Anda dapat menyimpan kata sandi atau pasangan kunci SSH dari instance Elastic Compute Service (ECS) dalam rahasia ECS dari Key Management Service (KMS). Dengan mengintegrasikan Alibaba Cloud SDK, KMS Instance SDK, atau secret SDK ke dalam aplikasi dan layanan Anda, aplikasi tersebut dapat secara dinamis mengambil rahasia dari KMS. Anda juga dapat mengonfigurasi rotasi rahasia untuk mengurangi risiko kebocoran kata sandi akun. Topik ini menjelaskan cara mengelola dan menggunakan rahasia ECS.
Rotasi Rahasia ECS
Saat rotasi otomatis atau rotasi segera dipicu untuk rahasia ECS, KMS mengirimkan perintah rotasi rahasia ke Cloud Assistant. Kemudian, Cloud Assistant memanggil plugin rahasia yang diinstal pada instance ECS tempat rahasia ECS dibuat untuk menyelesaikan rotasi rahasia. Setelah rahasia ECS dirotasi, Anda dapat menggunakan rahasia baru untuk masuk ke instance ECS.
Setelah rahasia ECS dirotasi, kata sandi atau pasangan kunci SSH dari instance ECS terkait dalam rahasia diperbarui. Kami menyarankan agar Anda tidak menghapus instance ECS yang terkait dengan rahasia. Jika Anda melakukannya, rotasi rahasia mungkin gagal.
Catatan Penggunaan
Untuk menggunakan rahasia ECS yang dibuat untuk instance ECS, Anda harus memberikan izin kepada KMS untuk mengelola kata sandi dan pasangan kunci SSH dari instance ECS. Saat Anda perlu masuk ke instance ECS, Anda dapat mengambil rahasia dari KMS.
Jika Anda mengelola kata sandi dan pasangan kunci SSH dari instance ECS di KMS, kami menyarankan agar Anda tidak memodifikasi atau menghapus kata sandi dan pasangan kunci publik-pribadi di Elastic Compute Service (ECS). Jika Anda melakukannya, kegagalan layanan mungkin terjadi.
Jangan buat beberapa rahasia ECS untuk satu kata sandi atau pasangan kunci SSH dari instance ECS. Jika Anda membuat beberapa rahasia ECS untuk satu kata sandi atau pasangan kunci SSH dari instance ECS dan salah satu rahasia ECS dirotasi, kata sandi atau pasangan kunci SSH yang disimpan dalam rahasia ECS berubah. Dalam hal ini, Anda tidak dapat menggunakan nilai rahasia dari rahasia ECS lainnya untuk masuk ke instance ECS.
Batasan
Instance ECS berbasis Linux mendukung rotasi kata sandi dan pasangan kunci SSH, sedangkan instance ECS berbasis Windows hanya mendukung rotasi kata sandi.
Prasyarat
Sebuah instance KMS telah dibuat dan diaktifkan. Untuk informasi lebih lanjut, lihat Beli dan aktifkan instance KMS.
Sebuah kunci simetris untuk mengenkripsi rahasia dibuat di dalam instance KMS. Untuk informasi lebih lanjut, lihat Create a key.
Sebuah instance ECS telah dibuat. Untuk informasi lebih lanjut, lihat Buat instance.
Jika Anda menggunakan pengguna Resource Access Management (RAM) atau peran RAM untuk mengelola rahasia ECS, kebijakan sistem AliyunKMSSecretAdminAccess dilampirkan ke pengguna RAM atau peran RAM. Untuk informasi lebih lanjut, lihat Berikan izin kepada pengguna RAM atau Berikan izin kepada peran RAM.
Langkah 1: Buat rahasia ECS
Saat membuat rahasia, Anda dapat mengonfigurasi rotasi otomatis untuk mengurangi risiko kebocoran rahasia.
Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi di sebelah kiri, pilih .
Klik tab ECS Secrets, pilih ID instance dari daftar drop-down Instance ID, lalu klik Create a secret. Lalu, konfigurasikan parameter dan klik OK.
Parameter
Deskripsi
Secret Name
Nama rahasia. Nama rahasia bersifat unik di wilayah saat ini.
