Dalam lingkungan perusahaan, mengelola kunci kriptografi secara terpisah di berbagai akun meningkatkan biaya dan mempersulit penerapan kebijakan keamanan. Fitur berbagi lintas akun dari Key Management Service (KMS) memungkinkan Anda untuk dengan aman membagikan satu instans KMS dengan beberapa akun anggota dalam organisasi Anda. Hal ini menyederhanakan manajemen kunci, memusatkan kontrol keamanan, dan mengoptimalkan biaya.
Cara kerjanya
Berbagi instans KMS dibangun di atas Direktori Sumber Daya dan layanan Berbagi Sumber Daya Alibaba Cloud. Alurnya adalah sebagai berikut:
Siapkan Organisasi: Gunakan Direktori Sumber Daya untuk mengorganisir semua akun Alibaba Cloud yang relevan ke dalam satu organisasi untuk manajemen terpadu.
Bagikan Sumber Daya: Pemilik sumber daya membuat bagian sumber daya menggunakan layanan Berbagi Sumber Daya, menambahkan instans KMS sebagai sumber daya bersama, dan menentukan anggota lainnya di Direktori Sumber Daya sebagai pihak yang berwenang.
Berikan Izin:
Kebijakan Izin: Saat membuat bagian, pemilik sumber daya melampirkan kebijakan izin yang telah ditentukan sebelumnya (
AliyunRSDefaultPermissionKMSInstance). Layanan Berbagi Sumber Daya kemudian menerapkan kebijakan ini kepada pihak yang ditentukan.Model Berbagi: Dua mode, Independent Ownership dan Joint Ownership, mendefinisikan izin untuk menggunakan sumber daya (kunci dan rahasia) dalam instans KMS.
Pengguna RAM: Untuk memberikan izin untuk operasi tertentu, seperti
kms:Encryptdankms:Decrypt, pihak yang berwenang harus mengonfigurasi kebijakan manajemen akses sumber daya (RAM) untuk identitas RAM-nya (pengguna atau peran RAM).
Contoh Kasus Penggunaan: Departemen A di sebuah perusahaan membeli instans KMS. Jika departemen B juga membutuhkan instans KMS, perusahaan dapat memusatkan akun Alibaba Cloud-nya menggunakan Direktori Sumber Daya dan kemudian membagikan instans KMS departemen A menggunakan layanan Berbagi Sumber Daya. Arsitekturnya ditunjukkan di bawah ini:
Catatan Penggunaan
Persyaratan Instans:
Anda hanya dapat membagikan instans manajemen kunci perangkat lunak dan instans manajemen kunci perangkat keras yang diaktifkan.
Persyaratan Akun dan Organisasi:
Pemilik instans dan pihak yang berwenang harus termasuk dalam perusahaan yang diverifikasi sama.
Pemilik instans dan pihak yang berwenang harus termasuk dalam Direktori Sumber Daya yang sama.
Pilih mode berbagi
Fitur | Kepemilikan Mandiri | Kepemilikan Bersama |
Kasus Penggunaan | Diperlukan saat Anda memiliki rahasia lintas akun dengan nama yang sama atau perlu mengisolasi izin. | Ideal untuk kolaborasi internal di mana tim pusat (seperti TI atau keamanan) perlu mengelola dan mengaudit semua kunci dan rahasia. |
Karakteristik Inti | Kepemilikan Data Mandiri: Pemilik sumber daya tidak dapat mengelola atau menggunakan kunci dan rahasia yang dibuat oleh pihak yang berwenang. | Kepemilikan Data Bersama: Pemilik sumber daya dapat mengelola dan menggunakan kunci dan rahasia yang dibuat oleh pihak yang berwenang. |
Sumber Daya Lintas Akun dengan Nama yang Sama | Diizinkan. Pihak yang berwenang dan pemilik sumber daya dapat membuat rahasia dengan nama yang sama dalam instans. | Tidak Diizinkan. Semua nama kunci dan rahasia dalam instans harus unik. |
Perubahan Mode | Tidak dapat diubah menjadi kepemilikan bersama. | Dapat diubah menjadi kepemilikan mandiri. |
Untuk informasi lebih lanjut tentang perbedaan izin antara kedua mode, lihat Lampiran: Izin Fitur dalam Mode Berbagi yang Berbeda.
Prosedur
Konfigurasikan berbagi (pemilik instans)
Langkah 1: Siapkan direktori sumber daya dan aktifkan berbagi intra-organisasi
Aktifkan Direktori Sumber Daya:
Masuk ke Konsol
Gunakan akun manajemen untuk masuk ke Konsol Manajemen Sumber Daya.
