Rahasia generik adalah jenis rahasia dasar yang didukung oleh Key Management Service (KMS). Anda dapat menyimpan data sensitif seperti kata sandi akun, pasangan AccessKey, rahasia OAuth, dan token sebagai rahasia generik. Setiap rahasia generik dapat memiliki beberapa versi, sehingga memungkinkan pembaruan tanpa risiko kebocoran data sensitif akibat penggunaan nilai rahasia yang di-hardcode. Panduan ini menjelaskan cara mengelola dan menggunakan rahasia generik.
Rotasi Rahasia Generik
Anda tidak dapat mengaktifkan rotasi otomatis dengan jadwal kustom untuk rahasia generik di KMS. Namun, Anda dapat menggunakan Function Compute untuk mencapai tujuan ini. Untuk informasi lebih lanjut, lihat Gunakan Function Compute untuk merotasi rahasia generik. Jika Anda ingin melakukan rotasi instan, Anda dapat menyimpan nilai rahasia dari versi baru melalui KMS console atau dengan memanggil operasi API PutSecretValue.
Setiap rahasia generik hanya dapat memiliki hingga 10 versi. Jika jumlah versi melebihi batas tersebut, KMS akan secara otomatis menghapus versi paling lama dalam urutan bergulir.
Prasyarat
Sebuah instance KMS telah dibuat dan diaktifkan. Untuk informasi lebih lanjut, lihat Beli dan aktifkan instance KMS.
Sebuah kunci simetris untuk mengenkripsi rahasia telah dibuat dalam instance KMS. Untuk informasi lebih lanjut, lihat Buat kunci.
Langkah 1: Buat rahasia generik
Saat membuat rahasia generik, KMS menetapkan status default ke tahap ACSCurrent.
Masuk ke KMS console. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih .
Klik tab Generic Secrets, pilih ID instance yang diperlukan dari daftar drop-down Instance ID, lalu klik Create a secret. Di panel yang muncul, konfigurasikan parameter sesuai kebutuhan bisnis Anda dan klik OK.
Parameter
Deskripsi
Secret Name
Nama rahasia. Nama rahasia harus unik di wilayah saat ini.
Secret Value
Jenis data sensitif yang ingin Anda kelola. Nilai valid: Kunci Rahasia/Nilai dan Teks Biasa.
Nilai tersebut tidak boleh melebihi 30.720 byte panjangnya, yang setara dengan 30 KB ukuran.
Initial Version
Versi awal rahasia. Nilai default: v1. Anda juga dapat menentukan nomor versi kustom.
CMK
Kunci yang digunakan untuk mengenkripsi nilai saat ini dari rahasia.
PentingKunci dan rahasia Anda harus milik instance KMS yang sama. Kunci tersebut harus berupa kunci simetris. Untuk informasi lebih lanjut tentang kunci simetris yang didukung oleh KMS, lihat Spesifikasi kunci untuk enkripsi simetris dan asimetris.
Jika Anda adalah pengguna RAM atau peran RAM, Anda harus memiliki izin untuk memanggil operasi GenerateDataKey menggunakan kunci.
Tag
Tag yang ingin Anda tambahkan ke rahasia. Anda dapat menggunakan tag untuk mengklasifikasikan dan mengelola rahasia. Tag terdiri dari pasangan kunci-nilai.
CatatanKunci tag atau nilai tag dapat mencapai hingga 128 karakter panjangnya dan dapat berisi huruf, angka, garis miring (/), backslash (\), garis bawah (_), tanda hubung (-), titik (.), tanda plus (+), tanda sama dengan (=), titik dua (:), at (@), dan spasi.
Kunci tag tidak boleh dimulai dengan aliyun atau acs:.
Anda dapat mengonfigurasi hingga 20 pasangan kunci-nilai untuk setiap rahasia.
Description
Deskripsi rahasia.
Policy Settings
Pengaturan kebijakan rahasia. Untuk informasi lebih lanjut, lihat Ikhtisar.
Anda dapat menggunakan kebijakan default dan kemudian memodifikasi kebijakan berdasarkan kebutuhan bisnis Anda setelah Anda membuat rahasia.
Langkah 2: Integrasikan aplikasi dengan rahasia generik
KMS menyediakan Secret Client, Alibaba Cloud SDK, KMS Agent, dan KMS Instance SDK untuk memanggil operasi GetSecretValue (OpenAPI) atau GetSecretValue (KMS Instance API) (tidak direkomendasikan) guna mengambil nilai rahasia generik.
Untuk meningkatkan keandalan layanan, disarankan untuk menerapkan mekanisme ulang kesalahan yang kuat di aplikasi Anda.
KMS menyediakan berbagai metode autentikasi. Untuk keamanan yang lebih baik, kami sarankan Anda memprioritaskan penggunaan peran RAM instance ECS atau peran RAM standar.
