Saat memanggil API Alibaba Cloud, otentikasi pengguna RAM dilakukan menggunakan AccessKey, yang mencakup ID AccessKey dan Rahasia AccessKey. Untuk mencegah risiko keamanan dari pengkodean keras AccessKey, Anda dapat mengelola AccessKey menggunakan rahasia Layanan Manajemen Kunci (KMS), juga dikenal sebagai rahasia RAM. Topik ini menjelaskan cara mengelola dan menggunakan rahasia RAM.
Deskripsi fitur
Jika Anda menggunakan KMS untuk mengelola rahasia RAM, Anda tidak perlu mengonfigurasi pasangan AccessKey di aplikasi Anda. Cukup konfigurasikan nama rahasia, yang dapat digunakan untuk mengambil pasangan AccessKey yang valid untuk memanggil operasi. Anda juga dapat memutar rahasia RAM untuk mengurangi risiko kebocoran pasangan AccessKey.
Batasan
Hanya pasangan AccessKey dari pengguna RAM yang dapat dikelola. Pasangan AccessKey dari akun Alibaba Cloud tidak dapat dikelola.
Rotasi rahasia RAM
Selama rotasi, RAM membuat pasangan AccessKey baru dan kemudian menghapus pasangan AccessKey lama. KMS menulis AccessKey baru sebagai nilai rahasia dan menghapus nilai rahasia yang terkait dengan pasangan AccessKey lama. Rotasi rahasia mendukung dua metode. Tabel berikut menjelaskan metode tersebut.
Metode rotasi | Periode rotasi | Skenario |
Rotasi otomatis | Sekitar 2 hari | Rahasia RAM diintegrasikan ke dalam aplikasi. Aplikasi secara berkala membaca rahasia RAM. Untuk meminimalkan risiko kebocoran pasangan AccessKey, kami sarankan Anda menentukan periode rotasi otomatis tidak lebih dari tiga bulan. |
Rotasi segera | Anda dapat menentukan periode rotasi mulai dari 10 menit hingga 2 hari. Jika rahasia RAM bocor, kami sarankan Anda menentukan periode rotasi 30 menit. Dalam skenario lainnya, periode rotasi 2 hari adalah optimal. |
|
Jika rahasia RAM sedang diputar, jangan hapus pengguna RAM yang terkait dengan rahasia tersebut. Ini membantu mencegah kegagalan rotasi rahasia.
Jika rahasia RAM sedang diputar, Anda tidak dapat mengonfigurasi kebijakan rotasi otomatis atau melakukan rotasi segera.
Prasyarat
Sebuah kunci simetris yang digunakan untuk mengenkripsi rahasia dibuat di dalam instance KMS. Untuk informasi lebih lanjut, lihat Create a key.
Jika Anda menggunakan pengguna RAM atau peran RAM untuk mengelola rahasia RAM, kebijakan sistem AliyunKMSSecretAdminAccess dan AliyunRAMReadOnlyAccess dilampirkan ke pengguna RAM atau peran RAM. Untuk informasi lebih lanjut, lihat Berikan izin kepada pengguna RAM atau Berikan izin kepada peran RAM.
Jika akun Alibaba Cloud yang terkait dengan akun RAM Anda saat ini sudah memiliki peran layanan AliyunKMSManageRAMCredentialsRole atau AliyunKMSManagedRAMCrendentialsRole, lewati Langkah 1: Berikan KMS izin untuk mengelola pasangan AccessKey pengguna RAM. KMS memiliki izin untuk mengelola pasangan AccessKey pengguna RAM secara default.
Langkah 1: Berikan KMS izin untuk mengelola pasangan AccessKey pengguna RAM
Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih .
Klik tab RAM Secrets, pilih ID instansi yang diperlukan dari daftar drop-down Instance ID, dan kemudian klik Create a secret.
Di panel Create RAM Secrets, klik Authorize KMS to access AccessKey pairs.
Jika Anda menggunakan pengguna administrator RAM tanpa AliyunKMSManageRAMCredentialsRole atau AliyunKMSManagedRAMCrendentialsRole, klik Agree to Authorization di halaman Cloud Resource Access Authorization. Jika tidak, kirimkan tautan Cloud Resource Access Authorization ke administrator RAM atau akun Alibaba Cloud untuk melakukan otorisasi.
Setelah otorisasi selesai, sistem akan secara otomatis membuat peran terkait layanan AliyunKMSManageRAMCredentialsRole dan melampirkan kebijakan izin AliyunKMSManageRAMCredentialsRolePolicy padanya. KMS menggunakan peran ini untuk mengelola rahasia RAM Anda dan melakukan tugas-tugas seperti rotasi rahasia RAM.
