Untuk mengelola dan mengontrol bahan kunci Anda, Anda dapat membuat kunci dengan asal eksternal di instans Key Management Service (KMS), lalu mengimpor bahan kunci tersebut. Topik ini menjelaskan cara mengimpor bahan kunci ke dalam kunci simetris.
Jika instans manajemen kunci perangkat lunak atau instans manajemen kunci perangkat keras Anda tidak mendukung pengimporan bahan kunci, atau jika terjadi kesalahan selama proses impor, hubungi dukungan teknis Alibaba Cloud untuk meningkatkan instans tersebut.
Pengenalan fungsi
Kunci merupakan sumber daya dasar dalam KMS. Sebuah kunci terdiri dari ID kunci, metadata dasar seperti status kunci, dan bahan kunci. Saat membuat kunci, Anda dapat memilih agar KMS menghasilkan bahan kunci atau menggunakan bahan kunci dari sumber eksternal. Jika Anda memilih sumber eksternal, Anda harus mengimpor bahan kunci eksternal tersebut ke dalam kunci. Fitur ini sering disebut Bring Your Own Key (BYOK).
Tabel berikut menjelaskan jenis manajemen kunci KMS yang mendukung pengimporan bahan kunci. Untuk informasi lebih lanjut tentang jenis manajemen kunci, lihat Jenis manajemen kunci dan spesifikasi kunci.
: Menunjukkan bahwa pengimporan bahan kunci yang sesuai didukung.
: Menunjukkan bahwa pengimporan bahan kunci yang sesuai tidak didukung.
Jenis manajemen kunci | Impor bahan kunci simetris | Impor bahan kunci asimetris |
Kunci default |
|
|
Kunci yang dilindungi perangkat lunak | √ | √ |
Kunci yang dilindungi perangkat keras | √ | × |
Catatan penggunaan
Pastikan Penghasil angka acak yang sesuai digunakan untuk menghasilkan bahan kunci.
Setelah Anda mengimpor bahan kunci ke dalam sebuah kunci, kunci tersebut secara permanen terikat pada bahan kunci tersebut. Anda tidak dapat mengimpor bahan kunci yang berbeda ke dalam kunci tersebut.
Anda dapat mengimpor bahan kunci yang sama ke dalam kunci KMS beberapa kali, tetapi tidak dapat mengimpor bahan kunci yang berbeda ke dalam kunci KMS yang sama.
Jika bahan kunci untuk suatu kunci kedaluwarsa atau dihapus, Anda dapat mengimpor ulang bahan kunci yang sama agar kunci tersebut tersedia kembali. Anda tidak dapat mengekspor bahan kunci setelah diimpor. Oleh karena itu, simpan bahan kunci Anda dengan aman.
Prasyarat
Instans KMS harus dibeli dan diaktifkan. Untuk informasi lebih lanjut, lihat Beli dan aktifkan instans KMS.
Anda tidak perlu membeli instans KMS untuk mengimpor bahan kunci untuk customer master key default.
Langkah 1: Buat kunci simetris dengan asal bahan kunci eksternal
Sebelum mengimpor bahan kunci, Anda harus membuat kunci simetris dengan asal bahan kunci eksternal.
Kunci default (customer master key)
Masuk ke Konsol KMS. Di bilah navigasi atas, pilih Wilayah. Di panel navigasi sebelah kiri, pilih .
Pada tab Default Keys, klik Enable di kolom Actions untuk customer master key. Lalu, pada tab Create Key, atur parameter dan klik OK.
Item konfigurasi
Deskripsi
Key Alias
Identifikasi untuk kunci. Dapat berisi huruf, angka, garis bawah (_), tanda hubung (-), dan garis miring (/).
Description
Deskripsi kunci.
Advanced Settings
Asal bahan kunci. Pilih External (Import Key Material).
CatatanBaca dan pilih Saya memahami metode dan implikasi dari penggunaan bahan kunci eksternal.
Kunci yang dilindungi perangkat lunak
Masuk ke Konsol KMS. Di bilah navigasi atas, pilih Wilayah. Di panel navigasi sebelah kiri, pilih .
Pada tab Customer Master Keys, pilih instans manajemen kunci perangkat lunak dari daftar Instance ID dan klik Create Key.
