全部产品
Search

搜索本产品

    Key Management Service:Memahami integrasi KMS

    文档中心

    Key Management Service:Memahami integrasi KMS

    更新时间:Jul 02, 2025

    Key Management Service (KMS) menyediakan kemampuan enkripsi data default untuk layanan Alibaba Cloud lainnya. Untuk mengenkripsi data dalam layanan Alibaba Cloud, Anda dapat menggunakan kunci layanan yang dibuat oleh layanan Alibaba Cloud atau kunci yang dibuat di KMS. Topik ini menjelaskan integrasi layanan Alibaba Cloud dengan KMS, termasuk manfaat integrasi dan mekanisme enkripsi.

    Manfaat mengintegrasikan layanan Alibaba Cloud dengan KMS

    • Meningkatkan keamanan data dan perlindungan privasi

      KMS menyediakan kemampuan enkripsi data untuk sebagian besar layanan Alibaba Cloud. Anda dapat mengonfigurasi solusi enkripsi saat atau setelah membeli layanan Alibaba Cloud. KMS melakukan enkripsi ujung ke ujung pada data cloud, seperti data yang dihasilkan oleh mesin database, saat layanan Alibaba Cloud digunakan. Ini memberikan solusi enkripsi yang aman untuk data cloud Anda dan meningkatkan keamanan serta privasi keseluruhan data Anda.

    • Menghilangkan biaya pengembangan sistem enkripsi data sendiri

      Saat mengembangkan sistem enkripsi data sendiri, Anda mungkin menghadapi berbagai tantangan. Dengan mengintegrasikan layanan Anda dengan KMS, Anda dapat mengatasi tantangan tersebut. Berikut adalah daftar tantangan yang dimaksud:

      • Merancang hierarki kunci dan mode distribusi data yang tepat untuk menyeimbangkan performa enkripsi dan keamanan.

      • Merancang mekanisme rotasi kunci dan re-enkripsi data.

      • Menguasai teknologi kriptografi dan menggunakan algoritma enkripsi yang sesuai untuk memastikan bahwa sistem enkripsi kuat, aman, dan tahan terhadap manipulasi.

    Jenis kunci yang mendukung enkripsi data dalam layanan Alibaba Cloud

    KMS menyediakan kunci default, kunci yang dilindungi perangkat lunak, dan kunci yang dilindungi perangkat keras. Anda dapat menggunakan kunci-kunci ini untuk mengenkripsi data dalam layanan Alibaba Cloud. Tabel berikut menjelaskan kunci-kunci tersebut. Untuk informasi lebih lanjut, lihat Memahami kunci KMS.

    Pembuat kunci

    Jenis kunci

    Asal materi kunci

    Penagihan

    Deskripsi

    Layanan Alibaba Cloud

    Kunci default (kunci layanan)

    KMS

    Gratis

    Dalam satu akun Alibaba Cloud, setiap layanan Alibaba Cloud hanya dapat membuat satu kunci layanan di suatu wilayah.

    Pengguna

    Kunci master pelanggan (CMK) yang digunakan sebagai kunci default

    Asal materi kunci yang didukung:

    • KMS

    • Bawa kunci Anda sendiri (BYOK)

    Gratis

    Setelah Anda membuat kunci, Anda harus mengizinkan layanan Alibaba Cloud Anda untuk menggunakan kunci tersebut. Untuk informasi lebih lanjut, lihat Kebijakan kustom.

    Kunci yang dilindungi perangkat lunak

    KMS

    Berbayar

    Kunci yang dilindungi perangkat keras

    Asal materi kunci yang didukung:

    • KMS

    • BYOK

    Berbayar

    Gunakan kunci untuk enkripsi sisi server dalam layanan Alibaba Cloud

    Dalam contoh ini, kunci dikonfigurasikan untuk enkripsi sisi server dalam layanan Alibaba Cloud saat Anda membeli layanan Alibaba Cloud. Anda juga dapat mengonfigurasi kunci setelah membeli layanan Alibaba Cloud. Untuk informasi lebih lanjut, lihat dokumentasi di situs resmi masing-masing layanan Alibaba Cloud.

    Kunci layanan

    Anda dapat melihat kunci layanan yang dibuat di konsol KMS.

    1. Saat membeli layanan Alibaba Cloud, pilih CMK Layanan Default. Dengan cara ini, Anda dapat menggunakan kunci layanan yang dibuat oleh layanan Alibaba Cloud Anda untuk mengenkripsi data sisi server. Dalam contoh ini, Instance ECS dibeli.购买ECS时选择KMS默认密钥加密

      Catatan

      Untuk identifikasi yang mudah, kunci layanan secara otomatis diasosiasikan dengan alias dalam format alias/acs/<kode produk cloud>. Sebagai contoh, kunci layanan yang dibuat oleh ECS diasosiasikan dengan alias alias/acs/ecs.