Anda dapat masuk ke konsol RAM untuk melihat detail peran dan kebijakan terkait layanan. Untuk informasi lebih lanjut, lihat Lihat informasi tentang peran RAM dan Lihat informasi tentang kebijakan.
Setelah otorisasi selesai, Anda dapat kembali ke halaman pembuatan rahasia RAM dan klik tombol segarkan. Kemudian Anda dapat membuat rahasia RAM.
Langkah 2: Buat rahasia RAM
Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih .
Klik tab RAM Secrets, pilih ID instansi yang diperlukan dari daftar drop-down Instance ID, dan kemudian klik Create a secret. Lalu, konfigurasikan parameter dan klik OK.
Parameter
Deskripsi
Select RAM User
Pengguna RAM untuk mana Anda ingin membuat rahasia. Pengguna RAM yang dipilih harus memiliki setidaknya satu pasangan AccessKey. Untuk informasi lebih lanjut, lihat Buat pasangan AccessKey.
Nama rahasia dihasilkan secara otomatis berdasarkan nama pengguna RAM. Nama rahasia unik di wilayah saat ini.
Secret Value
Rahasia AccessKey dari pengguna RAM.
Nilai tidak boleh melebihi 30.720 byte panjangnya, yang setara dengan 30 KB ukuran.
CMK
Kunci yang digunakan untuk mengenkripsi nilai saat ini dari rahasia.
PentingKunci dan rahasia Anda harus milik instansi KMS yang sama. Kunci harus berupa kunci simetris. Untuk informasi lebih lanjut tentang kunci simetris yang didukung oleh KMS, lihat Spesifikasi kunci untuk enkripsi simetris dan asimetris.
Jika Anda adalah pengguna RAM atau peran RAM, Anda harus memiliki izin untuk memanggil operasi GenerateDataKey menggunakan kunci.
Tag
Tag yang ingin Anda tambahkan ke rahasia. Anda dapat menggunakan tag untuk mengklasifikasikan dan mengelola rahasia. Tag terdiri dari pasangan key-value.
CatatanKunci tag atau nilai tag dapat hingga 128 karakter panjangnya dan dapat berisi huruf, angka, garis miring (/), backslash (\), garis bawah (_), tanda hubung (-), titik (.), tanda plus (+), tanda sama dengan (=), titik dua (:), at (@), dan spasi.
Kunci tag tidak bisa dimulai dengan aliyun atau acs:.
Anda dapat mengonfigurasi hingga 20 pasangan key-value untuk setiap rahasia.
Automatic Rotation
Menentukan apakah akan mengaktifkan rotasi rahasia otomatis.
Days (7 Days to 365 Days)
Interval rotasi rahasia otomatis. Pengaturan ini hanya diperlukan saat Anda mengaktifkan rotasi otomatis.
KMS secara berkala memperbarui rahasia berdasarkan nilai parameter ini.
Description
Deskripsi rahasia.
Policy Settings
Pengaturan kebijakan rahasia. Untuk informasi lebih lanjut, lihat Ikhtisar.
Anda dapat menggunakan kebijakan default dan kemudian memodifikasi kebijakan berdasarkan persyaratan bisnis Anda setelah Anda membuat rahasia.
Langkah 3: Integrasikan rahasia RAM ke dalam aplikasi
KMS menawarkan plugin rahasia RAM, Secret Client, SDK Alibaba Cloud, KMS Agent, dan SDK instansi KMS untuk memanggil operasi GetSecretValue (OpenAPI) atau GetSecretValue (KMS Instance API) (tidak direkomendasikan) untuk mengambil nilai rahasia RAM.
Untuk meningkatkan keandalan layanan, kami sarankan Anda menerapkan mekanisme ulang kesalahan yang kuat di aplikasi Anda.
KMS menyediakan beberapa metode autentikasi. Untuk keamanan yang lebih baik, kami sarankan penggunaan peran RAM instansi ECS atau peran RAM standar.
Titik Akhir:
Titik akhir gateway bersama: lihat Endpoint.
Titik akhir gateway khusus:
{INSTANCE_ID}.cryptoservice.kms.aliyuncs.com.
Metode | Skenario yang berlaku | Gateway yang didukung |
|
| |
Aplikasi dikembangkan dalam Java 8 atau lebih baru, Go, atau Python. |
| |
Aplikasi mendukung Java 8 atau lebih baru (Java 6 atau lebih baru dengan Alibaba Cloud SDK V1.0), PHP, Go, Python, .NET (hanya C#), C++, TypeScript, dan Swift. |
| |
|
| |
SDK Instansi KMS (tidak direkomendasikan) | Aplikasi dikembangkan dalam Java 8 atau lebih baru, PHP, Go, Python, atau .NET (hanya C#). | Gateway khusus |
Apa yang harus dilakukan selanjutnya
Putar rahasia RAM
Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih .
