Untuk menghubungkan aplikasi yang dikelola sendiri ke KMS menggunakan KMS Instance SDK atau Secret SDK, buat titik akses aplikasi (AAP) dan hasilkan kunci client. Kunci client tersebut mengautentikasi aplikasi Anda serta mengontrol sumber daya KMS yang dapat diaksesnya.
Prasyarat
Sebelum memulai, pastikan Anda telah:
Memiliki instans KMS yang telah dibeli dan diaktifkan. Lihat Beli dan aktifkan instans KMS.
Membuat setidaknya satu kunci atau rahasia. Lihat Memulai Key Management dan Memulai Secrets Manager.
Pilih mode pembuatan
Konsol KMS menyediakan dua mode. Gunakan tabel berikut untuk memilih mode yang tepat sebelum memulai.
| Pembuatan Cepat | Pembuatan Standar | |
|---|---|---|
| Akses endpoint | Hanya endpoint instans KMS | Endpoint instans KMS (kunci dan rahasia) + endpoint publik KMS atau virtual private cloud (VPC) (hanya rahasia) |
| Masa berlaku kunci client | Tetap selama 5 tahun | Dapat dikonfigurasi — atur menjadi 1 tahun |
| Sumber daya yang dapat diakses | Semua kunci dan rahasia dalam instans KMS (Anda dapat memodifikasi kebijakan izin setelah pembuatan) | Dapat dikonfigurasi per kebijakan izin |
| Kontrol akses jaringan | Tidak tersedia | Dapat dikonfigurasi melalui aturan akses jaringan |
| Paling cocok untuk | Integrasi SDK cepat dengan pengaturan minimal | Aplikasi produksi yang memerlukan kontrol akses detail halus |
Ganti kunci client Anda sebelum masa berlakunya habis untuk mencegah gangguan akses. Untuk detailnya, lihat Ganti kunci client. Buat satu AAP per aplikasi agar setiap aplikasi memiliki izin akses independen.
Gunakan Konsol KMS
Pembuatan Cepat
Gunakan Pembuatan Cepat untuk menghubungkan aplikasi ke KMS dengan langkah konfigurasi minimal. Secara default, semua kunci dan rahasia dalam instans KMS yang dipilih dapat diakses.
Login ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih Application Access > AAPs.
Di tab Application Access, klik Create AAP.
Di panel Create AAP, atur parameter berikut lalu klik OK.
Parameter Deskripsi Mode Pilih Quick Creation. Scope (KMS Instance) Pilih instans KMS yang perlu diakses oleh aplikasi Anda. Application Access Point Name Masukkan nama untuk AAP. Authentication Method Tetap sebagai ClientKey. Default Permission Policy Tetap sebagai key/*secret/*. Aplikasi Anda dapat mengakses semua kunci dan rahasia dalam instans KMS yang dipilih.
Browser secara otomatis mengunduh dua file:
clientKey_****.json— berisi Application Access Secret (ClientKeyContent)clientKey_****_Password.txt— berisi Password
Simpan kedua file tersebut secara aman.
Pembuatan Standar
Pembuatan Standar memungkinkan Anda menentukan secara tepat sumber daya yang dapat diakses oleh aplikasi, jaringan asal akses, serta durasi aksesnya. Selesaikan tiga langkah berikut secara berurutan.
Langkah 1: Buat aturan akses jaringan
Aturan akses jaringan menentukan alamat IP sumber yang dapat mengakses instans KMS Anda.
Lewati langkah ini jika Anda tidak memerlukan penyaringan IP sumber. Untuk lingkungan produksi, konfigurasikan aturan akses jaringan guna membatasi akses.
Di halaman AAPs, klik tab Network Access Rules, lalu klik Create Network Access Rule.
Di panel Create Network Access Rule, atur parameter berikut lalu klik OK.
Parameter Deskripsi Rule Name Nama untuk aturan akses jaringan. Network Type Lihat referensi endpoint dan jenis jaringan di bawah untuk memilih jenis yang tepat. Allowed Source IP Addresses Alamat IP dari mana akses diizinkan. Jika aplikasi Anda berjalan di balik server proxy, masukkan alamat IP server proxy tersebut. Lihat detailnya di tabel referensi di bawah. Description (Opsional) Deskripsi untuk aturan tersebut. Alamat IP sumber yang diizinkan berdasarkan jenis jaringan:
Jenis jaringan Alamat IP sumber yang diizinkan Private Alamat IP dalam VPC yang terkait dengan instans KMS Anda Public Alamat IP publik VPC ID VPC dan alamat IP dalam VPC tersebut
Referensi endpoint dan jenis jaringan
Gunakan tabel ini untuk mencocokkan SDK dan kasus penggunaan Anda dengan jenis jaringan yang tepat.
| Kasus penggunaan | SDK | Jenis jaringan | Wilayah |
|---|---|---|---|
| Operasi kriptografi (enkripsi, dekripsi, tanda tangan, verifikasi) | KMS Instance SDK | Private | Semua wilayah |
| Pengambilan rahasia — throughput tinggi, keamanan tinggi | KMS Instance SDK | Private | Semua wilayah |
| Pengambilan rahasia melalui gerbang bersama | Secret SDK | Private, Public, atau VPC | Private dan Public: semua wilayah; VPC: Tiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Shenzhen), Tiongkok (Zhangjiakou) |
Operasi kriptografi memerlukan KMS Instance SDK dengan endpoint instans KMS. Atur jenis jaringan ke Private dan batasi alamat IP sumber yang diizinkan hanya ke alamat VPC yang terkait dengan instans KMS Anda.
