Buat kunci default, kunci perangkat lunak, atau kunci perangkat keras di KMS - Key Management Service

KMS menyediakan kemampuan manajemen siklus hidup kunci dan penyimpanan aman. Topik ini menjelaskan cara membuat kunci, menonaktifkan kunci, mengaktifkan perlindungan penghapusan, menjadwalkan penghapusan kunci, serta menetapkan tag untuk kunci.

Aktifkan kunci default

Kunci default mencakup satu kunci master pelanggan (CMK) default dan kunci layanan. Anda hanya dapat mengelola CMK default. Ini disediakan oleh KMS secara gratis untuk setiap Akun Alibaba Cloud di setiap Wilayah. Untuk menggunakan kunci ini, cukup aktifkan saja. Kunci layanan dikelola oleh layanan terkait, dan Anda tidak dapat membuat, memodifikasi, atau menghapusnya melalui KMS.

Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih Resource > Keys.
Di halaman Keys, klik tab Default Keys.
Klik Enable di kolom Actions, lalu klik OK di kotak dialog konfirmasi.

Buat kunci

Kunci perangkat lunak

Sebelum membuat kunci perangkat lunak, pastikan Anda telah membeli dan mengaktifkan instans KMS. Untuk informasi lebih lanjut, lihat Beli dan aktifkan instans KMS.

Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih Resource > Keys.
Di halaman Keys, klik tab Customer Master Keys, pilih instans manajemen kunci perangkat lunak dari daftar drop-down Instance ID, lalu klik Create Key.

Di panel Create Key, konfigurasikan parameter dan klik OK.

