All Products
Search

This Product

    Key Management Service:Integrasi rahasia ApsaraDB RDS ke DMS

    Document Center

    Key Management Service:Integrasi rahasia ApsaraDB RDS ke DMS

    Last Updated:Jul 06, 2025

    Data Management (DMS) mendukung integrasi rahasia ApsaraDB RDS. Jika DMS perlu masuk ke database pada instance ApsaraDB RDS (selanjutnya disebut sebagai database ApsaraDB RDS), DMS dapat mengambil rahasia ApsaraDB RDS terkait dari Key Management Service (KMS) secara real-time. Topik ini menjelaskan cara mengonfigurasi DMS untuk menggunakan rahasia ApsaraDB RDS guna masuk ke database ApsaraDB RDS.

    Deskripsi fitur

    Sebelum menggunakan Data Management (DMS) untuk mengelola aset data dan mengembangkan database ApsaraDB RDS, Anda harus mendaftarkan database ApsaraDB RDS dengan DMS. Selama proses pendaftaran, konfigurasikan akun database ApsaraDB RDS di DMS untuk masuk ke database tersebut.

    Anda dapat memasukkan akun database ApsaraDB RDS secara manual di DMS atau mengintegrasikan rahasia KMS ke dalam DMS. Dengan cara ini, Anda dapat menggunakan rahasia ApsaraDB RDS untuk menyimpan akun database ApsaraDB RDS. DMS akan menggunakan rahasia ApsaraDB RDS terkait untuk masuk ke database. Saat DMS masuk ke database ApsaraDB RDS, DMS mengambil rahasia ApsaraDB RDS terkait dari KMS secara real-time. Gambar berikut menunjukkan proses secara detail.

    1. Administrator rahasia membuat rahasia ApsaraDB RDS di KMS untuk database ApsaraDB RDS.

    2. Ketika administrator DMS mendaftarkan database ApsaraDB RDS dengan DMS, administrator DMS mengonfigurasi DMS untuk menggunakan rahasia ApsaraDB RDS guna masuk ke database ApsaraDB RDS.

    3. Administrator DMS memulai permintaan koneksi ke database ApsaraDB RDS.

    4. DMS memanggil operasi ListSecrets dan GetSecretValue dari KMS untuk mengambil rahasia ApsaraDB RDS dari KMS secara real-time.

    5. DMS menggunakan rahasia ApsaraDB RDS untuk masuk ke database ApsaraDB RDS.

    Manfaat mengintegrasikan rahasia ApsaraDB RDS ke DMS

    Rahasia ApsaraDB RDS diintegrasikan ke DMS untuk meningkatkan keamanan database dan memastikan akses aman ke akun database.

    • Rahasia ApsaraDB RDS dienkripsi dan disimpan di KMS, yang mengurangi paparan akun database teks biasa dan meningkatkan keamanan.

    • Anda dapat mengonfigurasi rotasi otomatis untuk rahasia ApsaraDB RDS di KMS untuk memperbarui kata sandi akun database secara berkala. Ini mengurangi risiko keamanan yang mungkin timbul karena tidak mengubah kata sandi dalam waktu lama.

      Catatan

      DMS mengambil nilai rahasia dengan label tahap ACSCurrent dari KMS secara real-time. Jika Anda mengonfigurasi rotasi otomatis, operasi ini tidak akan memengaruhi koneksi ke database ApsaraDB RDS. Untuk informasi lebih lanjut tentang rotasi, lihat ApsaraDB RDS secrets dan Overview.

    • KMS mendukung ActionTrail, yang dapat mencatat semua permintaan akses ke rahasia ApsaraDB RDS. Ini memfasilitasi audit dan penelusuran selanjutnya, serta identifikasi cepat perilaku tidak biasa.

    Catatan penggunaan

    • Untuk mengintegrasikan rahasia ApsaraDB RDS ke DMS, Anda harus membeli instance KMS. Untuk informasi lebih lanjut tentang penagihan dan pemilihan KMS, lihat Penagihan dan Ikhtisar.