Managed Instance
Instance ECS yang ada yang ingin Anda kelola dalam akun Alibaba Cloud Anda.
Managed User
Nama pengguna yang ada di instance ECS, seperti pengguna root untuk sistem operasi Linux atau pengguna Administrator untuk sistem operasi Windows.
Initial Secret Value
Nilai tidak boleh melebihi 30.720 byte panjangnya, yang setara dengan 30 KB ukuran.
Kata Sandi: kata sandi pengguna yang digunakan untuk masuk ke instance ECS.
Pasangan Kunci: pasangan kunci SSH pengguna yang digunakan untuk masuk ke instance ECS.
CatatanMasukkan nilai rahasia yang valid. Jika Anda memasukkan nilai rahasia yang tidak valid, kata sandi atau pasangan kunci yang Anda ambil dari KMS tidak dapat digunakan untuk masuk ke instance ECS sebelum rahasia ECS dirotasi pertama kali.
CMK
Kunci yang digunakan untuk mengenkripsi nilai saat ini dari rahasia.
PentingKunci dan rahasia Anda harus milik instance KMS yang sama. Kunci tersebut harus berupa kunci simetris. Untuk informasi lebih lanjut tentang kunci simetris yang didukung oleh KMS, lihat Spesifikasi kunci untuk enkripsi simetris dan asimetris.
Jika Anda adalah pengguna RAM atau peran RAM, Anda harus memiliki izin untuk memanggil operasi GenerateDataKey menggunakan kunci.
Tag
Tag yang ingin Anda tambahkan ke rahasia. Anda dapat menggunakan tag untuk mengklasifikasikan dan mengelola rahasia. Tag terdiri dari pasangan key-value.
CatatanKunci tag atau nilai tag dapat mencapai hingga 128 karakter panjangnya dan dapat berisi huruf, angka, garis miring (/), backslash (\), garis bawah (_), tanda hubung (-), titik (.), tanda plus (+), tanda sama dengan (=), titik dua (:), at (@), dan spasi.
Kunci tag tidak bisa dimulai dengan aliyun atau acs:.
Anda dapat mengonfigurasi hingga 20 pasangan key-value untuk setiap rahasia.
Automatic Rotation
Menentukan apakah akan mengaktifkan rotasi rahasia otomatis.
Rotation Period
Interval rotasi rahasia otomatis. Pengaturan ini hanya diperlukan saat Anda mengaktifkan rotasi otomatis. Nilainya berkisar antara 1 jam hingga 365 hari.
KMS secara berkala memperbarui rahasia berdasarkan nilai parameter ini.
Description
Deskripsi rahasia.
Policy Settings
Pengaturan kebijakan rahasia. Untuk informasi lebih lanjut, lihat Ikhtisar.
Anda dapat menggunakan kebijakan default dan kemudian memodifikasi kebijakan berdasarkan persyaratan bisnis Anda setelah Anda membuat rahasia.
CatatanSaat Anda membuat rahasia ECS, sistem secara otomatis membuat peran terhubung layanan AliyunServiceRoleForKMSSecretsManagerForECS dan melampirkan kebijakan AliyunServiceRolePolicyForKMSSecretsManagerForECS ke peran tersebut. KMS mengasumsikan peran ini untuk mengelola dan merotasikan rahasia ECS.
Anda dapat masuk ke konsol RAM untuk melihat detail peran terhubung layanan dan kebijakan. Untuk informasi lebih lanjut, lihat Lihat informasi tentang peran RAM dan Lihat informasi tentang kebijakan.
Langkah 2: Integrasikan rahasia ECS ke dalam aplikasi
KMS menyediakan Alibaba Cloud SDK, KMS Instance SDK, dan klien rahasia untuk mengambil rahasia. Klien rahasia mengenkapsulasi kemampuan caching rahasia, praktik terbaik, dan pola desain, sehingga menyederhanakan proses integrasi bagi pengembang. Kami menyarankan Anda menggunakan klien rahasia. Untuk informasi lebih lanjut, lihat Klien rahasia. Untuk informasi lebih lanjut tentang SDK, lihat Referensi SDK.
