, lihat Kelola AAP.

    • Kami menyarankan Anda mengubah kunci klien yang telah digunakan selama lebih dari satu tahun. Untuk informasi lebih lanjut, lihat Ubah kunci klien.

    • KMS mengirimkan peristiwa peringatan ketika kunci klien akan kedaluwarsa. Perhatikan peristiwa peringatan tersebut dan tangani secepat mungkin. Untuk informasi lebih lanjut, lihat Peristiwa peringatan.