Aktifkan Direktori Sumber Daya
Di panel navigasi di sebelah kiri, pilih . Klik Enable Resource Directory. Untuk instruksi rinci, lihat Aktifkan Direktori Sumber Daya.
Buat Folder
Di panel navigasi di sebelah kiri, pilih .Di pojok kanan atas halaman yang muncul, klik Resource Organization View. Di pohon direktori sumber daya di sebelah kiri, klik folder target. Di tab Member, klik Create Folder. Masukkan Folder Name dan klik OK. Untuk instruksi rinci, lihat Buat Folder.
Konfigurasikan Anggota
Di tab Member, klik Create Member atau Invite Member, dan ikuti instruksi di Buat Anggota, Undang Akun Alibaba Cloud untuk Bergabung dengan Direktori Sumber Daya, dan Pindahkan Anggota untuk mengonfigurasi informasi seperti nama akun, ID akun, dan akun penagihan.
Undang anggota
Parameter
Deskripsi
Account ID or Logon Email Address
ID Akun: Untuk mendapatkan ID, lihat Bagaimana cara melihat ID akun Alibaba Cloud?
Email masuk: Alamat email yang digunakan untuk mendaftarkan akun. Jika tidak ada email masuk yang terkait dengan akun, masukkan ID akun sebagai gantinya.
Anda dapat memasukkan beberapa ID akun yang dipisahkan dengan koma (,) untuk mengundang mereka secara massal.
Remarks
Masukkan catatan untuk undangan untuk membantu penerima memverifikasi keaslian undangan dan mempercepat persetujuan.
Tag
Ikat tag ke anggota untuk manajemen berbasis tag yang lebih mudah.
Parent Folder
Folder tempat akun tersebut berada. Secara default, akun yang diundang ditempatkan di folder root. Klik Modify untuk memindahkan anggota ke folder lain sesuai kebutuhan. Anda juga dapat mengubah ini setelah undangan diterima.
Create member
Parameter
Deskripsi
Alibaba Cloud Account Name
Nama akun Alibaba Cloud adalah pengenal unik untuk anggota dan harus unik dalam direktori sumber daya.
Nama harus terdiri dari 2 hingga 50 karakter dan dapat berisi huruf, angka, serta karakter khusus
_.-. Nama harus dimulai dan diakhiri dengan huruf atau angka dan tidak boleh berisi karakter khusus berturut-turut_.-.
Display Name
Nama tampilan harus terdiri dari 2 hingga 50 karakter dan dapat berisi karakter Cina, huruf, angka, serta karakter khusus
_.-.Billing Account
Tetapkan akun yang bertanggung jawab untuk membayar biaya anggota baru.
Use Management Account for Settlement of New Member: Menetapkan akun manajemen Direktori Sumber Daya sebagai akun penagihan.
Use Existing Member for Settlement of New Member: Menetapkan anggota yang ada dari Direktori Sumber Daya sebagai akun penagihan. Di panel Select an existing member, pilih anggota dari pohon direktori.
CatatanAnggota tidak dapat dipilih jika tidak dapat melakukan pembayaran. Untuk informasi lebih lanjut, lihat Ikhtisar.
Use New Member Itself for Settlement: Menetapkan anggota saat ini sebagai akun penagihannya sendiri.
Tag
Ikat tag ke anggota untuk manajemen berbasis tag yang lebih mudah.
Parent Folder
Secara default, anggota yang dibuat ditempatkan di folder root. Klik Modify untuk memindahkan anggota ke folder lain sesuai kebutuhan. Anda juga dapat mengubah ini setelah anggota dibuat.
Aktifkan Berbagi Sumber Daya
Setelah Anda mengaktifkan berbagi sumber daya, pemilik sumber daya, yang bisa berupa akun manajemen atau anggota, dapat membagikan sumber daya dengan seluruh Direktori Sumber Daya, foldernya, atau anggota tertentu. Untuk informasi lebih lanjut, lihat Aktifkan Berbagi Sumber Daya dalam Direktori Sumber Daya.
Gunakan akun manajemen Direktori Sumber Daya untuk masuk ke Konsol Berbagi Sumber Daya. Di panel navigasi di sebelah kiri, pilih .
Klik Enable, lalu klik OK di kotak dialog Resource Sharing Service-Linked Role.
CatatanSistem secara otomatis membuat peran terkait layanan bernama
AliyunServiceRoleForResourceSharinguntuk mengambil informasi organisasi dari Direktori Sumber Daya. Untuk informasi lebih lanjut, lihat Peran Terkait Layanan untuk Berbagi Sumber Daya.