Pada panel Create Key, atur parameter dan klik OK.
Item konfigurasi
Deskripsi
Key Type
Pilih Symmetric Key.
PentingJika Anda membuat kunci untuk mengenkripsi nilai rahasia, pilih Symmetric Key.
Key Specifications
Key Usage
ENCRYPT/DECRYPT: Kunci digunakan untuk enkripsi dan dekripsi data.
Key Alias
Alias untuk kunci. Dapat berisi huruf, angka, garis bawah (_), tanda hubung (-), dan garis miring (/).
Tag
Tag untuk kunci guna membantu Anda mengkategorikan dan mengelola kunci. Setiap tag terdiri dari pasangan kunci-nilai yang mencakup kunci tag dan nilai tag.
CatatanKunci tag atau nilai tag dapat memiliki panjang hingga 128 karakter dan dapat berisi huruf, angka, garis miring (/), garis miring terbalik (\), garis bawah (_), tanda hubung (-), titik (.), tanda tambah (+), tanda sama dengan (=), titik dua (:), tanda @, dan spasi.
Kunci tag tidak boleh dimulai dengan
aliyunatauacs:.Anda dapat mengonfigurasi hingga 20 pasangan kunci-nilai untuk setiap kunci.
Description
Deskripsi kunci.
Advanced Settings
Policy Settings: Untuk informasi lebih lanjut, lihat Ikhtisar kebijakan kunci.
Key Material Origin: Pilih External (Import Key Material).
CatatanBaca dan pilih I understand the methods and implications of using external key material.
Kunci yang dilindungi perangkat keras
Masuk ke Konsol KMS. Di bilah navigasi atas, pilih Wilayah. Di panel navigasi sebelah kiri, pilih .
Pada tab Customer Master Keys, pilih instans manajemen kunci perangkat keras untuk Instance ID dan klik Create Key.
Pada panel Create Key, atur parameter dan klik OK.
Item konfigurasi
Deskripsi
Key Type
Pilih Symmetric Key.
PentingJika Anda membuat kunci untuk mengenkripsi nilai rahasia, pilih Symmetric Key.
Key Specifications
Key Usage
Tujuan kunci. Nilai yang valid:
Encrypt/Decrypt: Enkripsi dan dekripsi data.
Sign/Verify: Pembuatan dan verifikasi tanda tangan digital.
Key Alias
Alias untuk kunci. Dapat berisi huruf, angka, garis bawah (_), tanda hubung (-), dan garis miring (/).
Tag
Tag untuk kunci guna membantu Anda mengkategorikan dan mengelola kunci. Setiap tag terdiri dari pasangan kunci-nilai yang mencakup kunci tag dan nilai tag.
CatatanKunci tag atau nilai tag dapat memiliki panjang hingga 128 karakter dan dapat berisi huruf, angka, garis miring (/), garis miring terbalik (\), garis bawah (_), tanda hubung (-), titik (.), tanda tambah (+), tanda sama dengan (=), titik dua (:), tanda @, dan spasi.
Kunci tag tidak boleh dimulai dengan
aliyunatauacs:.Anda dapat mengonfigurasi hingga 20 pasangan kunci-nilai untuk setiap kunci.
Description
Deskripsi kunci.
Advanced Settings
Policy Settings: Untuk informasi lebih lanjut, lihat Ikhtisar kebijakan kunci.
Key Material Origin: Pilih External (Import Key Material).
CatatanBaca dan pilih I understand the methods and implications of using external key material.
Kunci dibuat dengan status Pending Import.
Langkah 2: Unduh kunci publik pembungkus dan token impor
Parameter yang diperlukan untuk mengimpor bahan kunci terdiri dari kunci publik pembungkus dan token impor. Kunci publik pembungkus digunakan untuk mengenkripsi bahan kunci guna melindunginya selama proses impor. Token impor diperlukan untuk melakukan operasi impor.
Temukan kunci target dan klik Details di kolom Actions. Lalu, di bagian Key Material, klik Obtain Parameters for Import.
Pada kotak dialog Obtain Parameters to Import Key Material, pilih Public Key Type dan Encryption Algorithm, lalu klik Next.