    • Database ApsaraDB RDS yang didukung meliputi ApsaraDB RDS for MySQL, ApsaraDB RDS for MariaDB, ApsaraDB RDS for SQL Server (kecuali SQL Server 2017 Edisi Kluster), dan ApsaraDB RDS for PostgreSQL.

    • Rahasia ApsaraDB RDS dapat dirotasi secara otomatis, yang memperbarui kata sandi dalam rahasia. Jika rahasia ApsaraDB RDS Anda dikelola di KMS, kami sarankan Anda mengonfigurasi DMS untuk menggunakan rahasia ApsaraDB RDS guna masuk ke database, alih-alih memasukkan akun secara manual. Ini mencegah kegagalan masuk ke database ApsaraDB RDS karena perubahan kata sandi.

    • Sebelum Anda menghapus rahasia ApsaraDB RDS dari KMS, pastikan bahwa DMS tidak lagi menggunakan rahasia ApsaraDB RDS tersebut. Untuk informasi lebih lanjut tentang cara menanyakan catatan penggunaan, lihat Tanyakan catatan penggunaan kunci dan rahasia.

    Prasyarat

    • Instance KMS dibeli dan diaktifkan. Untuk informasi lebih lanjut, lihat Beli dan aktifkan instance KMS.

    • Kunci simetris dibuat, yang digunakan untuk mengenkripsi rahasia ApsaraDB RDS ketika Anda membuat rahasia ApsaraDB RDS. Untuk informasi lebih lanjut, lihat Kelola kunci.

    Langkah 1: Buat rahasia ApsaraDB RDS di KMS

    1. Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi di sebelah kiri, pilih Resource > Secrets.

    2. Di halaman Secrets, klik Database Secrets, pilih ID instance KMS yang ingin Anda kelola dari daftar drop-down Instance ID, dan kemudian pilih Create a secret > Create Single Secret. Kemudian, konfigurasikan parameter dan klik OK.

      Parameter

      Deskripsi

      Database Type

      Jenis rahasia database yang ingin Anda buat. Pilih ApsaraDB RDS Secrets.

      Secret Name

      Nama rahasia. Nama rahasia unik dalam wilayah saat ini.

      ApsaraDB RDS Instance

      Instance ApsaraDB RDS yang ada yang ingin Anda kelola dalam akun Alibaba Cloud Anda.

      Account Management

      • Manage Dual Accounts (direkomendasikan): Mode ini cocok untuk skenario di mana rahasia digunakan oleh aplikasi untuk mengakses instance ApsaraDB RDS. Dalam mode ini, KMS mengelola dua akun yang memiliki izin identik. Mode ini memastikan bahwa koneksi antara aplikasi dan instance ApsaraDB RDS tidak terganggu saat rahasia dirotasi.

        • Klik tab Create Account, tentukan awalan nama pengguna, pilih database, dan tentukan izin.

          Catatan

          KMS tidak langsung membuat akun. KMS membuat akun setelah Anda memeriksa ulang dan mengonfirmasi informasi rahasia.

        • Klik tab Import Existing Accounts, pilih nama pengguna, dan tentukan kata sandi untuk nama pengguna tersebut.

          Catatan

          Kami sarankan Anda menentukan kata sandi yang sama seperti kata sandi yang Anda tentukan untuk akun saat membuat instance ApsaraDB RDS. Jika nama pengguna dan kata sandi yang ditentukan tidak cocok, Anda dapat mengambil nama pengguna dan kata sandi yang valid saat rahasia dirotasi pertama kali.

      • Manage Single Account: Mode ini cocok untuk skenario di mana akun istimewa atau akun O&M manual dikelola. Dalam mode ini, versi rahasia saat ini mungkin sementara tidak tersedia saat rahasia dirotasi.

