Key Management Service (KMS) menyediakan kemampuan enkripsi data default untuk layanan Alibaba Cloud lainnya. Untuk mengenkripsi data dalam layanan Alibaba Cloud, Anda dapat menggunakan service key yang dibuat oleh layanan tersebut atau kunci yang Anda buat di KMS. Administrator cloud, insinyur keamanan, dan arsitek dapat menggunakan halaman ini untuk memahami cara KMS berintegrasi dengan layanan lain, memilih jenis kunci yang tepat, serta menyiapkan kontrol akses dan auditing.
Mengapa berintegrasi dengan KMS
Membangun sistem enkripsi sendiri mengharuskan Anda menyelesaikan berbagai tantangan rumit: merancang hierarki kunci yang menyeimbangkan performa dan keamanan, menerapkan rotasi kunci dan pengenkripsian ulang data, serta menerapkan algoritma enkripsi secara tepat agar sistem tetap tahan terhadap perubahan tidak sah. KMS menangani semua aspek tersebut untuk Anda, sehingga menghilangkan biaya pengembangan sistem enkripsi data sendiri.
Saat Anda mengaktifkan integrasi KMS, KMS melakukan enkripsi end-to-end pada data cloud — termasuk data yang dihasilkan oleh mesin database — tanpa memerlukan perubahan pada cara aplikasi Anda mengakses data tersebut.
Jenis kunci untuk server-side encryption
KMS mendukung empat jenis kunci untuk server-side encryption. Tabel berikut membandingkannya berdasarkan dimensi yang paling relevan dalam memilih kunci.
| Service key | CMK as default key | Software-protected key | Hardware-protected key | |
|---|---|---|---|---|
| Key Creator | Layanan Alibaba Cloud | Anda | Anda | Anda |
| Asal material kunci | KMS | KMS atau Bring your own key (BYOK) | KMS | KMS atau BYOK |
| Control | Dikelola oleh layanan Alibaba Cloud; tidak dapat dikonfigurasi di Konsol KMS (misalnya, Anda tidak dapat mengaktifkan atau menonaktifkan service key) | Kontrol penuh melalui Konsol KMS | Kontrol penuh melalui Konsol KMS | Kontrol penuh melalui Konsol KMS |
| Penagihan | Gratis | Gratis | Berbayar | Berbayar |
| Batasan | Satu per layanan per wilayah per akun | — | Memerlukan instans KMS (tipe manajemen kunci software) | Memerlukan instans KMS (tipe manajemen kunci hardware) |
Untuk informasi lebih lanjut tentang jenis kunci, lihat Ikhtisar manajemen kunci.
Service key secara otomatis diberi alias dalam format alias/acs/<cloud product code>. Sebagai contoh, service key yang dibuat oleh Elastic Compute Service (ECS) menggunakan alias alias/acs/ecs. Bidang Key Usage di Konsol KMS menampilkan Service Key untuk kunci-kunci ini. Catatan operasi dan penggunaan untuk service key tersedia di Konsol ActionTrail.
Konfigurasikan server-side encryption
Langkah-langkah berikut menunjukkan cara mengonfigurasi setiap jenis kunci saat membeli layanan Alibaba Cloud. ECS digunakan sebagai contoh, tetapi langkah yang sama berlaku untuk layanan terintegrasi lainnya. Anda juga dapat mengonfigurasi enkripsi setelah pembelian — lihat dokumentasi masing-masing layanan.
Gunakan service key
Saat membeli layanan Alibaba Cloud, pilih Default Service CMK. Layanan tersebut secara otomatis membuat dan mengelola service key untuk mengenkripsi data sisi server.
Di Konsol KMS, lihat service key yang telah dibuat.
Gunakan CMK sebagai kunci default
Aktifkan customer master key (CMK) di Konsol KMS. Untuk detailnya, lihat Memulai penggunaan kunci. Dalam contoh ini, alias CMK adalah
alias/byok.
Saat membeli layanan Alibaba Cloud, pilih CMK tersebut sebagai kunci default.
Gunakan software-protected key
Beli instans KMS dengan tipe manajemen kunci software. Untuk detailnya, lihat Beli dan aktifkan instans KMS.
Buat software-protected key di Konsol KMS. Untuk detailnya, lihat Memulai penggunaan kunci.
Saat membeli layanan Alibaba Cloud, pilih software-protected key tersebut.
Gunakan hardware-protected key
Beli instans KMS dengan tipe manajemen kunci hardware. Untuk detailnya, lihat Beli dan aktifkan instans KMS.
Buat hardware-protected key di Konsol KMS. Untuk detailnya, lihat Memulai penggunaan kunci.
Saat membeli layanan Alibaba Cloud, pilih hardware-protected key tersebut.
Cara kerja
Proses enkripsi dan dekripsi terjadi secara transparan di layanan Alibaba Cloud — aplikasi Anda mengakses data dengan cara yang sama, terlepas dari apakah enkripsi diaktifkan atau tidak.
Sebagian besar layanan Alibaba Cloud menerapkan server-side encryption menggunakan envelope encryption: kunci data mengenkripsi data sebenarnya, dan KMS mengenkripsi kunci data tersebut. Diagram dan langkah berikut menjelaskan proses ini.
Buat kunci di KMS.
Panggil operasi
GenerateDataKeyuntuk meminta kunci data.KMS mengembalikan kunci data dalam dua bentuk: plaintext dan ciphertext. Ciphertext merupakan plaintext yang dienkripsi oleh kunci KMS yang ditentukan.
Layanan Alibaba Cloud menggunakan plaintext kunci data untuk mengenkripsi data, lalu menulis ciphertext kunci data dan ciphertext data ke penyimpanan persisten sebagai amplop.
KMS mentransfer kunci data melalui saluran aman. Plaintext kunci data hanya digunakan di memori dan tidak pernah ditulis ke penyimpanan persisten.
Kontrol akses
KMS menggunakan Resource Access Management (RAM) untuk memeriksa apakah layanan Alibaba Cloud memiliki izin untuk menggunakan kunci tertentu. Konfigurasikan kebijakan izin di Konsol RAM atau ikuti petunjuk di layar di konsol layanan Alibaba Cloud. Untuk detailnya, lihat Kebijakan kustom.
Auditing
Anda dapat melakukan audit penggunaan kunci untuk layanan Alibaba Cloud di ActionTrail. Gunakan Konsol ActionTrail untuk meninjau kunci mana yang digunakan dan kapan. Untuk detailnya, lihat Gunakan ActionTrail untuk mengkueri event KMS.
Langkah selanjutnya
Layanan Alibaba Cloud yang kompatibel dengan KMS — lihat daftar lengkap layanan yang mendukung integrasi KMS