Parameter	Deskripsi
Key Type	Pilih apakah kunci tersebut adalah kunci simetris atau kunci asimetris. Penting Jika Anda membuat kunci untuk mengenkripsi nilai kredensial, pilih kunci simetris.
Key Specifications	Spesifikasi dari kunci. Untuk informasi lebih lanjut tentang standar yang diikuti spesifikasi kunci dan algoritma kunci, lihat Jenis manajemen kunci dan spesifikasi kunci. Spesifikasi kunci simetris: Aliyun_AES_256 Spesifikasi kunci asimetris: RSA_2048, RSA_3072, RSA_4096, EC_P256, dan EC_P256K
Key Usage	Tujuan dari kunci. Nilai valid: ENCRYPT/DECRYPT: mengenkripsi dan mendekripsi data. SIGN/VERIFY: menghasilkan dan memverifikasi tanda tangan digital.
Key Alias	Alias dari kunci. Alias dapat berisi huruf, angka, garis bawah (_), tanda hubung (-), dan garis miring (/).
Tag	Tag dari kunci. Tag membantu Anda mengklasifikasikan dan mengelola kunci. Setiap tag terdiri dari pasangan kunci-nilai (Key:Value), yang mencakup kunci tag dan nilai tag. Catatan Kunci tag atau nilai tag dapat memiliki panjang hingga 128 karakter dan dapat berisi huruf, angka, garis miring (/), backslash (\), garis bawah (_), tanda hubung (-), titik (.), tanda tambah (+), tanda sama dengan (=), titik dua (:), at (@), dan spasi. Kunci tag tidak boleh dimulai dengan `aliyun` atau `acs:`. Anda dapat mengonfigurasi hingga 20 pasangan kunci-nilai untuk setiap kunci.
Automatic Rotation	Hanya kunci simetris yang mendukung rotasi otomatis. Saklar ini diaktifkan secara default. Untuk informasi lebih lanjut, lihat Rotasi kunci.
Rotation Period	Anda dapat menetapkan periode rotasi antara 7 hingga 365 hari.
Description	Deskripsi dari kunci.
Advanced Settings	Konfigurasi Kebijakan Kebijakan Default: Jika kunci digunakan oleh Akun Alibaba Cloud saat ini atau Akun Alibaba Cloud dalam bagian sumber daya, pilih kebijakan default. Instans tidak dibagikan dengan akun lain: Hanya Akun Alibaba Cloud saat ini yang dapat mengelola dan menggunakan kunci. Instans dibagikan dengan akun lain: Misalnya, jika Akun Alibaba Cloud 1 membagikan instans KMS A dengan Akun Alibaba Cloud 2: Kunci yang dibuat oleh Akun Alibaba Cloud 1: Hanya Akun Alibaba Cloud 1 yang dapat mengelola dan menggunakan kunci. Kunci yang dibuat oleh Akun Alibaba Cloud 2: Baik Akun Alibaba Cloud 1 maupun Akun Alibaba Cloud 2 dapat mengelola dan menggunakan kunci. Kebijakan Kustom: Jika kunci perlu diberi otorisasi kepada Pengguna RAM, Peran RAM, atau akun lain, pilih kebijakan kustom. Penting Memilih administrator dan pengguna tidak mengonsumsi kuota Access Management Quantity. Memilih pengguna dari akun lain mengonsumsi kuota Access Management Quantity dari instans KMS. Kuota dihitung berdasarkan jumlah Akun Alibaba Cloud. Jika Anda membatalkan otorisasi, tunggu sekitar 5 menit lalu periksa kuotanya. Kuota akan dikembalikan. Administrator: Melakukan operasi manajemen pada kunci tetapi tidak mendukung operasi kriptografi. Anda dapat memilih Pengguna RAM dan Peran RAM di bawah Akun Alibaba Cloud saat ini. Daftar izin yang didukung oleh administrator `{ "Statement": [ { "Action": [ "kms:List", "kms:Describe", "kms:Create", "kms:Enable", "kms:Disable", "kms:Get", "kms:Set", "kms:Update", "kms:Delete", "kms:Cancel", "kms:TagResource", "kms:UntagResource", "kms:ImportKeyMaterial", "kms:ScheduleKeyDeletion" ] } ] }` Pengguna: Hanya mendukung penggunaan kunci untuk operasi kriptografi. Anda dapat memilih Pengguna RAM dan Peran RAM di bawah Akun Alibaba Cloud saat ini. Daftar izin yang didukung oleh pengguna `{ "Statement": [ { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateAndExportDataKey", "kms:AsymmetricEncrypt", "kms:AsymmetricDecrypt", "kms:DescribeKey", "kms:DescribeKeyVersion", "kms:ListKeyVersions", "kms:ListAliasesByKeyId", "kms:TagResource" ] } ] }` Pengguna dari akun lain: Menggunakan kunci untuk enkripsi dan dekripsi. Ini bisa berupa Pengguna RAM atau Peran RAM dari Akun Alibaba Cloud lain. Pengguna RAM: Formatnya adalah `acs:ram::<userId>:user/<ramuser>`, contohnya, `acs:ram::119285303511**:user/testpolicyuser`. Peran RAM: Formatnya adalah `acs:ram::<userId>:role/<ramrole>`, contohnya, `acs:ram::119285303511:role/testpolicyrole`. Catatan Setelah memberi otorisasi kepada Pengguna RAM atau Peran RAM, Anda masih perlu menggunakan Akun Alibaba Cloud dari Pengguna RAM atau Peran RAM tersebut untuk memberikan otorisasi agar mereka dapat menggunakan kunci di Manajemen Akses Sumber Daya (RAM). Hanya dengan begitu Pengguna RAM atau Peran RAM dapat menggunakan kunci. Untuk informasi lebih lanjut, lihat Kebijakan kustom untuk Layanan Manajemen Kunci, Berikan izin kepada Pengguna RAM, dan Berikan izin kepada Peran RAM. Daftar izin yang didukung oleh pengguna dari akun lain `{ "Statement": [ { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateAndExportDataKey", "kms:AsymmetricEncrypt", "kms:AsymmetricDecrypt", "kms:DescribeKey", "kms:DescribeKeyVersion", "kms:ListKeyVersions", "kms:ListAliasesByKeyId", "kms:TagResource" ] } ] }` Sumber Bahan Kunci Key Management Service: Bahan kunci dibuat oleh KMS. External (Import Key Material): KMS tidak membuat bahan kunci. Anda perlu mengimpor bahan kunci sendiri. Untuk informasi lebih lanjut, lihat Impor bahan kunci simetris dan Impor bahan kunci asimetris. Catatan Harap baca dengan cermat dan pilih I Understand The Methods And Significance Of Using External Key Material**.