Jika Anda menggunakan SDK untuk melakukan operasi manajemen, seperti membuat rahasia ECS dan memodifikasi tag ECS, Anda hanya dapat menggunakan Alibaba Cloud SDK.
Operasi Lainnya
Putar rahasia ECS
Anda dapat mengonfigurasi rotasi otomatis untuk rahasia guna mengurangi risiko kebocoran rahasia. Jika rahasia bocor, Anda dapat segera memutar rahasia di konsol KMS untuk menghilangkan risiko intrusi.
Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi di sebelah kiri, pilih .
Klik tab ECS Secrets, pilih ID instance dari daftar drop-down Instance ID, temukan rahasia yang ingin Anda putar, lalu klik Details di kolom Actions.
Konfigurasikan kebijakan rotasi rahasia.
Rotasi otomatis: Di sudut kanan atas halaman, klik Configure Rotation, aktifkan atau nonaktifkan Rotasi Otomatis, lalu klik OK.
Rotasi segera: Di sudut kanan atas halaman, klik Rotate Now. Dalam kotak dialog Configure Rotation, nyalakan atau matikan Use Custom Secrets lalu klik OK.
Jika Anda menyalakan sakelar, Anda harus menentukan nilai rahasia baru.
Jika Anda mematikan sakelar, KMS secara otomatis membuat kata sandi acak 32 karakter atau pasangan kunci SSH RSA-2048.
Hapus rahasia ECS
Anda dapat segera menghapus rahasia atau membuat tugas terjadwal untuk menghapus rahasia.
Sebelum Anda menghapus rahasia RAM, pastikan bahwa rahasia RAM sudah tidak digunakan lagi. Jika Anda menghapus rahasia RAM yang sedang digunakan, kegagalan layanan mungkin terjadi.
Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi di sebelah kiri, pilih .
Klik tab ECS Secrets, pilih ID instance dari daftar drop-down Instance ID, temukan rahasia yang ingin Anda hapus, lalu klik Schedule Deletion di kolom Actions.
Dalam kotak dialog Schedule Deletion, pilih metode untuk menghapus rahasia dan klik OK.
Jika Anda memilih Schedule Deletion, konfigurasikan Periode Penyimpanan (7 hingga 30 Hari). Saat periode penghapusan terjadwal berakhir, KMS akan menghapus rahasia tersebut.
Jika Anda memilih Delete Immediately, sistem akan segera menghapus rahasia tersebut.
Selama periode penghapusan terjadwal, Anda dapat mengklik OK di kolom Actions untuk membatalkan penghapusan.
Tambahkan tag ke rahasia
Anda dapat menggunakan tag untuk mengklasifikasikan dan mengelola rahasia. Tag terdiri dari pasangan key-value.
Kunci tag atau nilai tag dapat mencapai hingga 128 karakter panjangnya dan dapat berisi huruf, angka, garis miring (/), backslash (\), garis bawah (_), tanda hubung (-), titik (.), tanda plus (+), tanda sama dengan (=), titik dua (:), at (@), dan spasi.
Kunci tag tidak bisa dimulai dengan aliyun atau acs:.
Anda dapat mengonfigurasi hingga 20 pasangan key-value untuk setiap rahasia.
Tambahkan tag untuk rahasia
Solusi | Deskripsi |
Metode 1: Tambahkan tag pada halaman Rahasia |
|
Metode 2: Tambahkan tag pada halaman Detail Rahasia |
|
di kolom Tag.
di sebelah Tag.Konfigurasikan tag untuk beberapa rahasia sekaligus
Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi di sebelah kiri, pilih .
Klik tab sesuai jenis rahasia Anda, pilih ID instance yang diperlukan dari daftar drop-down Instance ID, lalu pilih rahasia yang diinginkan dari daftar rahasia.
Tambahkan tag: Di bagian bawah daftar rahasia, klik Tambah Tag. Dalam kotak dialog Tambah Tag, masukkan beberapa Tag Key dan Tag Value, lalu klik OK. Dalam pesan yang muncul, klik Tutup.
Hapus tag: Di bagian bawah daftar rahasia, klik Hapus Tag. Dalam kotak dialog Hapus Massal, pilih tag yang ingin Anda hapus lalu klik Hapus. Dalam pesan yang muncul, klik Tutup.