All Products
Search

This Product

    Key Management Service:Kelola titik akses aplikasi

    Document Center

    Key Management Service:Kelola titik akses aplikasi

    Last Updated:Apr 01, 2026

    Titik akses aplikasi (Application Access Points/AAPs) menyediakan identitas aman bagi aplikasi untuk mengakses kunci dan rahasia di KMS. Setiap AAP terdiri dari tiga komponen: kebijakan izin yang menentukan sumber daya yang dapat diakses, aturan akses jaringan yang membatasi alamat IP yang diizinkan, serta kunci client yang berfungsi sebagai kredensial aktual yang disajikan aplikasi Anda saat runtime.

    Halaman ini menjelaskan cara mengelola keempat sumber daya tersebut: AAPs, kebijakan izin, aturan akses jaringan, dan kunci client.

    Prasyarat

    Sebelum memulai, pastikan Anda telah memiliki:

    • Instans KMS (diperlukan untuk jenis jaringan Private dan operasi kriptografi)

    • Akses ke Konsol KMS

    • Izin yang diperlukan untuk mengelola AAP di akun Anda

    Kelola AAP

    Lihat detail AAP

    1. Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih Application Access > AAPs.

    2. Di tab Application Access, cari AAP berdasarkan Instance ID atau nama AAP.

    3. Klik nama AAP untuk membuka halaman detailnya. Halaman detail memiliki dua tab:

      • Policies: Menampilkan kebijakan izin yang terkait dengan AAP ini. Untuk informasi lebih lanjut, lihat Ikhtisar AAP.

      • Client Key: Menampilkan Key ID, Algorithm, Validity Period, dan Creation Date masing-masing kunci client. Konten kunci client tidak dapat dilihat setelah dibuat.

    Ubah kebijakan izin untuk AAP

    Penting

    Perubahan kebijakan izin memerlukan waktu hingga 5 menit untuk berlaku. Jika perubahan belum berlaku, tunggu 5 menit lalu coba lagi.

    1. Di tab Application Access, temukan AAP lalu klik namanya.

    2. Di tab Policies, klik Configure Permission Policy.

    3. Di panel Update AAP, pilih nilai berbeda untuk Policies. Satu AAP dapat memiliki hingga tiga kebijakan izin.

    Jika kebijakan izin yang ada tidak memenuhi kebutuhan Anda, buat yang baru terlebih dahulu. Lihat Buat kebijakan izin.

    Hapus AAP

    Peringatan

    Penghapusan AAP berlaku segera. Jika ada kunci client dalam AAP yang masih digunakan oleh aplikasi, aplikasi tersebut akan kehilangan akses ke KMS.

    Sebelum menghapus, pastikan tidak ada kunci client yang sedang aktif digunakan:

    1. Buka halaman Simple Log Service untuk KMS. Log tersedia untuk 180 hari sebelumnya.

    2. Di kotak pencarian di bawah kms_audit_log, masukkan ID kunci client untuk menjalankan pencarian teks lengkap.

    3. Jika bidang access_key_id pada hasil pencarian cocok dengan ID kunci client, berarti kunci tersebut masih digunakan.

    Untuk informasi lebih lanjut, lihat Gunakan Simple Log Service untuk KMS.

    Untuk menghapus AAP:

    1. Di tab Application Access, temukan AAP lalu klik Delete di kolom Actions.

    2. Lengkapi verifikasi keamanan. KMS akan menghapus AAP tersebut.

    Kelola kebijakan izin

    Buat kebijakan izin

    1. Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih Application Access > AAPs.