Kunci perangkat keras

Sebelum membuat kunci perangkat keras, pastikan Anda telah membeli dan mengaktifkan instans KMS. Untuk informasi lebih lanjut, lihat Beli dan aktifkan instans KMS.

Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih Resource > Keys.
Di halaman Keys, klik tab Customer Master Keys, pilih instans manajemen kunci perangkat keras dari daftar drop-down Instance ID, lalu klik Create Key.

Di panel Create Key, konfigurasikan parameter dan klik OK.

Parameter	Deskripsi
Key Type	Pilih apakah kunci tersebut adalah kunci simetris atau kunci asimetris. Penting Jika Anda membuat kunci untuk mengenkripsi nilai kredensial, pilih kunci simetris.
Key Specifications	Spesifikasi dari kunci. Untuk informasi lebih lanjut tentang standar yang diikuti spesifikasi kunci dan algoritma kunci, lihat Jenis manajemen kunci dan spesifikasi kunci. Spesifikasi kunci simetris: Aliyun_AES_256, Aliyun_AES_192, dan Aliyun_AES_128 Spesifikasi kunci asimetris: RSA_2048, RSA_3072, RSA_4096, EC_P256, dan EC_P256K
Key Usage	Tujuan dari kunci. Nilai valid: ENCRYPT/DECRYPT: mengenkripsi dan mendekripsi data. SIGN/VERIFY: menghasilkan dan memverifikasi tanda tangan digital.
Key Alias	Alias dari kunci. Alias dapat berisi huruf, angka, garis bawah (_), tanda hubung (-), dan garis miring (/).
Tag	Tag dari kunci. Tag membantu Anda mengklasifikasikan dan mengelola kunci. Setiap tag terdiri dari pasangan kunci-nilai (Key:Value), yang mencakup kunci tag dan nilai tag. Catatan Kunci tag atau nilai tag dapat memiliki panjang hingga 128 karakter dan dapat berisi huruf, angka, garis miring (/), backslash (\), garis bawah (_), tanda hubung (-), titik (.), tanda tambah (+), tanda sama dengan (=), titik dua (:), at (@), dan spasi. Kunci tag tidak boleh dimulai dengan `aliyun` atau `acs:`. Anda dapat mengonfigurasi hingga 20 pasangan kunci-nilai untuk setiap kunci.
Description	Deskripsi dari kunci.
Advanced Settings > Policy Settings	Kebijakan Default: Jika kunci digunakan oleh Akun Alibaba Cloud saat ini atau Akun Alibaba Cloud dalam bagian sumber daya, pilih kebijakan default. Instans tidak dibagikan dengan akun lain: Hanya Akun Alibaba Cloud saat ini yang dapat mengelola dan menggunakan kunci. Instans dibagikan dengan akun lain: Misalnya, jika Akun Alibaba Cloud 1 membagikan instans KMS A dengan Akun Alibaba Cloud 2: Kunci yang dibuat oleh Akun Alibaba Cloud 1: Hanya Akun Alibaba Cloud 1 yang dapat mengelola dan menggunakan kunci. Kunci yang dibuat oleh Akun Alibaba Cloud 2: Baik Akun Alibaba Cloud 1 maupun Akun Alibaba Cloud 2 dapat mengelola dan menggunakan kunci. Kebijakan Kustom: Jika kunci perlu diberi otorisasi kepada Pengguna RAM, Peran RAM, atau akun lain, pilih kebijakan kustom. Penting Memilih administrator dan pengguna tidak mengonsumsi kuota Access Management Quantity. Memilih pengguna dari akun lain mengonsumsi kuota Access Management Quantity dari instans KMS. Kuota dihitung berdasarkan jumlah Akun Alibaba