Titik akhir:
Titik akhir gateway bersama: lihat Titik Akhir.
Titik akhir gateway khusus:
{INSTANCE_ID}.cryptoservice.kms.aliyuncs.com.
Metode | Skenario yang sesuai | Gateway yang didukung |
Aplikasi dikembangkan dalam Java 8 atau lebih baru, Go, atau Python. |
| |
Aplikasi mendukung Java 8 atau lebih baru (Java 6 atau lebih baru dengan Alibaba Cloud SDK V1.0), PHP, Go, Python, .NET (hanya C#), C++, TypeScript, dan Swift. |
| |
|
| |
KMS Instance SDK (tidak direkomendasikan) | Aplikasi dikembangkan dalam Java 8 atau lebih baru, PHP, Go, Python, atau .NET (hanya C#). | Gateway khusus |
Operasi terkait
Rotasi rahasia generik
Anda tidak dapat mengonfigurasi informasi rotasi saat membuat rahasia generik. Jika Anda ingin melakukan rotasi instan, Anda harus menyimpan versi rahasia baru melalui KMS console atau dengan memanggil operasi API PutSecretValue.
Masuk ke KMS console. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih .
Klik tab Generic Secrets, pilih ID instance yang diperlukan dari daftar drop-down Instance ID, temukan rahasia yang diinginkan, lalu klik Details di kolom Actions.
Di bagian Versions, klik Store Secret Value.
Di kotak dialog Store Secret Value, konfigurasikan parameter Version dan Secret Value, lalu klik OK.
PentingSetelah menambahkan versi rahasia baru ke rahasia generik, rahasia tersebut langsung dirotasi. Secara default, operasi untuk mendapatkan nilai rahasia di KMS akan mengembalikan nilai dari versi baru.
Hapus rahasia generik
Sebelum menghapus rahasia generik, pastikan bahwa rahasia tersebut tidak lagi digunakan. Anda dapat menjadwalkan penghapusan atau menghapusnya segera.
Pastikan bahwa rahasia generik tidak sedang digunakan sebelum menghapusnya. Menghapus rahasia yang masih digunakan dapat menyebabkan kegagalan layanan.
Masuk ke KMS console. Di bilah navigasi atas, pilih wilayah yang diperlukan. Di panel navigasi kiri, klik Secrets.
Klik tab Generic Secrets, pilih ID instance yang diperlukan dari daftar drop-down Instance ID, temukan rahasia yang diinginkan, lalu klik Schedule Deletion di kolom Actions.
Di kotak dialog Schedule Deletion, pilih metode penghapusan dan klik OK.
Jika memilih Schedule Deletion, konfigurasikan Periode Retensi (7 hingga 30 hari). Saat periode penghapusan terjadwal berakhir, KMS akan menghapus rahasia tersebut.
Jika memilih Delete Immediately, sistem akan segera menghapus rahasia tersebut.
Selama periode penghapusan terjadwal, Anda dapat mengklik OK di kolom Actions untuk membatalkan penghapusan.
Tambahkan tag untuk rahasia
Anda dapat menggunakan tag untuk mengklasifikasikan dan mengelola rahasia. Tag terdiri dari pasangan kunci-nilai.
Kunci tag atau nilai tag dapat mencapai hingga 128 karakter panjangnya dan dapat berisi huruf, angka, garis miring (/), backslash (\), garis bawah (_), tanda hubung (-), titik (.), tanda plus (+), tanda sama dengan (=), titik dua (:), at (@), dan spasi.
Kunci tag tidak boleh dimulai dengan aliyun atau acs:.
Anda dapat mengonfigurasi hingga 20 pasangan kunci-nilai untuk setiap rahasia.
Tambahkan tag untuk rahasia
Solusi | Deskripsi |
Metode 1: Tambahkan tag di halaman Secrets |
|
Metode 2: Tambahkan tag di halaman Detail Rahasia |
|
di kolom Tag.
di sebelah Tag.Konfigurasikan tag untuk beberapa rahasia sekaligus
Masuk ke KMS console. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih .
Klik tab berdasarkan jenis rahasia Anda, pilih ID instance yang diperlukan dari daftar drop-down Instance ID, lalu pilih rahasia yang diinginkan dari daftar rahasia.
Tambahkan tag: Di bagian bawah daftar rahasia, klik Tambah Tag. Di kotak dialog Tambah Tag, masukkan beberapa Tag Key dan Tag Value, lalu klik OK. Di pesan yang muncul, klik Tutup.
Hapus tag: Di bagian bawah daftar rahasia, klik Hapus Tag. Di kotak dialog Hapus Batch, pilih tag yang ingin dihapus, lalu klik Hapus. Di pesan yang muncul, klik Tutup.