    2. Klik tab Policies, lalu klik Create Policy.

    3. Di panel Create Permission Policy, konfigurasikan parameter berikut lalu klik OK.

    ParameterDeskripsi
    Policy nameNama untuk kebijakan izin.
    ScopeMenentukan gerbang KMS mana yang menangani permintaan. Pilih instans KMS tertentu jika Network type aturan akses jaringan Anda adalah Private. Pilih Shared KMS Gateway jika jenis jaringannya adalah Public atau VPC.
    RBAC permissionsMengontrol apa yang dapat dilakukan aplikasi. Nilai yang tersedia bergantung pada pengaturan Scope: <br>• Scope = instans KMS tertentu: CryptoServiceKeyUser (gunakan kunci untuk operasi kriptografi melalui Instance API) atau CryptoServiceSecretUser (gunakan rahasia melalui Instance API). <br>• Scope = Shared KMS Gateway: SecretUser (akses semua rahasia di akun saat ini melalui operasi API GetSecretValue).
    Accessible resourcesKunci dan rahasia spesifik yang perlu diakses aplikasi. Jika Anda memilih beberapa rahasia dan panjang total nama melebihi batas, kesalahan "The specified parameter is not valid." akan dikembalikan. Gunakan wildcard untuk mengatasi batas ini — misalnya, secret/rds-ibm* cocok dengan semua rahasia yang memiliki awalan rds-ibm.
    Network access rulesAturan akses jaringan yang akan dikaitkan dengan kebijakan ini. Jika Anda tidak perlu membatasi akses berdasarkan alamat IP sumber, biarkan kosong. Untuk keamanan, sangat disarankan untuk mengaitkan aturan akses jaringan.
    DescriptionDeskripsi untuk kebijakan izin.

    Setelah membuat kebijakan izin, kaitkan dengan AAP. Lihat Ubah kebijakan izin untuk AAP.

    Ubah kebijakan izin

    Peringatan

    Modifikasi kebijakan izin akan memengaruhi semua AAP yang menggunakannya. Lakukan dengan hati-hati. Perubahan memerlukan waktu hingga 5 menit untuk berlaku.

    Ubah berdasarkan nama kebijakan:

    1. Di tab Policies, temukan kebijakan lalu klik Edit di kolom Actions.

    2. Di panel Modify Permission Policy, perbarui RBAC permissions, Accessible resources, atau Network access rules, lalu klik OK.

    Ubah melalui AAP terkait:

    1. Di tab Application Access, klik nama AAP.

    2. Di tab Policies, temukan kebijakan yang akan diubah lalu klik Edit di kolom Actions.

    3. Di panel Modify Permission Policy, perbarui bidang yang diperlukan lalu klik OK.

    Hapus kebijakan izin

    Peringatan

    Sebelum menghapus kebijakan izin, pastikan kebijakan tersebut tidak dikaitkan dengan AAP mana pun. Menghapus kebijakan yang masih digunakan akan mencegah aplikasi terkait mengakses KMS.

    1. Di tab Policies, temukan kebijakan lalu klik Delete di kolom Actions.

    2. Di dialog Confirm, klik OK.

    Kelola aturan akses jaringan

    Pilih jenis jaringan

    Aturan akses jaringan menggunakan salah satu dari tiga jenis jaringan. Pilih jenis yang sesuai dengan cara aplikasi Anda terhubung ke KMS.

    Jenis jaringanJenis titik akhirOperasi yang didukungWilayah yang didukung
    PrivateTitik akhir instans KMSKunci dan rahasia (semua operasi, termasuk operasi kriptografi)Semua wilayah
    PublicTitik akhir publik KMSHanya rahasiaSemua wilayah
    VPCTitik akhir VPC KMSHanya rahasiaTiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Shenzhen), Tiongkok (Zhangjiakou)

    SDK mana yang harus digunakan:

    • Operasi kriptografi (enkripsi, dekripsi, tanda tangan, verifikasi): Gunakan KMS Instance SDK dengan jenis jaringan Private.

    • Pengambilan nilai rahasia: Gunakan KMS Instance SDK atau secret SDK.

      • Untuk permintaan per detik (QPS) tinggi dan keamanan lebih kuat, gunakan secret SDK dengan jenis jaringan Private.

      • Jika menggunakan KMS Instance SDK, atur jenis jaringan ke Private dan batasi alamat IP sumber yang diizinkan hanya ke alamat dalam virtual private cloud (VPC) yang terkait dengan instans KMS Anda.

      • Jika menggunakan secret SDK, atur jenis jaringan ke Private, Public, atau VPC.

    Buat aturan akses jaringan

    1. Masuk ke Konsol KMS. Pada bilah navigasi atas, pilih Wilayah. Di panel navigasi kiri, pilih Application Access > AAPs.

