Jenis manajemen kunci dan API kriptografi di KMS - Key Management Service

Kunci merupakan komponen inti dari Key Management Service (KMS). KMS memungkinkan Anda mengelola kunci master pelanggan (CMK) dan kunci default dengan menyediakan manajemen siklus hidup penuh serta penyimpanan yang aman. Layanan ini juga mendukung enkripsi data yang disederhanakan dan tanda tangan digital melalui panggilan API berbasis cloud-native. Dokumen ini menjelaskan jenis kunci yang tersedia di KMS.

Casus penggunaan

Kunci KMS memiliki dua kasus penggunaan utama: digunakan langsung dalam aplikasi yang dikelola sendiri melalui panggilan API dan terintegrasi secara asli dengan layanan Alibaba Cloud untuk enkripsi sisi server.

Penggunaan dalam aplikasi yang dikelola sendiri melalui API: Gunakan KMS OpenAPI atau SDK untuk melakukan fungsi kriptografi seperti enkripsi data, dekripsi, penandatanganan digital, dan verifikasi tanda tangan langsung di dalam aplikasi Anda. Untuk informasi lebih lanjut, lihat Integrasi KMS dengan aplikasi yang dikelola sendiri.
Enkripsi sisi server dengan layanan Alibaba Cloud: Integrasikan kunci dengan layanan Alibaba Cloud yang terhubung ke KMS, seperti Object Storage Service (OSS), Elastic Block Storage (EBS), dan ApsaraDB RDS, untuk mengaktifkan enkripsi transparan pada data diam dan melindungi aset Anda di cloud. Untuk informasi lebih lanjut, lihat Ikhtisar integrasi KMS untuk enkripsi sisi server.

Jenis kunci

KMS menawarkan dua jenis kunci utama, dibedakan berdasarkan tanggung jawab manajemen dan tingkat kontrol: kunci master pelanggan (CMK) dan kunci default.

Jenis kunci	Kasus Penggunaan	Sub-jenis	Algoritma	Izin manajemen	Kemampuan berbagi	Biaya
CMK	Penggunaan dalam aplikasi yang dikelola sendiri melalui API Enkripsi sisi server dengan layanan Alibaba Cloud	Kunci yang dilindungi perangkat lunak Kunci yang dilindungi perangkat keras Kunci eksternal (XKI)	Simetris Asimetris	Pengguna memiliki izin manajemen siklus hidup penuh, termasuk membuat, mengaktifkan, menonaktifkan, merotasi, dan menghapus kunci.	Dapat dibagikan.	Berbayar
Kunci default	Enkripsi sisi server dengan layanan Alibaba Cloud	Kunci layanan CMK default	Simetris	Manajemen terbatas. Hanya beberapa properti yang dapat dimodifikasi. Pembuatan tidak didukung. Untuk informasi lebih lanjut, lihat Perbandingan fitur manajemen kunci di bawah ini.	Terkait pada akun saat ini.	Gratis

CMK

CMK adalah kunci yang Anda buat dan kendalikan sepenuhnya selama siklus hidupnya. Anda dapat membuat, mengaktifkan, menonaktifkan, merotasi, dan menghapus CMK. Kunci ini biasanya digunakan untuk integrasi kriptografi dengan aplikasi yang dikelola sendiri atau sebagai kunci kustom untuk enkripsi sisi server di layanan Alibaba Cloud guna memenuhi persyaratan keamanan tertentu.

Perbandingan jenis

Berdasarkan tingkat perlindungan, CMK dibagi menjadi tiga jenis berikut:

Jenis CMK	Penagihan	Metode Perlindungan dan Tingkat Keamanan	Kasus Penggunaan	Sumber Bahan Kunci
Kunci yang Dilindungi Perangkat Lunak	Memerlukan instans manajemen kunci perangkat lunak. Langganan dan bayar sesuai penggunaan penagihan didukung.	Perlindungan Tingkat Perangkat Lunak: Disimpan dalam database terenkripsi khusus di dalam KMS.	Casus Penggunaan Umum: Menyeimbangkan biaya dan keamanan.	Dibuat oleh KMS (default) Diimpor dari sumber eksternal (Bring Your Own Key (BYOK))
Kunci yang Dilindungi Perangkat Keras	Memerlukan instans manajemen kunci perangkat keras, tersedia melalui langganan atau bayar sesuai penggunaan. Penting Untuk menggunakan instans ini, Anda harus membeli dua instans Modul Keamanan Perangkat Keras (HSM). Untuk detail harga, lihat Penagihan Modul Keamanan Perangkat Keras Cloud.	Perlindungan Fisik Tingkat Perangkat Keras: Kunci dibuat dan digunakan secara eksklusif di dalam Modul Keamanan Perangkat Keras (HSM). Bahan kunci teks biasa tidak pernah meninggalkan HSM. Perlindungan Tingkat Perangkat Lunak: Metadata kunci disimpan di database KMS, tetapi kunci dikelola melalui instans perangkat keras khusus.	Skenario Kepatuhan Tinggi: Cocok untuk keuangan, pemerintahan, dan casus penggunaan dengan persyaratan perangkat keras kriptografi tertentu. Melindungi data sensitif inti dan membantu Anda memenuhi standar kepatuhan seperti GM/T atau FIPS.	Dibuat oleh KMS (default) Diimpor dari sumber eksternal (BYOK)
Kunci Eksternal (XKI)	Memerlukan instans manajemen kunci eksternal.	Pengelola kunci eksternal (EKM) Anda menangani baik bahan kunci maupun semua operasi kriptografi. KMS hanya menyimpan metadata kunci dan meneruskan permintaan ke EKM Anda.	Manajemen Terpadu Hibrid atau Multi-cloud: Memungkinkan Anda mempertahankan kontrol atas kunci Anda di EKM Anda sendiri.	Hanya EKM Anda sendiri