        • Klik tab Create Account, tentukan awalan nama pengguna, dan pilih jenis akun.

          Anda dapat memilih Standard Account atau Privileged Account untuk parameter Jenis Akun. Jika Anda memilih Standard Account, Anda harus memilih database dan menentukan izin akun.

        • Klik tab Import Existing Accounts, pilih nama pengguna, dan tentukan kata sandi untuk nama pengguna tersebut.

      CMK

      Kunci yang digunakan untuk mengenkripsi nilai saat ini dari rahasia.

      Penting

      • Kunci dan rahasia Anda harus milik instance KMS yang sama. Kunci harus berupa kunci simetris. Untuk informasi lebih lanjut tentang kunci simetris yang didukung oleh KMS, lihat Spesifikasi kunci untuk enkripsi simetris dan asimetris.

      • Jika Anda adalah pengguna RAM atau peran RAM, Anda harus memiliki izin untuk memanggil operasi GenerateDataKey menggunakan kunci.

      Tag

      Tag yang ingin Anda tambahkan ke rahasia. Anda dapat menggunakan tag untuk mengklasifikasikan dan mengelola rahasia. Tag terdiri dari pasangan key-value.

      Catatan

      • Kunci tag atau nilai tag dapat memiliki panjang hingga 128 karakter dan dapat berisi huruf, angka, garis miring (/), backslash (\), garis bawah (_), tanda hubung (-), titik (.), tanda plus (+), tanda sama dengan (=), titik dua (:), at sign (@), dan spasi.

      • Kunci tag tidak boleh dimulai dengan aliyun atau acs:.

      • Anda dapat mengonfigurasi hingga 20 pasangan key-value untuk setiap rahasia.

      Automatic Rotation

      Menentukan apakah akan mengaktifkan rotasi rahasia otomatis.

      Rotation Period

      Interval rotasi rahasia otomatis. Pengaturan ini hanya diperlukan jika Anda mengaktifkan rotasi otomatis. Nilainya berkisar antara 6 jam hingga 365 hari.

      KMS secara berkala memperbarui rahasia berdasarkan nilai parameter ini.

      Description

      Deskripsi rahasia.

      Policy Settings

      Pengaturan kebijakan rahasia. Untuk informasi lebih lanjut, lihat Ikhtisar.

      Anda dapat menggunakan kebijakan default dan kemudian memodifikasi kebijakan berdasarkan kebutuhan bisnis Anda setelah membuat rahasia.

    Langkah 2: Daftarkan database ApsaraDB RDS dengan DMS

    1. Masuk ke Konsol DMS V5.0.

    2. Di panel navigasi di sebelah kiri halaman Beranda konsol DMS, klik ikon add di sebelah Database Instances.

      Catatan

      Atau, pilih Data Assets > Instances di bilah navigasi atas. Di tab Daftar Instance halaman Instance, klik New.

    3. Di halaman Add Instance, masukkan informasi tentang instance ApsaraDB RDS tempat database ApsaraDB RDS berada.

      Pilih Logon with KMS Secret untuk parameter Access mode. Untuk informasi lebih lanjut tentang cara mengonfigurasi parameter lainnya, lihat Daftarkan instance database Alibaba Cloud. image

    Referensi

    • Anda dapat mengubah mode akses database ApsaraDB RDS dari masuk berbasis akun dan kata sandi menjadi masuk berbasis rahasia ApsaraDB RDS. Untuk informasi lebih lanjut, lihat Modifikasi instance database.

    • Saat Anda mengaktifkan hosting keamanan, sistem secara otomatis menghasilkan akun dan kata sandi. Anggaplah Anda menggunakan akun dan kata sandi yang dihasilkan otomatis untuk masuk ke DMS pertama kali, lalu Anda beralih ke metode masuk lain, dan akhirnya ingin kembali ke metode masuk pertama. Dalam kasus ini, DMS mereset kata sandi akun yang dihasilkan otomatis.