Cloud. Jika Anda membatalkan otorisasi, tunggu sekitar 5 menit lalu periksa kuotanya. Kuota akan dikembalikan. Administrator: Melakukan operasi manajemen pada kunci tetapi tidak mendukung operasi kriptografi. Anda dapat memilih Pengguna RAM dan Peran RAM di bawah Akun Alibaba Cloud saat ini. Daftar izin yang didukung oleh administrator `{ "Statement": [ { "Action": [ "kms:List", "kms:Describe", "kms:Create", "kms:Enable", "kms:Disable", "kms:Get", "kms:Set", "kms:Update", "kms:Delete", "kms:Cancel", "kms:TagResource", "kms:UntagResource", "kms:ImportKeyMaterial", "kms:ScheduleKeyDeletion" ] } ] }` Pengguna: Hanya mendukung penggunaan kunci untuk operasi kriptografi. Anda dapat memilih Pengguna RAM dan Peran RAM di bawah Akun Alibaba Cloud saat ini. Daftar izin yang didukung oleh pengguna `{ "Statement": [ { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateAndExportDataKey", "kms:AsymmetricEncrypt", "kms:AsymmetricDecrypt", "kms:DescribeKey", "kms:DescribeKeyVersion", "kms:ListKeyVersions", "kms:ListAliasesByKeyId", "kms:TagResource" ] } ] }` Pengguna dari akun lain: Menggunakan kunci untuk enkripsi dan dekripsi. Ini bisa berupa Pengguna RAM atau Peran RAM dari Akun Alibaba Cloud lain. Pengguna RAM: Formatnya adalah `acs:ram::<userId>:user/<ramuser>`, contohnya, `acs:ram::119285303511**:user/testpolicyuser`. Peran RAM: Formatnya adalah `acs:ram::<userId>:role/<ramrole>`, contohnya, `acs:ram::119285303511:role/testpolicyrole`. Catatan Setelah memberi otorisasi kepada Pengguna RAM atau Peran RAM, Anda masih perlu menggunakan Akun Alibaba Cloud dari Pengguna RAM atau Peran RAM tersebut untuk memberikan otorisasi agar mereka dapat menggunakan kunci di Manajemen Akses Sumber Daya (RAM). Hanya dengan begitu Pengguna RAM atau Peran RAM dapat menggunakan kunci. Untuk informasi lebih lanjut, lihat Kebijakan kustom untuk Layanan Manajemen Kunci, Berikan izin kepada Pengguna RAM, dan Berikan izin kepada Peran RAM. Daftar izin yang didukung oleh pengguna dari akun lain** `{ "Statement": [ { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateAndExportDataKey", "kms:AsymmetricEncrypt", "kms:AsymmetricDecrypt", "kms:DescribeKey", "kms:DescribeKeyVersion", "kms:ListKeyVersions", "kms:ListAliasesByKeyId", "kms:TagResource" ] } ] }`
Advanced Settings > Key Material Origin	Key Management Service: Bahan kunci dibuat oleh KMS. External (Import Key Material): KMS tidak membuat bahan kunci. Anda perlu mengimpor bahan kunci sendiri. Untuk informasi lebih lanjut, lihat Impor bahan kunci simetris dan Impor bahan kunci asimetris. Catatan Harap baca dengan cermat dan pilih I Understand The Methods And Significance Of Using External Key Material.
Advanced Settings > Secondary Purpose:	Pengaturan ini hanya didukung ketika Key Type diatur ke Asymmetric Key. Dengan tujuan kunci tambahan, Anda dapat membuat kunci berfungsi untuk beberapa keperluan. Namun, tujuan kunci tambahan tidak berlaku untuk enkripsi layanan cloud.