Algoritma yang didukung

CMK mendukung kunci simetris dan kunci asimetris. Untuk informasi lebih lanjut, lihat Jenis Manajemen Kunci dan Spesifikasi Kunci.

Kunci default

Kunci default dibuat secara otomatis oleh layanan Alibaba Cloud (KMS atau layanan lainnya) dan gratis. Kunci ini menawarkan kemampuan manajemen terbatas tetapi memberikan cara yang mudah dan gratis untuk menggunakan layanan enkripsi terintegrasi.

Penting

Kunci default hanya dapat digunakan untuk enkripsi sisi server pada layanan Alibaba Cloud. Mereka tidak mendukung operasi kriptografi mandiri, seperti memanggil API untuk enkripsi dan dekripsi.
Kunci yang bermigrasi dari KMS 1.0 berada dalam keadaan read-only dan tidak mendukung operasi apa pun.

Perbandingan jenis

Jenis kunci default	Sumber kunci	Detail operasi	Kekhasan
CMK default	Dibuat secara default di KMS 3.0.	Anda hanya dapat memodifikasi beberapa properti. Anda tidak dapat membuat kunci baru. Anda dapat memilih untuk mengimpor bahan kunci eksternal (BYOK) hanya ketika Anda mengaktifkan kunci untuk pertama kali.	Setiap akun Alibaba Cloud hanya memiliki satu CMK default per wilayah.
Kunci layanan	Dibuat dan digunakan oleh layanan cloud, seperti Object Storage Service (OSS) atau ApsaraDB RDS.	Anda tidak dapat memodifikasi properti kunci. Rotasi kunci memerlukan pembelian layanan bernilai tambah.	Setiap akun Alibaba Cloud dibatasi satu kunci layanan per layanan cloud per wilayah.

Algoritma yang didukung

Kunci default hanya mendukung kunci simetris. Untuk informasi lebih lanjut, lihat Jenis Manajemen Kunci dan Spesifikasi Kunci.

Perbandingan fitur dan panduan pemilihan

Perbandingan integrasi dan aplikasi

Jenis kunci yang berbeda memiliki kemampuan yang berbeda untuk integrasi layanan dan pengembangan aplikasi. Tabel berikut membandingkan kemampuan setiap jenis kunci untuk integrasi layanan cloud dan pengembangan aplikasi yang dikelola sendiri. Untuk informasi lebih lanjut, lihat Ikhtisar Integrasi KMS untuk Enkripsi Sisi Server, Integrasi KMS dengan Aplikasi yang Dikelola Sendiri, dan SDK Alibaba Cloud.

Jenis kunci	Sub-jenis kunci	Operasi kriptografi untuk aplikasi yang dikelola sendiri		Enkripsi sisi server untuk layanan Alibaba Cloud
		Enkripsi/Dekripsi data	Penandatanganan/Verifikasi
Kunci default	CMK default	Tidak didukung		Didukung
	Kunci layanan
CMK	Kunci yang dilindungi perangkat lunak	Didukung
	Kunci yang dilindungi perangkat keras
	Kunci eksternal	Didukung	Tidak didukung

Perbandingan fitur manajemen kunci

Kunci yang berbeda menawarkan kemampuan manajemen siklus hidup yang berbeda. Tabel berikut menguraikan fungsi manajemen untuk setiap jenis kunci untuk membantu keputusan kepatuhan dan administratif. Untuk detail tentang cara melakukan operasi ini, lihat dokumentasi berikut:

Rotasi Kunci: Rotasi Kunci
Penghapusan Kunci: Jadwalkan Penghapusan Kunci dan Aktifkan Perlindungan Penghapusan.
Manajemen Pengenal Kunci: Kelola Alias Kunci dan Manajemen Tag.
Impor Bahan Kunci Eksternal: Impor Bahan Kunci Simetris dan Impor Bahan Kunci Asimetris.
Manajemen Cadangan: Manajemen Cadangan

Jenis kunci	Sub-jenis kunci	Rotasi kunci	Jadwalkan Penghapusan Kunci	Perlindungan penghapusan	Impor bahan kunci eksternal (BYOK)	Manajemen cadangan
Kunci default	CMK default	Didukung Catatan Memerlukan pembelian layanan nilai tambah untuk kunci.	Didukung		Didukung	Tidak didukung
	Kunci layanan		Tidak didukung		Tidak didukung
CMK	Kunci yang dilindungi perangkat lunak	Didukung Catatan Hanya didukung untuk kunci simetris.	Didukung		Didukung	Didukung
	Kunci yang dilindungi perangkat keras	Tidak didukung				Tidak didukung
	Kunci eksternal	Tidak didukung			Tidak didukung

Catatan

Baik kunci default maupun CMK mendukung manajemen pengenal kunci (alias dan tag).