Langkah 2: Buat kebijakan izin
Kebijakan izin menentukan kunci atau rahasia yang dapat diakses oleh aplikasi serta operasi yang diizinkan.
Klik tab Policies, lalu klik Create Policy.
Di panel Create Policy, atur parameter berikut lalu klik OK.
Parameter Deskripsi Policy Name Nama untuk kebijakan izin. Scope Jika jenis jaringan adalah Private, pilih instans KMS tertentu. Jika jenis jaringan adalah Public atau VPC, pilih Shared KMS Gateway. RBAC Permissions Pilih role yang sesuai dengan kebutuhan aplikasi Anda. Lihat referensi role RBAC di bawah. Accessible Resources Kunci atau rahasia yang perlu diakses oleh aplikasi Anda. Untuk menentukan beberapa rahasia yang panjang nama gabungannya melebihi batas, gunakan wildcard. Misalnya, secret/rds-ibm*cocok dengan semua rahasia yang memiliki awalanrds-ibm.Network Access Rules Pilih aturan akses jaringan yang Anda buat di langkah 1. Biarkan kosong jika Anda tidak menggunakan penyaringan IP sumber. Description (Opsional) Deskripsi untuk kebijakan tersebut.
Referensi role RBAC
| Role | Cakupan | Operasi yang diizinkan |
|---|---|---|
| CryptoServiceKeyUser | Instans KMS tertentu | Menggunakan kunci untuk operasi kriptografi. Lihat Operasi terkait kunci. |
| CryptoServiceSecretUser | Instans KMS tertentu | Menggunakan rahasia dalam instans KMS. Lihat Operasi terkait rahasia. |
| SecretUser | Shared KMS Gateway | Menggunakan semua rahasia dalam akun saat ini. Mendukung operasi GetSecretValue. |
Tetapkan role minimum yang diperlukan oleh aplikasi Anda. Jika aplikasi Anda hanya mengambil rahasia, tetapkan CryptoServiceSecretUser (atau SecretUser untuk Shared KMS Gateway) daripada CryptoServiceKeyUser.
Langkah 3: Buat AAP
Klik tab Application Access, lalu klik Create AAP.
Di panel Create AAP, atur parameter berikut lalu klik OK.
Parameter Deskripsi Mode Pilih Standard Creation. Application Access Point Name Masukkan nama untuk AAP. Authentication Method Pilih ClientKey atau RAMRole. Contoh ini menggunakan ClientKey. Encryption Password Masukkan password untuk kunci client. Harus terdiri dari 8–64 karakter dan mengandung minimal dua dari jenis berikut: angka, huruf, dan karakter khusus ( ~ ! @ # $ % ^ & * ? _ -).Validity Period Atur menjadi 1 tahun. Ganti kunci client sebelum masa berlaku habis agar aplikasi Anda tetap terhubung. Lihat Ganti kunci client. Policies Pilih kebijakan izin yang Anda buat di langkah 2. Description (Opsional) Deskripsi untuk AAP.
Browser secara otomatis mengunduh dua file:
clientKey_****.json— berisi Application Access Secret (ClientKeyContent)clientKey_****_Password.txt— berisi Password
Simpan kedua file tersebut secara aman.
Panggil operasi API
Untuk membuat AAP secara terprogram, panggil operasi berikut secara berurutan:
Panggil CreateNetworkRule untuk membuat aturan akses jaringan. Tentukan alamat IP pribadi atau blok CIDR pribadi dari mana akses ke KMS diizinkan.
Panggil CreatePolicy untuk membuat kebijakan izin. Tentukan kunci dan rahasia yang diizinkan serta aturan akses jaringan yang akan diterapkan.
Panggil CreateApplicationAccessPoint untuk membuat AAP. Tentukan metode autentikasi dan kebijakan izin.
Panggil CreateClientKey untuk menghasilkan kunci client. Tentukan password enkripsi, periode validitas, dan AAP.
Gunakan Terraform
Untuk penyiapan berbasis Terraform, lihat Buat AAP dengan Terraform.
Konfigurasikan SDK Anda setelah membuat AAP
Jika cakupan AAP adalah instans KMS tertentu (bukan Shared KMS Gateway), konfigurasikan sertifikat CA instans dan endpoint instans di SDK Anda sebelum melakukan pemanggilan API.
Mendapatkan Sertifikat CA Instans
Instans KMS menggunakan HTTPS dengan sertifikat SSL/TLS bawaan. Unduh sertifikat CA instans untuk memverifikasi sertifikat SSL/TLS instans KMS selama inisialisasi SDK.
Instans KMS hanya mendukung TLS 1.2.
Di halaman Instances, klik tab Software Key Management atau Hardware Key Management dan temukan instans Anda.
Klik ID instans atau Details di kolom Actions.
Di halaman detail instans, klik Download di samping Instance CA Certificate.
File yang diunduh secara default bernama PrivateKmsCA_kst-******.pem. Simpan file tersebut secara aman bersama file kunci client Anda.
Dapatkan endpoint instans
Di halaman Instances, klik tab Software Key Management atau Hardware Key Management dan temukan instans Anda.
Klik ID instans untuk membuka halaman detail.
Salin nilai Instance VPC Endpoint dan hapus awalan
https://. String yang tersisa adalah endpoint yang harus diberikan ke SDK Anda.
Langkah selanjutnya
Kelola AAP — perbarui sumber daya yang dapat diakses, hapus AAP yang tidak digunakan
Ganti kunci client — rotasi kunci sebelum masa berlaku habis (disarankan: setiap tahun)
Event alert — KMS mengirimkan alert ketika kunci client hampir kedaluwarsa; segera tangani