Kunci eksternal

Pastikan bahwa Anda telah membeli dan mengaktifkan instans manajemen kunci eksternal KMS. Untuk informasi lebih lanjut, lihat Beli dan aktifkan instans KMS.
Buat kunci di fasilitas manajemen kunci melalui layanan XKI Proxy terlebih dahulu dan catat ID kuncinya. Untuk informasi lebih lanjut, lihat dokumentasi fasilitas manajemen kunci.

Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih Resource > Keys.
Di halaman Keys, klik tab Customer Master Keys, pilih instans manajemen kunci eksternal dari daftar drop-down Instance ID, lalu klik Create Key.

Di panel Create Key, konfigurasikan parameter dan klik OK.

Parameter	Deskripsi
External Key ID	ID kunci yang dibuat melalui layanan manajemen XKI. Catatan Anda dapat menggunakan ID kunci eksternal yang sama untuk membuat satu atau lebih kunci KMS.
Key Specifications	Spesifikasi dari kunci. Nilai valid: Aliyun_AES_256. Untuk informasi lebih lanjut tentang standar yang diikuti spesifikasi kunci dan algoritma kunci, lihat Jenis manajemen kunci dan spesifikasi kunci.
Key Usage	Tujuan dari kunci. ENCRYPT/DECRYPT: mengenkripsi dan mendekripsi data.
Key Alias	Alias dari kunci. Alias dapat berisi huruf, angka, garis bawah (_), tanda hubung (-), dan garis miring (/).
Tag	Tag dari kunci. Tag membantu Anda mengklasifikasikan dan mengelola kunci. Setiap tag terdiri dari pasangan kunci-nilai (Key:Value), yang mencakup kunci tag dan nilai tag. Catatan Kunci tag atau nilai tag dapat memiliki panjang hingga 128 karakter dan dapat berisi huruf, angka, garis miring (/), backslash (\), garis bawah (_), tanda hubung (-), titik (.), tanda tambah (+), tanda sama dengan (=), titik dua (:), at (@), dan spasi. Kunci tag tidak boleh dimulai dengan `aliyun` atau `acs:`. Anda dapat mengonfigurasi hingga 20 pasangan kunci-nilai untuk setiap kunci.
Description	Deskripsi dari kunci.
Advanced Settings	Kebijakan Default: Jika kunci digunakan oleh Akun Alibaba Cloud saat ini atau Akun Alibaba Cloud dalam bagian sumber daya, pilih kebijakan default. Instans tidak dibagikan dengan akun lain: Hanya Akun Alibaba Cloud saat ini yang dapat mengelola dan menggunakan kunci. Instans dibagikan dengan akun lain: Misalnya, jika Akun Alibaba Cloud 1 membagikan instans KMS A dengan Akun Alibaba Cloud 2: Kunci yang dibuat oleh Akun Alibaba Cloud 1: Hanya Akun Alibaba Cloud 1 yang dapat mengelola dan menggunakan kunci. Kunci yang dibuat oleh Akun Alibaba Cloud 2: Baik Akun Alibaba Cloud 1 maupun Akun Alibaba Cloud 2 dapat mengelola dan menggunakan kunci. Kebijakan Kustom: Jika kunci perlu diberi otorisasi kepada Pengguna RAM, Peran RAM, atau akun lain, pilih kebijakan kustom. Penting Memilih administrator dan pengguna tidak mengonsumsi kuota Access Management Quantity. Memilih pengguna dari akun lain mengonsumsi kuota Access Management Quantity dari instans KMS. Kuota dihitung berdasarkan jumlah Akun Alibaba Cloud. Jika Anda membatalkan otorisasi, tunggu sekitar 5 menit lalu periksa kuotanya. Kuota akan dikembalikan. Administrator: Melakukan operasi manajemen pada kunci tetapi tidak mendukung operasi kriptografi. Anda dapat memilih Pengguna RAM dan Peran RAM di bawah Akun Alibaba Cloud saat ini. Daftar izin yang didukung oleh administrator `{ "Statement": [ { "Action": [ "kms:List", "kms:Describe", "kms:Create", "kms:Enable", "kms:Disable", "kms:Get", "kms:Set", "kms:Update", "kms:Delete", "kms:Cancel", "kms:TagResource", "kms:UntagResource", "kms:ImportKeyMaterial", "kms:ScheduleKeyDeletion" ] } ] }` Pengguna: Hanya mendukung penggunaan kunci untuk operasi kriptografi. Anda dapat memilih Pengguna RAM dan Peran RAM di bawah Akun Alibaba Cloud saat ini. Daftar izin yang didukung oleh pengguna `{ "Statement": [ { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateAndExportDataKey", "kms:AsymmetricEncrypt", "kms:AsymmetricDecrypt", "kms:DescribeKey", "kms:DescribeKeyVersion", "kms:ListKeyVersions", "kms:ListAliasesByKeyId", "kms:TagResource" ] } ] }` Pengguna dari akun lain: Menggunakan kunci untuk enkripsi dan dekripsi. Ini bisa berupa Pengguna RAM atau Peran RAM dari Akun Alibaba Cloud lain. Pengguna RAM: Formatnya adalah `acs:ram::<userId>:user/<ramuser>`, contohnya, `acs:ram::119285303511**:user/testpolicyuser`. Peran RAM: Formatnya adalah `acs:ram::<userId>:role/<ramrole>`, contohnya, `acs:ram::119285303511:role/testpolicyrole`. Catatan Setelah memberi otorisasi kepada Pengguna RAM atau Peran RAM, Anda masih perlu menggunakan Akun Alibaba Cloud dari Pengguna RAM atau Peran RAM tersebut untuk memberikan otorisasi agar mereka dapat menggunakan kunci di Manajemen Akses Sumber Daya (RAM). Hanya dengan begitu Pengguna RAM atau Peran RAM dapat menggunakan kunci. Untuk informasi lebih lanjut, lihat Kebijakan kustom untuk Layanan Manajemen Kunci, Berikan izin kepada Pengguna RAM, dan Berikan izin kepada Peran RAM. Daftar izin yang didukung oleh pengguna dari akun lain** `{ "Statement": [ { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateAndExportDataKey", "kms:AsymmetricEncrypt", "kms:AsymmetricDecrypt", "kms:DescribeKey", "kms:DescribeKeyVersion", "kms:ListKeyVersions", "kms:ListAliasesByKeyId", "kms:TagResource" ] } ] }`

