Pertanyaan Umum Rahasia, Pertanyaan Umum Manajemen Rahasia - Key Management Service

Topik ini memberikan jawaban atas pertanyaan-pertanyaan umum tentang rahasia.

Pertanyaan

Bagaimana KMS memastikan keamanan rahasia?
Bagaimana sebuah rahasia dienkripsi?
Apa yang harus saya lakukan ketika mengatur kebijakan rotasi atau memulai rotasi segera, muncul pesan "Rahasia Anda sedang diputar, silakan coba lagi nanti"?
Apa yang harus saya lakukan jika status rahasia tidak tersedia atau pemanggilan API mengembalikan "Ditolak.TidakTersedia"?
Apa yang harus saya lakukan jika tidak dapat menemukan rahasia yang dibuat di konsol baru (KMS 3.0)?
Apa yang harus saya lakukan jika verifikasi akun rahasia RDS gagal?
Apa yang harus saya lakukan ketika membuat rahasia RAM dan memberi otorisasi KMS untuk mengakses izin AK, muncul pesan "Anda tidak memiliki otorisasi untuk melakukan tindakan ini"?
Kebijakan izin apa yang diperlukan untuk mengambil nilai rahasia terenkripsi melalui API?

Bagaimana KMS memastikan keamanan rahasia?

Saat membuat rahasia, Anda harus menentukan kunci simetris di instance tempat rahasia tersebut berada. KMS menggunakan kunci simetris untuk menghasilkan kunci data, kemudian menggunakan kunci data untuk mengenkripsi rahasia dan menyimpannya di penyimpanan khusus Anda. Mekanisme ini disebut enkripsi amplop.

Catatan

KMS tidak mengenkripsi metadata rahasia seperti nama rahasia, nomor versi, dan label tahap dari versi tersebut.

Ketika aplikasi Anda meminta rahasia, KMS melakukan autentikasi identitas dan pemeriksaan izin menggunakan Resource Access Management (RAM) atau titik akses aplikasi (AAP). Setelah aplikasi lolos autentikasi dan pemeriksaan izin, KMS mendekripsi rahasia dan mengembalikan teks biasa rahasia ke aplikasi melalui TLS 1.2.

Bagaimana sebuah rahasia dienkripsi?

KMS mengenkripsi rahasia menggunakan enkripsi amplop.

Kunci yang digunakan dalam enkripsi amplop adalah kunci yang Anda tentukan saat membuat rahasia. Untuk detail lebih lanjut, lihat Gunakan kunci KMS untuk enkripsi amplop.

Apa yang harus saya lakukan ketika mengatur kebijakan rotasi atau memulai rotasi segera, muncul pesan "Rahasia Anda sedang diputar, silakan coba lagi nanti"?

Jenis Rahasia	Penyebab dan solusi yang mungkin
Rahasia RAM	Rahasia RAM sedang diputar. Periode rotasi untuk rotasi otomatis adalah sekitar 48 jam. Periode rotasi untuk rotasi segera adalah jendela rotasi yang Anda tentukan. Jika belum selesai dalam jendela rotasi, periksa apakah pengguna RAM masih ada di RAM.
Rahasia RDS	Dalam kebanyakan kasus, rotasi rahasia RDS segera selesai. Jika belum selesai lebih dari 2 menit, periksa apakah instance RDS yang diperlukan dan akun ApsaraDB RDS yang diperlukan bekerja sesuai harapan.
Rahasia ECS	Dalam kebanyakan kasus, rotasi rahasia ECS segera selesai. Jika belum selesai lebih dari 2 menit, periksa apakah instance ECS yang diperlukan dan akun ECS yang diperlukan bekerja sesuai harapan.

Apa yang harus saya lakukan jika status rahasia tidak tersedia atau pemanggilan API mengembalikan "Ditolak.TidakTersedia"?

Hal ini terjadi karena instance KMS tempat rahasia tersebut berada telah kedaluwarsa.

Perbarui instance dalam waktu 15 hari kalender setelah kedaluwarsa. Jika tidak, instance akan dilepaskan. Untuk informasi lebih lanjut, lihat Kebijakan pembaruan.

Jika Anda tidak memerlukan instance sekarang tetapi mungkin membutuhkan kunci atau rahasia di instance nanti, cadangkan instance terlebih dahulu. Untuk informasi lebih lanjut, lihat Manajemen cadangan.

Apa yang harus saya lakukan jika tidak dapat menemukan rahasia yang dibuat di konsol baru (KMS 3.0)?

Catatan

Konsol baru (KMS 3.0) hanya menampilkan rahasia yang dikelola di instance KMS.

Pengguna yang menggunakan versi lama KMS (1.0) dapat membuat rahasia tanpa membeli instance KMS. Namun, rahasia-rahasia ini tidak dapat dilihat di konsol 3.0. Kembali ke konsol lama untuk melihat rahasia yang Anda buat.

Apa yang harus saya lakukan jika verifikasi akun rahasia RDS gagal?

Dalam kebanyakan kasus, hal ini terjadi karena akun ApsaraDB RDS atau instance ApsaraDB RDS yang terkait dengan rahasia RDS telah dihapus. Kami sarankan Anda memeriksa apakah akun ApsaraDB RDS atau instance ApsaraDB RDS masih ada di ApsaraDB RDS.

Apa yang harus saya lakukan ketika membuat rahasia RAM dan memberi otorisasi KMS untuk mengakses izin AK, muncul pesan "Anda tidak memiliki otorisasi untuk melakukan tindakan ini"?

Munculnya pesan "Anda tidak memiliki otorisasi untuk melakukan tindakan ini" selama otorisasi KMS untuk mengakses izin AK menunjukkan bahwa akun RAM yang sedang digunakan tidak memiliki izin untuk mengoperasikan sumber daya cloud.

Kirimkan tautan otorisasi kepada administrator RAM (pengguna RAM dengan izin manajemen sumber daya atau akun Alibaba Cloud) untuk menyelesaikan otorisasi. Setelah otorisasi selesai, kembali ke halaman pembuatan rahasia RAM dan klik tombol Segarkan. Kemudian Anda dapat membuat rahasia RAM. Untuk informasi lebih lanjut, lihat Langkah 1: Berikan KMS izin untuk mengelola pasangan AccessKey dari pengguna RAM.

Kebijakan izin apa yang diperlukan untuk mengambil nilai rahasia terenkripsi melalui API?

Setidaknya, baik izin GetSecretValue maupun Decrypt diperlukan untuk pengguna RAM atau peran RAM.

Contoh:

{
	"Version": "1",
	"Statement": [{
		"Effect": "Allow",
		"Action": [
			"kms:GetSecretValue",
			"kms:Decrypt"
		],
		"Resource": [
			"acs:kms:${region}:${account}:secret/example-secret",
			"acs:kms:${region}:${account}:key/keyId-example"
		]
	}]
}

Untuk petunjuk, lihat Berikan izin kepada pengguna RAM dan Berikan izin kepada peran RAM.