Rahasia dari Key Management Service (KMS) dapat diintegrasikan ke dalam layanan tertentu di Alibaba Cloud. Setelah nama rahasia dikonfigurasikan pada layanan Alibaba Cloud, layanan tersebut dapat mengambil nilai rahasia dari KMS untuk menjalankan operasi tertentu. Hal ini memastikan bahwa rahasia sensitif yang diperlukan oleh layanan Alibaba Cloud dikelola secara aman, sistematis, dan terhindar dari risiko kebocoran akibat kelalaian manual.
Informasi latar belakang
KMS menyediakan fitur manajemen rahasia untuk mencegah risiko kebocoran informasi sensitif yang disebabkan oleh penanaman langsung rahasia ke dalam kode. Anda dapat menyimpan informasi sensitif sebagai rahasia di KMS dan mengonfigurasi nama rahasia di aplikasi. Saat informasi sensitif diperlukan, aplikasi akan mengambil nilai rahasia dari KMS secara dinamis. Informasi sensitif mencakup kata sandi akun database, kata sandi server, pasangan kunci SSH, dan kunci akses. KMS memungkinkan Anda mengelola rahasia sepanjang siklus hidupnya serta memastikan penggunaan rahasia secara aman dan efisien oleh aplikasi. Dengan demikian, hanya pengguna dan layanan yang berwenang yang dapat mengakses KMS.
Integrasi rahasia KMS dalam layanan Alibaba Cloud
Anda dapat mengelola rahasia secara terpusat di KMS dan mengonfigurasi nama rahasia pada layanan Alibaba Cloud. Setelah mendapatkan izin yang relevan, layanan Alibaba Cloud dapat melihat metadata rahasia dan mengambil nilai rahasia dari KMS. Operator dapat menggunakan rahasia tanpa melihat detailnya, memenuhi prinsip keamanan "dapat diakses tetapi tidak terlihat", sehingga mengurangi risiko kebocoran rahasia secara signifikan.
Anda dapat mengelola rahasia secara terpusat di KMS. Layanan Alibaba Cloud memungkinkan Anda menggunakan rahasia yang tersimpan di KMS. Layanan tersebut kemudian mengambil rahasia dari KMS dan menggunakannya secara real-time. Anda dapat melacak penggunaan rahasia melalui ActionTrail.
Layanan Alibaba Cloud ke dalam mana rahasia KMS diintegrasikan
Nama Layanan | Deskripsi | Referensi |
Container Service for Kubernetes (ACK) | Setelah Anda menginstal plug-in Kubernetes ack-secret-manager di ACK, Anda dapat mengonfigurasi nama rahasia di plug-in tersebut. Plug-in ini secara berkala membaca nilai rahasia terbaru dari KMS dan menyimpan nilainya di kluster Kubernetes. Kemudian, Anda dapat menggunakan rahasia yang dikelola di KMS dengan cara yang sama seperti Anda menggunakan rahasia di Kubernetes Secrets. Hal ini mencegah transmisi dan kebocoran data sensitif selama pengembangan dan pembuatan aplikasi. | |
Bastionhost | Setelah Anda menyimpan kata sandi akun atau pasangan kunci SSH dari instance ECS sebagai rahasia ECS di KMS, Anda dapat mengimpor rahasia ECS di Bastionhost. Saat Bastionhost membangun koneksi jarak jauh ke instance ECS, Bastionhost mengambil nilai rahasia ECS dari KMS. Anda tidak perlu memasukkan kata sandi akun atau pasangan kunci SSH di Bastionhost. Anda dapat melakukan rotasi segera atau mengonfigurasi rotasi otomatis untuk rahasia ECS di KMS guna memenuhi persyaratan keamanan dan kepatuhan. | |
Data Management (DMS) | Setelah Anda menyimpan kata sandi akun ApsaraDB RDS sebagai rahasia ApsaraDB RDS di KMS, Anda dapat mengonfigurasi dan mengimpor rahasia tersebut di DMS. Saat DMS tersambung secara remote ke database ApsaraDB RDS, DMS secara otomatis mengambil rahasia terkait dari KMS. Anda tidak perlu memasukkan kata sandi akun database di DMS. Anda dapat mengonfigurasi rotasi segera atau rotasi otomatis untuk rahasia ApsaraDB RDS di KMS guna memenuhi persyaratan keamanan dan kepatuhan. |