Nonaktifkan kunci

Jika Anda tidak lagi memerlukan penggunaan kunci, kami sarankan menonaktifkan kunci terlebih dahulu. Setelah yakin bahwa kunci tidak lagi diperlukan, Anda dapat menghapusnya. Setelah dinonaktifkan, kunci tersebut tidak dapat digunakan untuk operasi kriptografi.

Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih Resource > Keys.
Di halaman Keys, klik tab Customer Master Keys atau Default Keys, temukan kunci yang ingin dinonaktifkan, dan klik Disable di kolom Actions.
Di kotak dialog Disable Key, pilih dan konfirmasi item, lalu klik Disable.
Anda dapat mengklik Key Association untuk memeriksa apakah kunci digunakan untuk enkripsi sisi server oleh layanan cloud. Untuk informasi lebih lanjut, lihat Deteksi asosiasi kunci.
Setelah kunci dinonaktifkan, statusnya berubah dari Enabling menjadi Disabled. Anda juga dapat mengklik Enable untuk mengaktifkan kembali kunci.

Aktifkan perlindungan penghapusan

Setelah mengaktifkan perlindungan penghapusan untuk kunci, Anda tidak dapat menghapus kunci menggunakan konsol atau operasi API. Ini mencegah penghapusan kunci secara tidak sengaja. Jika Anda yakin perlu menghapus kunci, Anda harus terlebih dahulu menonaktifkan perlindungan penghapusan.