Jenis manajemen kunci
Jenis kunci publik pembungkus
Algoritma enkripsi
Kunci default (customer master key)
RSA_2048
RSAES_OAEP_SHA_1
RSAES_OAEP_SHA_256
RSAES_PKCS1_V1_5 (Tidak direkomendasikan)
Kunci yang dilindungi perangkat lunak
RSA_2048
RSAES_OAEP_SHA_256
RSAES_PKCS1_V1_5 (Tidak direkomendasikan)
Kunci yang dilindungi perangkat keras
RSA_2048
RSAES_OAEP_SHA_256
RSAES_PKCS1_V1_5 (Tidak direkomendasikan)
PentingRSAES_PKCS1_V1_5: National Institute of Standards and Technology (NIST) menyatakan dalam pedoman Transitioning the Use of Cryptographic Algorithms and Key Lengths bahwa algoritma enkripsi ini tidak boleh lagi digunakan untuk mengenkripsi kunci transport setelah 31 Desember 2023.
RSAES_OAEP_SHA_1: Enkripsi RSA yang menggunakan skema RSAES-OAEP yang ditentukan dalam RFC 3447/PKCS#1, dengan MGF1 dan SHA-1.
Unduh kunci publik pembungkus dan token impor, lalu simpan dengan aman.
Public Key Format:
PEM Format: Nama default file yang diunduh adalah publickey_******.pem.
DER Format: Nama default file yang diunduh adalah publickey_******.bin.
Import Token: Nama default file yang diunduh adalah token_******.txt.
PentingToken impor berlaku selama 24 jam dan dapat digunakan beberapa kali dalam periode validitasnya. Setelah kedaluwarsa, Anda harus mendapatkan token impor dan kunci publik baru.
Kunci publik pembungkus dan token impor harus digunakan bersama-sama. Anda tidak dapat menggunakan kunci publik pembungkus dari satu unduhan dengan token impor dari unduhan lainnya.
Langkah 3: Gunakan kunci publik pembungkus untuk mengenkripsi bahan kunci
Gunakan kunci publik pembungkus yang Anda unduh di Langkah 2: Unduh kunci publik pembungkus dan token impor serta algoritma enkripsi yang ditentukan untuk mengenkripsi bahan kunci Anda.
Contoh berikut menunjukkan cara menggunakan OpenSSL untuk menghasilkan bahan kunci dan mengenkripsinya dengan kunci publik RSA serta algoritma RSAES_OAEP_SHA_256.
Gunakan OpenSSL untuk menghasilkan bilangan acak 32 byte sebagai bahan kunci Anda. Jika Anda sudah memiliki bahan kunci, lewati langkah ini.
openssl rand -out KeyMaterial.bin 32Enkripsi bahan kunci dengan algoritma enkripsi yang ditentukan.
openssl pkeyutl -encrypt -in KeyMaterial.bin -inkey PublicKey.bin -keyform DER -pubin -out EncryptedKeyMaterial.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 -pkeyopt rsa_mgf1_md:sha256CatatanKode contoh menggunakan algoritma enkripsi RSAES_OAEP_SHA_256.
Dalam kode contoh, file kunci publik dalam format DER. Jika Anda memilih format PEM saat mengunduh file kunci publik, Anda harus mengganti
-keyform DERdengan-keyform PEMdalam kode contoh.Ganti PublicKey.bin dengan nama file kunci publik yang Anda unduh di Langkah 2: Unduh kunci publik pembungkus dan token impor.
Encode bahan kunci terenkripsi dalam Base64 dan simpan ke file teks.
openssl enc -e -base64 -A -in EncryptedKeyMaterial.bin -out EncryptedKeyMaterial_base64.txtCatatanFile EncryptedKeyMaterial_base64.txt berisi bahan kunci yang akan diimpor ke KMS.
Langkah 4: Impor bahan kunci
Pada halaman detail kunci, klik Import Key Material. Pada kotak dialog Import Wrapped Key Material, atur parameter dan klik OK.