Klik tab RAM Secrets, pilih ID instansi yang diperlukan dari daftar drop-down Instance ID, temukan rahasia yang ingin Anda putar, dan kemudian klik Details di kolom Actions.
Konfigurasikan kebijakan rotasi rahasia.
Rotasi Otomatis: Di sudut kanan atas halaman, klik Configure Rotation, aktifkan atau nonaktifkan Rotasi Otomatis, dan kemudian klik OK.
Rotasi Segera: Di sudut kanan atas halaman, klik Rotate Now. Dalam kotak dialog Configure Rotation, atur parameter Rotation Window ke nilai yang berkisar antara 10 menit hingga 2 hari, dan kemudian klik OK.
Hapus rahasia RAM
Anda dapat segera menghapus rahasia atau membuat tugas terjadwal untuk menghapus rahasia. Jika Anda menghapus rahasia RAM, rahasia RAM hanya dihapus dari Secrets Manager. Pasangan AccessKey dari pengguna RAM yang terkait dengan rahasia RAM tidak dihapus dari RAM.
Sebelum Anda menghapus rahasia RAM, pastikan bahwa rahasia RAM tersebut tidak lagi digunakan. Jika Anda menghapus rahasia RAM yang sedang digunakan, kegagalan layanan mungkin terjadi.
Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih .
Klik tab RAM Secrets, pilih ID instansi yang diperlukan dari daftar drop-down Instance ID, temukan rahasia yang ingin Anda hapus, dan kemudian klik Schedule Deletion di kolom Actions.
Dalam kotak dialog Schedule Deletion, pilih metode untuk menghapus rahasia dan klik OK.
Jika Anda memilih Schedule Deletion, konfigurasikan Periode Penyimpanan (7 hingga 30 Hari). Saat periode penghapusan terjadwal berakhir, KMS menghapus rahasia.
Jika Anda memilih Delete Immediately, sistem langsung menghapus rahasia.
Selama periode penghapusan terjadwal, Anda dapat mengklik OK di kolom Actions untuk membatalkan penghapusan.
Tambahkan tag ke rahasia
Anda dapat menggunakan tag untuk mengklasifikasikan dan mengelola rahasia. Tag terdiri dari pasangan key-value.
Kunci tag atau nilai tag dapat hingga 128 karakter panjangnya dan dapat berisi huruf, angka, garis miring (/), backslash (\), garis bawah (_), tanda hubung (-), titik (.), tanda plus (+), tanda sama dengan (=), titik dua (:), at (@), dan spasi.
Kunci tag tidak bisa dimulai dengan aliyun atau acs:.
Anda dapat mengonfigurasi hingga 20 pasangan key-value untuk setiap rahasia.
Tambahkan tag untuk rahasia
Solusi | Deskripsi |
Metode 1: Tambahkan tag di halaman Rahasia |
|
Metode 2: Tambahkan tag di halaman Detail Rahasia |
|
di kolom Tag.
di sebelah Tag.Konfigurasikan tag untuk beberapa rahasia sekaligus
Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih .
Klik tab berdasarkan jenis rahasia Anda, pilih ID instansi yang diperlukan dari daftar drop-down Instance ID, dan kemudian pilih rahasia yang diinginkan dari daftar rahasia.
Tambahkan tag: Di bagian bawah daftar rahasia, klik Tambah Tag. Dalam kotak dialog Tambah Tag, masukkan beberapa Tag Key dan Tag Value, dan klik OK. Dalam pesan yang muncul, klik Tutup.
Hapus tag: Di bagian bawah daftar rahasia, klik Hapus Tag. Dalam kotak dialog Hapus Massal, pilih tag yang ingin Anda hapus dan klik Hapus. Dalam pesan yang muncul, klik Tutup.
Periksa akun
Fitur pemeriksaan akun memungkinkan Anda memeriksa apakah pengguna RAM yang ditunjukkan oleh rahasia RAM ada dan apakah ID AccessKey dari pengguna RAM sama dengan yang disimpan dalam rahasia.
Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih .
Klik tab RAM Secrets, pilih ID instansi yang diperlukan dari daftar drop-down Instance ID, temukan rahasia yang ingin Anda kelola, dan kemudian klik Details di kolom Actions.
Di bagian Versions, klik Check Account. Setelah pemeriksaan selesai, lihat hasil pemeriksaan.