Perbandingan keamanan dan performa

Untuk beban kerja sensitif performa atau kepatuhan tinggi, spesifikasi performa dan kemampuan audit adalah faktor kritis. Tabel di bawah ini merinci metrik performa dan dukungan audit untuk setiap jenis kunci. Untuk data performa lebih lanjut, lihat Metrik Performa dan Gunakan ActionTrail untuk menanyakan peristiwa manajemen untuk Key Management Service.

Jenis kunci	Sub-jenis kunci	Referensi performa (enkripsi/dekripsi simetris)	Audit keamanan
Kunci default	CMK default	1.000 permintaan per detik. Peningkatan tidak didukung.	Semua jenis kunci mendukung audit keamanan.
Kunci default	Kunci layanan	1.000 permintaan per detik. Peningkatan tidak didukung.
CMK	Kunci yang dilindungi perangkat lunak	Akses gateway bersama: 1.000 permintaan per detik. Peningkatan tidak didukung. Akses gateway khusus: Anda dapat memilih 1.000, 2.000, atau 4.000 permintaan per detik saat pembelian. Peningkatan didukung.
	Kunci yang dilindungi perangkat keras	Akses gateway bersama: 1.000 permintaan per detik. Peningkatan tidak didukung. Akses gateway khusus: Anda dapat memilih 2.000, 4.000, 6.000, atau 8.000 permintaan per detik. Peningkatan didukung.
	Kunci eksternal	1.000 permintaan per detik. Peningkatan tidak didukung.

FAQ

Apa itu BYOK?

BYOK adalah fitur yang memungkinkan Anda membuat bahan kunci secara eksternal dan mengimpornya ke KMS. BYOK adalah fitur, bukan tipe kunci mandiri. Tabel berikut menunjukkan tipe kunci mana yang mendukung BYOK:

Jenis kunci	Sub-jenis kunci	Dukungan BYOK	Detail dan operasi
CMK	Kunci yang dilindungi perangkat lunak	Ya	Setelah membuat kunci, Anda harus mengimpor bahan kunci secara manual. Untuk informasi lebih lanjut, lihat Impor bahan kunci simetris dan Impor bahan kunci asimetris.
	Kunci yang dilindungi perangkat keras	Ya
	Kunci eksternal	Tidak	Impor eksternal tidak didukung.
Kunci default	CMK default	Ya	Anda dapat mengimpor bahan kunci eksternal hanya ketika pertama kali mengaktifkan kunci.
Kunci default	Kunci layanan	Tidak	Impor eksternal tidak didukung.

Bagaimana tipe kunci Alibaba Cloud sesuai dengan tipe kunci Amazon Web Services (AWS)?

Alibaba Cloud	Amazon Web Services (AWS)
CMK	Kunci yang dikelola pelanggan
Kunci layanan	Kunci yang dikelola AWS

Lampiran: Komponen kunci

Kunci lengkap terdiri dari tiga bagian: pengenal kunci, metadata, dan bahan kunci.

Pengenal kunci: Referensi unik untuk kunci yang digunakan di konsol, API, atau kebijakan. KMS mendukung tiga jenis pengenal:
- ID: String unik yang berfungsi sebagai pengenal utama untuk kunci.
- Nama Sumber Daya Alibaba Cloud (ARN): Nama sumber daya komprehensif yang mencakup ID wilayah, ID akun Alibaba Cloud, dan ID kunci. Formatnya adalah acs:kms:<REGION_ID>:<ALIBABA_CLOUD_ACCOUNT_ID>:key/<KEY_ID>.
- Alias kunci: Nama yang ditentukan pengguna yang dapat menunjuk ke kunci tertentu. Formatnya adalah alias/<ALIAS_NAME>.
Metadata: Informasi yang menjelaskan properti kunci, seperti ID, tanggal pembuatan, status (seperti diaktifkan atau dinonaktifkan), dan tujuan (enkripsi/dekripsi atau penandatanganan/verifikasi).
Bahan kunci: Data biner yang digunakan untuk melakukan operasi kriptografi seperti enkripsi, dekripsi, dan penandatanganan. KMS mendukung dua sumber untuk bahan kunci:
- Key Management Service: KMS menghasilkan bahan kunci.
- External (Import Key Material): Anda menghasilkan bahan kunci secara lokal dan kemudian mengimpornya ke KMS.