Catatan

Anda tidak dapat mengaktifkan perlindungan penghapusan untuk kunci dalam status Pending Deletion.

Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih Resource > Keys.
Di halaman Keys, klik tab Customer Master Keys atau Default Keys, temukan kunci yang ingin diaktifkan perlindungan penghapusannya, dan klik Details di kolom Actions.
Di halaman detail kunci, nyalakan saklar Deletion Protection.
Di kotak dialog Enable, konfirmasi informasi dan klik Enable.

Jadwalkan penghapusan kunci

KMS tidak mendukung penghapusan langsung kunci. KMS hanya mendukung penjadwalan penghapusan kunci, yang berarti Anda dapat menetapkan periode tunggu setelah itu kunci akan dihapus. Sebelum menjadwalkan penghapusan kunci, pastikan perlindungan penghapusan dinonaktifkan untuk kunci tersebut.

Jika Anda tidak lagi menggunakan kunci, kami sarankan menonaktifkan kunci terlebih dahulu. Setelah yakin bahwa kunci tidak mempengaruhi bisnis Anda, Anda dapat menjadwalkan penghapusan kunci.

Peringatan

Sistem akan menghapus kunci setelah periode tunggu. Konten yang dienkripsi menggunakan kunci dan kunci data yang dihasilkan menggunakan kunci tidak dapat didekripsi setelah kunci dihapus. Sebelum menghapus kunci, pastikan kunci tersebut tidak lagi digunakan. Jika tidak, bisnis Anda mungkin terpengaruh.
Kunci layanan tidak dapat dihapus. Kunci layanan dikelola oleh layanan cloud. Jika Anda tidak lagi menggunakan kunci layanan, Anda tidak perlu melakukan tindakan apa pun. Anda dapat menyimpan kunci layanan karena tidak dikenakan biaya.

Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih Resource > Keys.
Di tab Customer Master Keys atau Default Keys, temukan kunci target, klik ikon di kolom Actions, lalu klik Schedule Deletion.
Di kotak dialog Schedule Deletion, konfirmasi informasi dan klik OK.
Anda dapat mengklik Key Association untuk memeriksa apakah kunci digunakan untuk enkripsi sisi server oleh layanan cloud. Untuk informasi lebih lanjut, lihat Deteksi asosiasi kunci.
Setelah menetapkan periode tunggu, status kunci berubah dari Enabling menjadi Pending Deletion. Kunci dalam status Pending Deletion tidak dapat digunakan untuk enkripsi, dekripsi, atau pembuatan kunci data. Sebelum periode tunggu berakhir, Anda dapat mengklik Cancel Deletion.

Unduh kunci publik dari kunci asimetris

Setelah membuat kunci asimetris, Anda dapat mengunduh kunci publik dalam pasangan kunci. Anda tidak dapat mengunduh kunci privat.

Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih Resource > Keys.
Pada tab Customer Master Keys atau Default Keys, temukan kunci yang ingin Anda unduh kunci publiknya, dan klik Details di kolom Actions.
Pada tab Key Version di bagian bawah halaman, klik View Public Key di kolom Actions.
Pada kotak dialog View Public Key, klik Download.

Buat dan unduh file CSR

KMS mendukung pembuatan Permintaan Penandatanganan Sertifikat (CSR) untuk kunci master pelanggan asimetris. Setelah pemohon sertifikat mengirimkan CSR ke otoritas sertifikasi, otoritas sertifikasi akan menggunakan kunci privat CA-nya untuk menerbitkan sertifikat digital kepada pengguna. Sertifikat yang diterbitkan dapat digunakan untuk email aman, perlindungan titik akhir aman, perlindungan penandatanganan kode, layanan situs web tepercaya, manajemen otorisasi identitas, dan lainnya.

Untuk informasi tentang cara membuat sertifikat menggunakan CSR, lihat Buat sertifikat di Certificate Management Service (Original SSL Certificate).

Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih Resource > Keys.
Pada tab Customer Master Keys, temukan kunci yang CSR-nya ingin Anda buat, lalu klik Details di kolom Actions.

Pada tab Key Version di bagian bawah halaman, klik Generate CSR di kolom Actions, konfigurasikan parameter, lalu klik OK.

Parameter	Deskripsi
Common Name (CN)	Subjek yang terikat pada sertifikat, seperti nama domain, nama layanan, atau nama perangkat.
Organization Name	Nama legal organisasi, yang digunakan untuk verifikasi kepemilikan sertifikat. Nama harus persis sesuai dengan nama di lisensi bisnis, termasuk tanda baca dan huruf kapital. Jika nama organisasi berisi karakter khusus seperti `&` atau `-`, biarkan apa adanya.
Organizational Unit (OU)	Departemen atau tim spesifik dalam organisasi.
State/Province (S)	Nama provinsi, kotamadya, atau wilayah otonom tempat organisasi berada. Anda dapat menggunakan karakter Cina atau Inggris. Anda tidak perlu menambahkan "Province" atau "省".
City (L)	Nama kota tempat organisasi berada. Anda dapat menggunakan karakter Cina atau Inggris. Anda tidak perlu menambahkan "City" atau "市".
Country/Region (C)	Kode negara. Gunakan kode negara dua huruf yang ditentukan dalam ISO 3166-1. Untuk informasi lebih lanjut, lihat ISO.
Key Algorithm	Pilih algoritma kunci yang sesuai berdasarkan kemampuan dukungan otoritas sertifikasi, standar keamanan bisnis, dan persyaratan kompatibilitas. RSA_PKCS1_SHA_256: Menggunakan algoritma SHA-256 untuk menghitung nilai hash data dan menggunakan algoritma RSASSA-PKCS1-v1_5 yang didefinisikan dalam RFC 3447/PKCS#1 untuk menghitung tanda tangan. RSA_PSS_SHA_256: Menggunakan algoritma SHA-256 untuk menghitung nilai hash data dan menggunakan algoritma RSASSA-PSS yang didefinisikan dalam RFC 3447/PKCS#1 untuk menghitung tanda tangan dengan MGF1 (SHA-256).
Email (E)	Masukkan alamat email kontak Anda.

Di kotak dialog CSR, klik Download CSR File dan simpan dengan aman.

Deteksi asosiasi kunci

Anda hanya dapat mendeteksi apakah kunci digunakan untuk enkripsi sisi server oleh layanan cloud. Anda tidak dapat mendeteksi apakah kunci digunakan oleh aplikasi yang Anda kelola sendiri. Berdasarkan hasil deteksi, jika kunci masih digunakan, berhati-hatilah ketika menghapusnya.

Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih Resource > Keys.
Di tab Customer Master Keys atau Default Keys, temukan kunci yang ingin Anda lakukan deteksi asosiasi, dan klik Details di kolom Actions.
Di tab Key Association, klik Check, tunggu sekitar 1 menit, lalu klik ikon di sebelah kanan untuk melihat hasil deteksi.
- Cloud Service: Mendukung ECS, MSE, RabbitMQ, RocketMQ, dan ACK.
- Last Called At: Waktu terakhir layanan cloud mengakses kunci di KMS.
  Catatan
  Hanya permintaan akses dalam 365 hari terakhir yang menampilkan waktu akses. Untuk permintaan akses lebih dari 365 hari yang lalu, waktu akses terakhir tidak ditampilkan.
- Check Status: Status deteksi saat ini. Jika statusnya Gagal, segarkan halaman dan coba lagi.
- Service Console: Fitur pencarian yang disediakan oleh layanan cloud untuk memeriksa sumber daya layanan cloud mana yang dienkripsi menggunakan kunci KMS.
  Penting
  Hanya sumber daya yang akun saat ini memiliki izin akses yang ditampilkan.