    2. Di konsol KMS, lihat kunci layanan yang telah dibuat.服务密钥

      Catatan

      • Untuk kunci layanan, nilai dari Key Usage adalah Service Key.

      • Kunci layanan dikelola oleh layanan Alibaba Cloud. Anda tidak dapat mengelola kunci layanan di konsol KMS. Sebagai contoh, Anda tidak dapat mengaktifkan atau menonaktifkan kunci layanan. Namun, Anda dapat melihat catatan operasi dan penggunaan kunci layanan di konsol ActionTrail.

    Kunci yang dibuat pengguna

    • CMK sebagai Kunci Default

      1. Aktifkan CMK di konsol KMS. Untuk informasi lebih lanjut, lihat Memulai dengan Kunci.

        Dalam contoh ini, alias CMK adalah alias/byok.默认密钥主密钥

      2. Saat membeli layanan Alibaba Cloud, pilih CMK yang digunakan sebagai kunci default untuk mengenkripsi data sisi server.

        Dalam contoh ini, Instance ECS dibeli.使用默认密钥主密钥

    • Kunci yang Dilindungi Perangkat Lunak

      1. Beli instance KMS dari tipe manajemen kunci perangkat lunak. Untuk informasi lebih lanjut, lihat Beli dan Aktifkan Instance KMS.

      2. Di konsol KMS, buat kunci yang dilindungi perangkat lunak. Untuk informasi lebih lanjut, lihat Memulai dengan Kunci.

      3. Saat membeli layanan Alibaba Cloud, pilih kunci yang dilindungi perangkat lunak untuk mengenkripsi data sisi server.

    • Kunci yang Dilindungi Perangkat Keras

      1. Beli instance KMS dari tipe manajemen kunci perangkat keras. Untuk informasi lebih lanjut, lihat Beli dan Aktifkan Instance KMS.

      2. Di konsol KMS, buat kunci yang dilindungi perangkat keras. Untuk informasi lebih lanjut, lihat Memulai dengan Kunci.

      3. Saat membeli layanan Alibaba Cloud, pilih kunci yang dilindungi perangkat keras untuk mengenkripsi data sisi server.

    Proses enkripsi

    Proses enkripsi di setiap layanan Alibaba Cloud bervariasi berdasarkan bentuk bisnis dan persyaratan pelanggan. Dalam kebanyakan kasus, enkripsi amplop digunakan untuk mengimplementasikan enkripsi sisi server dalam layanan Alibaba Cloud. Kunci data dienkripsi menggunakan kunci KMS dan kemudian digunakan untuk mengenkripsi data sisi server, seperti yang ditunjukkan pada gambar berikut.

    云产品集成KMS加密原理

    1. Buat kunci di KMS.

    2. Panggil operasi GenerateDataKey dari KMS untuk meminta kunci data.

    3. KMS mengembalikan kunci data, yang berisi teks biasa kunci data dan teks sandi kunci data. Teks sandi kunci data dihasilkan dengan mengenkripsi teks biasa kunci data menggunakan kunci yang ditentukan.

    4. Layanan Alibaba Cloud menggunakan teks biasa kunci data untuk mengenkripsi teks biasa data guna menghasilkan teks sandi data, dan menulis teks sandi kunci data dan teks sandi data dalam penyimpanan persisten.

    Catatan

    • Teks sandi kunci data dan teks sandi data dikemas bersama dalam amplop.

    • KMS mentransfer kunci data ke layanan Alibaba Cloud Anda melalui saluran transmisi yang aman. Teks biasa kunci data hanya digunakan di memori layanan Alibaba Cloud Anda dan tidak disimpan dalam penyimpanan persisten.

    Kontrol akses

    KMS memeriksa apakah layanan Alibaba Cloud memiliki izin untuk menggunakan kunci tertentu berdasarkan Resource Access Management (RAM). Anda dapat mengonfigurasi kebijakan izin untuk layanan Alibaba Cloud di konsol RAM atau mengikuti petunjuk di layar di konsol layanan Alibaba Cloud untuk mengizinkan atau menolak layanan Alibaba Cloud menggunakan kunci tertentu. Untuk informasi lebih lanjut, lihat Kebijakan Kustom.

    Audit

    Anda dapat mengaudit penggunaan kunci untuk layanan Alibaba Cloud di ActionTrail. Untuk informasi lebih lanjut, lihat Gunakan ActionTrail untuk Menanyakan Peristiwa KMS.

    Referensi

    Layanan Alibaba Cloud yang Kompatibel dengan KMS