Item konfigurasi | Deskripsi |
Wrapped Key Material | Unggah file bahan kunci yang dihasilkan di Langkah 3: Gunakan kunci publik pembungkus untuk mengenkripsi bahan kunci. |
Import Token | Unggah file token yang diunduh di Langkah 2: Unduh kunci publik pembungkus dan token impor. |
Key Material Expired On | Anda dapat memilih Never Expire atau menentukan waktu kedaluwarsa khusus. Penting Jika Anda menetapkan waktu kedaluwarsa untuk bahan kunci, KMS akan menghapus bahan kunci yang kedaluwarsa pada waktu yang ditentukan. Anda tidak akan dapat menggunakan bahan kunci tersebut. Untuk melanjutkan penggunaannya, Anda dapat mengimpor ulang bahan kunci yang sama untuk kunci tersebut. |
Setelah bahan kunci diimpor, status kunci berubah dari Pending Import menjadi Enabling.
FAQ
Apakah saya dapat menghapus bahan kunci?
Penghapusan didukung.
Setelah bahan kunci yang diimpor kedaluwarsa atau dihapus, kuncinya menjadi tidak dapat digunakan. Anda harus mengimpor ulang bahan kunci yang sama untuk menggunakan kunci tersebut kembali.
Hapus bahan kunci secara manual
Di konsol, pada halaman detail kunci, klik Delete Key Material di bagian Key Material.
Operasi API: Panggil operasi DeleteKeyMaterial untuk menghapus bahan kunci. Operasi ini tidak menghapus kunci Anda.
Konfigurasikan bahan kunci agar dihapus otomatis saat kedaluwarsa
Saat mengimpor bahan kunci, Anda dapat menetapkan waktu kedaluwarsa. KMS akan menghapus bahan kunci setelah waktu yang ditentukan.
Bagaimana cara mengimpor ulang bahan kunci yang sama?
Setelah bahan kunci kedaluwarsa atau dihapus, Anda dapat mengimpor ulang bahan kunci yang sama untuk terus menggunakan kunci tersebut.
Hapus bahan kunci yang kedaluwarsa.
Pada halaman detail kunci, klik tab Key Material lalu klik Delete Key Material.
Unduh kunci publik pembungkus dan token impor baru. Untuk informasi lebih lanjut, lihat Langkah 2: Unduh kunci publik pembungkus dan token impor.
CatatanProses pembungkus kunci tidak memengaruhi konten bahan kunci. Oleh karena itu, Anda dapat menggunakan kunci publik pembungkus yang berbeda dan algoritma enkripsi yang berbeda untuk mengimpor bahan kunci yang sama.
Gunakan kunci publik pembungkus untuk mengenkripsi bahan kunci. Untuk informasi lebih lanjut, lihat Langkah 3: Gunakan kunci publik pembungkus untuk mengenkripsi bahan kunci.
CatatanBahan kunci harus sama dengan yang sebelumnya diimpor.
Gunakan token impor untuk mengimpor bahan kunci terenkripsi. Untuk informasi lebih lanjut, lihat Langkah 4: Impor bahan kunci.
Bagaimana cara menentukan apakah bahan kunci diimpor atau dihasilkan oleh KMS?
Metode 1: Periksa di konsol Key Management Service.
Kunci default: Pada halaman Keys, klik tab Default Keys. Temukan kunci yang diinginkan dan klik Details di kolom Actions. Key Material Origin ditampilkan di halaman detail.
Kunci yang dilindungi perangkat lunak dan perangkat keras: Pada halaman Keys, klik tab Customer Master Keys. Pilih Instance ID dan temukan kunci target. Lalu, klik Details di kolom Actions. Di halaman detail, Anda dapat melihat Key Material Origin.
Metode 2: Panggil operasi DescribeKey.
Jika nilai
OriginadalahEXTERNAL, bahan kunci diimpor. Jika nilaiOriginadalahAliyun_KMS, bahan kunci dihasilkan oleh KMS.
Bagaimana cara merotasi kunci yang menggunakan bahan kunci eksternal?
Untuk kunci simetris yang dilindungi perangkat lunak yang menggunakan bahan kunci yang diimpor, hanya rotasi manual langsung yang didukung, bukan rotasi periodik otomatis. Untuk informasi lebih lanjut, lihat Rotasi kunci Bring-Your-Own-Key (BYOK).
Rotasi tidak didukung untuk kunci asimetris yang dilindungi perangkat lunak yang menggunakan bahan kunci yang diimpor.
Rotasi tidak didukung untuk kunci yang dilindungi perangkat keras (baik simetris maupun asimetris) yang menggunakan bahan kunci yang diimpor.