    2. Klik tab Network Access Rules, lalu klik Create Network Access Rule.

    3. Di panel Create Network Access Rule, konfigurasikan parameter berikut lalu klik OK.

    ParameterDeskripsi
    Rule nameNama untuk aturan akses jaringan.
    Network typePilih Private, Public, atau VPC. Lihat Pilih jenis jaringan untuk panduan.
    Allowed source IP addressesAlamat IP yang diizinkan untuk mengakses. Jika aplikasi Anda terhubung melalui server proxy, masukkan alamat IP server proxy tersebut. <br>• Private: Masukkan alamat IP dalam VPC yang terkait dengan instans KMS Anda. <br>• Public: Masukkan alamat IP publik. <br>• VPC: Masukkan ID VPC dan alamat IP di dalam VPC tersebut.
    DescriptionDeskripsi untuk aturan akses jaringan.

    Setelah membuat aturan, kaitkan dengan kebijakan izin. Lihat Buat kebijakan izin.

    Ubah aturan akses jaringan

    Peringatan

    Modifikasi aturan akses jaringan akan memengaruhi semua AAP yang menggunakannya. Lakukan dengan hati-hati.

    1. Di tab Network Access Rules, temukan aturan lalu klik Edit di kolom Actions.

    2. Di panel Modify Network Access Rule, perbarui Allowed source IP addresses lalu klik OK.

    Hapus aturan akses jaringan

    Peringatan

    Sebelum menghapus aturan akses jaringan, pastikan aturan tersebut tidak dikaitkan dengan AAP mana pun. Jika tidak, aplikasi terkait tidak dapat mengakses KMS.

    1. Di tab Network Access Rules, temukan aturan lalu klik Delete di kolom Actions.

    2. Di dialog Confirm, klik OK.

    Kelola kunci client

    Kunci client adalah kredensial yang digunakan aplikasi Anda untuk melakukan autentikasi dengan KMS saat runtime. Setiap kunci client terdiri dari dua file yang diunduh secara otomatis saat kunci dibuat:

    • Application Access Secret (`clientKey_.json`): Berisi bahan kunci privat. Perlakukan file ini seperti kata sandi—simpan dengan aman dan jangan pernah menyimpannya di kontrol versi kode sumber.

    • Password (`clientKey__Password.txt`): Kata sandi yang digunakan untuk mendekripsi file Application Access Secret. Simpan file ini terpisah dari file JSON.

    Penting

    Konten kunci client tidak dapat diambil kembali setelah dibuat. Unduh dan simpan kedua file tersebut segera.

    Buat kunci client

    1. Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih Application Access > AAPs.

    2. Di tab Application Access, cari AAP berdasarkan Instance ID atau nama AAP.

    3. Klik nama AAP. Di halaman detail, klik tab Client Key, lalu klik Create Client Key.

    4. Di panel Create Client Key, konfigurasikan parameter berikut:

      • Encryption password: Harus terdiri dari 8–64 karakter dan dapat berisi angka, huruf, serta karakter khusus berikut: ` ~ ! @ # $ % ^ & * ? _ - `.

      • Validity period: Default lima tahun. Atur menjadi satu tahun untuk mengurangi risiko jika kunci client dikompromikan.

    5. Klik OK. Browser akan mengunduh kedua file secara otomatis.

    Simpan kedua file tersebut dengan aman. Untuk memuatnya di aplikasi Anda, rujuk dokumentasi KMS Instance SDK.

    Hapus kunci client

    Peringatan

    Penghapusan kunci client berlaku segera. Aplikasi apa pun yang menggunakannya akan langsung kehilangan akses ke KMS.

    Sebelum menghapus, pastikan kunci tersebut tidak lagi digunakan dengan memeriksa log audit. Lihat prosedur pencarian log di Hapus AAP.

    1. Di tab Application Access, temukan AAP lalu klik namanya.

    2. Di tab Client Key, temukan kunci client lalu klik Delete di kolom Actions.

    3. Di dialog Confirm, klik OK.

    4. Lengkapi verifikasi keamanan. KMS akan menghapus kunci client tersebut.

    Langkah selanjutnya