Key Management Service：FAQ Manajemen Kunci

Pertanyaan

• Apakah saya dapat menghapus kunci dari Key Management Service (KMS)?

• Apa yang harus saya lakukan jika saya tidak dapat menghapus kunci?

• Apa yang harus saya lakukan jika saya tidak dapat mengelola CMK di konsol KMS 3.0?

• Setelah menghapus kunci, apakah data yang dienkripsi oleh kunci tersebut dapat didekripsi?

• Bagaimana KMS memastikan keamanan kunci?

• Apakah saya dapat mengimpor materi kunci ke dalam kunci?

• Mengapa status kunci tidak tersedia atau mengapa sistem mengembalikan "Rejected.Unavailable" ketika saya memanggil operasi API terkait kunci?

Apakah saya dapat menghapus kunci dari Key Management Service (KMS)?

Ya, Anda dapat menghapus kunci dari KMS. Namun, hanya kunci master pelanggan (CMK) default atau yang dibeli yang dapat dihapus. Penghapusan dilakukan dengan menjadwalkan waktu penghapusan antara 7 hingga 366 hari. Sebelum menghapus kunci, disarankan untuk menonaktifkannya dan memverifikasi bahwa tidak ada data yang perlu didekripsi menggunakan kunci tersebut. Setelah itu, Anda dapat menjadwalkan penghapusan.

Selama periode penghapusan yang dijadwalkan, kunci tidak dapat digunakan. Jika Anda ingin menggunakan kembali kunci tersebut, Anda dapat membatalkan penghapusan sebelum periode berakhir. Setelah periode penghapusan berakhir, KMS akan menghapus kunci secara permanen. Kunci yang telah dihapus tidak dapat dipulihkan. Untuk instruksi lebih lanjut, lihat Jadwalkan penghapusan kunci.

Apa yang harus saya lakukan jika saya tidak dapat menghapus kunci?

Penghapusan kunci dilakukan melalui penjadwalan waktu penghapusan. Hanya kunci master pelanggan (CMK), baik default maupun yang dibuat khusus, yang mendukung penghapusan terjadwal. Jika Anda tidak dapat menghapus kunci, tinjau skenario berikut:

Skema 1: Kunci adalah kunci layanan

• Alasan: Kunci layanan (alias/acs/<kode produk cloud>) bersifat hanya-baca dan dikelola oleh layanan Alibaba Cloud terkait.

• Solusi: Tidak ada tindakan yang diperlukan. Kunci layanan gratis. Jika Anda tidak lagi memerlukannya, cukup biarkan saja.

Skema 2: Kunci adalah CMK

• Alasan 1: Kunci dibuat di konsol KMS 1.0 dan Anda menggunakan konsol KMS 3.0

  Kunci KMS 1.0 (edisi bersama) bersifat hanya-baca di konsol 3.0. Mereka diidentifikasi oleh cap waktu pembuatan yang lebih lama. Tidak ada tindakan yang dapat dilakukan, termasuk penghapusan.

  • Solusi: Beralihlah ke konsol KMS 1.0. Kemudian hapus kunci di konsol 1.0.

    Pada tanggal 30 September 2025, konsol KMS 1.0 akan memasuki fase Akhir Layanan (EOS). Untuk memastikan kelangsungan layanan, migrasikan sumber daya KMS 1.0 Anda ke konsol KMS 3.0 sesegera mungkin.

• Alasan 2: Perlindungan penghapusan diaktifkan untuk kunci tersebut

  • Solusi: Di halaman detail instans, nonaktifkan Deletion Protection.

Apa yang harus saya lakukan jika saya tidak dapat mengelola CMK di konsol KMS 3.0?

Deskripsi masalah

Anda hanya dapat melihat detail CMK. Tidak ada tindakan yang dapat dilakukan, termasuk penghapusan.

Solusi

Kunci-kunci ini dibuat di konsol KMS 1.0. Konsol KMS 3.0 hanya menyediakan akses hanya-baca ke kunci-kunci tersebut. Untuk mengelola kunci-kunci ini, beralihlah ke konsol KMS 1.0.

Pada tanggal 30 September 2025, konsol KMS 1.0 akan memasuki fase Akhir Layanan (EOS). Untuk memastikan kelangsungan layanan, migrasikan sumber daya KMS 1.0 Anda ke konsol KMS 3.0 sesegera mungkin.

Setelah menghapus kunci, apakah data yang dienkripsi oleh kunci tersebut dapat didekripsi?

Tidak. Setelah kunci dihapus, semua data yang dienkripsi dengannya, termasuk kunci data yang dihasilkannya, tidak dapat didekripsi. Ini berlaku untuk kunci yang dihasilkan oleh KMS dan yang memiliki materi kunci yang diimpor.

Untuk kunci dengan materi kunci yang diimpor, jika Anda hanya menghapus materi kunci (tanpa menghapus kunci itu sendiri), impor kembali materi yang sama untuk menggunakan kembali kunci tersebut. Data yang dienkripsi dengan kunci asli masih dapat didekripsi.

Bagaimana KMS memastikan keamanan kunci?

KMS menggunakan algoritma enkripsi yang andal untuk mengenkripsi kunci yang dilindungi perangkat lunak dan kemudian menyimpannya di toko kunci eksklusif Anda.

KMS menyimpan kunci yang dilindungi perangkat keras di kluster modul keamanan perangkat keras (HSM) eksklusif Anda. Kluster HSM melaksanakan operasi kriptografi. Dalam hal ini, Anda harus membeli instans manajemen kunci perangkat keras dan mengonfigurasi kluster HSM.

Apakah saya dapat mengimpor materi kunci ke dalam kunci?

Ya. Saat membuat kunci, Anda dapat menggunakan materi kunci yang dihasilkan oleh KMS atau menggunakan materi kunci eksternal. Jika Anda menggunakan materi kunci eksternal untuk membuat kunci, Anda harus mengimpor materi kunci ke dalam kunci tersebut. Untuk informasi lebih lanjut, lihat Impor materi kunci simetris dan Impor materi kunci asimetris.

Apa yang harus saya lakukan jika kunci tidak tersedia atau jika Rejected.Unavailable dikembalikan saat saya memanggil operasi API terkait kunci?

Instans KMS tempat kunci tersebut berada telah kedaluwarsa.

Perbarui instans dalam waktu 15 hari kalender setelah kedaluwarsa. Jika tidak, instans akan dilepaskan. Untuk informasi lebih lanjut, lihat Kebijakan pembaruan. Jika Anda tidak membutuhkan instans sekarang tetapi mungkin memerlukan kunci atau rahasia di instans nanti, cadangkan instans tersebut.