Topik ini menjawab pertanyaan umum mengenai kunci.
Pertanyaan
Dapatkah saya menghapus kunci di KMS?
Ya. Anda dapat menghapus semua jenis kunci kecuali service key. Penghapusan kunci hanya dapat dilakukan melalui penjadwalan penghapusan.
Anda dapat menetapkan periode penghapusan tertunda antara 7 hingga 366 hari. Selama periode tersebut, Anda dapat mengevaluasi dampak kunci terhadap aplikasi dan pengguna yang bergantung padanya. Kunci tidak dapat digunakan selama periode ini. Jika Anda masih memerlukan kunci tersebut, Anda dapat membatalkan penjadwalan penghapusan kapan saja selama periode tertunda. Setelah periode berakhir, KMS akan menghapus kunci secara permanen dan tidak dapat dipulihkan. Untuk informasi lebih lanjut, lihat schedule key deletion.
Sebagai praktik terbaik, nonaktifkan terlebih dahulu kunci tersebut dan pastikan tidak ada data yang memerlukannya untuk dekripsi sebelum menjadwalkan penghapusannya. Untuk informasi lebih lanjut, lihat disable a key.
Dapatkah saya menghapus service key?
Tidak.
Untuk setiap Akun Alibaba Cloud, KMS menyediakan satu service key gratis di setiap Wilayah untuk setiap jenis layanan cloud. Layanan cloud terkait mengelola siklus hidup service key tersebut. Jika Anda tidak lagi menggunakan service key tersebut, Anda tidak perlu melakukan tindakan apa pun. Anda dapat menyimpan kunci tersebut tanpa biaya.
Dapatkah data didekripsi setelah penghapusan CMK?
No.
KMS hanya menghapus kunci melalui proses penghapusan terjadwal. Setelah periode penghapusan tertunda yang Anda tetapkan berakhir, kunci tersebut akan dihapus secara permanen dan tidak dapat dipulihkan. Anda dapat membatalkan penghapusan terjadwal kapan saja selama periode tertunda.
Untuk kunci dengan key material yang diimpor, setelah kunci dihapus, Anda tidak dapat mendekripsi data yang dienkripsi dengannya—bahkan jika Anda membuat kunci baru dan mengimpor key material yang identik.
Jika Anda hanya menghapus key material yang diimpor tetapi tidak menghapus kuncinya sendiri, Anda dapat mengimpor kembali key material yang sama agar kunci tersebut tersedia kembali. Anda kemudian dapat mendekripsi data yang dienkripsi oleh kunci asli tersebut.
Sebagai praktik terbaik, nonaktifkan terlebih dahulu kunci tersebut dan pastikan tidak ada data yang memerlukannya untuk dekripsi sebelum menjadwalkan penghapusannya.
Bagaimana KMS memastikan keamanan kunci?
Untuk kunci yang dilindungi perangkat lunak, KMS menyimpan kunci Anda dalam database khusus dan melindunginya dengan algoritma enkripsi yang andal.
Untuk kunci yang dilindungi perangkat keras, KMS melakukan penyimpanan kunci dan operasi kriptografi di dalam kluster hardware security module (HSM) eksklusif Anda. Untuk menggunakan fitur ini, Anda harus terlebih dahulu membeli layanan HSM dan kemudian mengonfigurasi kluster HSM.
Apakah KMS mendukung pengimporan bahan kunci?
Ya.
Saat membuat kunci, Anda dapat memilih agar KMS menghasilkan key material atau menggunakan material dari sumber eksternal. Jika Anda menggunakan sumber eksternal, Anda harus mengimpor key material tersebut. Untuk informasi lebih lanjut, lihat import key material for a symmetric key dan import key material for an asymmetric key.
Kunci tidak tersedia atau error "Rejected.Unavailable"
Instans KMS yang menyimpan kunci tersebut telah kedaluwarsa.
Anda harus melakukan perpanjangan instans KMS dalam waktu 15 hari setelah kedaluwarsa. Jika tidak, instans tersebut akan dirilis. Untuk petunjuknya, lihat Renewal policy.
Jika Anda tidak berencana segera menggunakan instans KMS tetapi mungkin memerlukan kunci atau rahasia tersebut di masa mendatang, kami menyarankan agar Anda membuat backup-nya. Untuk informasi lebih lanjut, lihat Backup management.
Masalah pengelolaan CMK di Konsol
Masalah
Pada tab Default Keys, Anda hanya dapat melihat detail customer master key. Anda tidak dapat melakukan operasi lain, seperti menonaktifkannya.
Solusi
Kunci-kunci ini dibuat di KMS 1.0 (edisi shared) dan hanya dapat dilihat di Konsol KMS 3.0. Untuk mengelola kunci-kunci ini, beralihlah ke Konsol KMS 1.0.
Untuk meningkatkan pengalaman produk Anda, KMS 1.0 akan memasuki fase End of Service and Fulfillment (EOSF) pada pukul 00.00.00 (GMT+8) tanggal 30 Maret 2025, dan fase End of Service (EOS) pada pukul 00.00.00 (GMT+8) tanggal 30 September 2025. Untuk menghindari gangguan pada bisnis Anda, migrasikan sumber daya KMS 1.0 Anda ke instans KMS 3.0 sesegera mungkin. Untuk petunjuknya, lihat Migrate KMS 1.0 resources to a KMS 3.0 instance.