Langkah 2: Konfigurasikan instans KMS yang dibagikan
Bagian ini membimbing pemilik sumber daya tentang cara membagikan instans KMS dengan satu atau lebih pihak yang berwenang.
Masuk ke Konsol
Sebagai pemilik instans, masuk ke Konsol Layanan Manajemen Kunci. Pilih wilayah di bilah menu atas, dan di panel navigasi di sebelah kiri, klik Instances.
Pilih Mode Berbagi
Di halaman Instances, temukan instans KMS target dan klik Share Resources di kolom Actions. Di panel RD Multi-account Sharing Settings, pilih mode berbagi.
Konfigurasikan Bagian Sumber Daya
Di panel Tambahkan ke Bagian Sumber Daya, pilih bagian sumber daya yang ada atau buat yang baru.
Perbandingan
Buat (Disarankan)
Pilih Bagian Sumber Daya yang sudah tersedia
Kasus Penggunaan
Gunakan ini saat berbagi untuk pertama kali atau saat Anda perlu mengisolasi izin.
Gunakan ini untuk menambahkan instans saat ini ke bagian sumber daya yang ada, serta menggunakan kembali pihak yang berwenang dan izinnya.
Fitur
Isolasi Izin: Hanya berisi instans KMS saat ini dengan izin independen.
Ruang Lingkup Kontrol: Hanya akun baru yang ditambahkan yang dapat menggunakan instans bersama.
Berbagi Izin:
Semua pihak yang berwenang dari bagian sumber daya akan secara otomatis mendapatkan akses ke instans baru, menggunakan kuota manajemen akses instans tersebut.
Setiap perubahan izin pada bagian sumber daya ini akan berdampak pada semua sumber daya di dalamnya.
Ruang Lingkup Kontrol: Baik pihak asli maupun akun yang baru ditambahkan dapat menggunakan instans bersama.
PeringatanIni dapat menyebabkan eskalasi izin yang tidak disengaja serta konsumsi kuota. Lanjutkan dengan hati-hati.
Konfigurasikan Parameter Berbagi
Tentukan konfigurasi berikut untuk metode yang dipilih dan klik OK.
Buat (Disarankan)
Resource Share Name
Nama dapat memiliki panjang hingga 50 karakter dan dapat berisi karakter Cina, huruf, angka, serta karakter khusus: ., _, dan -.
Principals
Tentukan akun yang dapat menggunakan instans KMS ini.
PentingKami menyarankan menambahkan berdasarkan Folder atau Akun Alibaba Cloud untuk kontrol yang lebih rinci. Setiap penambahan mengonsumsi Kuota Manajemen Akses instans.
Jika Anda menambahkan atau menghapus pihak yang berwenang dari bagian sumber daya yang ada, perubahan tersebut memengaruhi semua sumber daya di dalam bagian tersebut.
Tambahkan tiga jenis pihak yang berwenang berikut:
Alibaba Cloud Account: Bagikan sumber daya hanya dengan akun Alibaba Cloud tertentu (ID).
Resource Directory Organization: Bagikan sumber daya dengan semua akun anggota di seluruh direktori sumber daya, termasuk anggota yang ditambahkan kemudian.
Folder (Organizational Unit): Masukkan ID folder untuk berbagi sumber daya dengan semua anggota di folder, termasuk anggota yang ditambahkan kemudian. Format ID folder adalah
fd-xxxxxxxx. Untuk melihat informasi folder, lihat Lihat Informasi Dasar Folder.
Add Permissions
Konfigurasikan izin untuk pihak yang berwenang. Untuk detailnya, lihat Perpustakaan Izin di Konsol Berbagi Sumber Daya.
AliyunRSDefaultPermissionKMSInstance (Disarankan): Dua versi (v1, v2) tersedia. Pembagian baru default menggunakan versi v2. Untuk memeriksa versi, lihat Lihat Detail Izin.
AliyunRSPermissionKMSInstanceReadWrite (Tidak digunakan lagi): Izin ini masih berfungsi untuk pembagian sumber daya yang ada tetapi tidak disarankan untuk yang baru.
Pilih Bagian Sumber Daya yang sudah ada
Select Resource Share
Sistem menyinkronkan semua bagian sumber daya di akun saat ini. Untuk informasi lebih lanjut, lihat Buat Bagian Sumber Daya.
Shared Resources
Daftar ini secara otomatis menampilkan sumber daya yang ada di bagian sumber daya yang dipilih (hanya-baca). Setelah operasi ini, instans KMS saat ini akan ditambahkan ke bagian ini.
Principals
Tentukan akun yang dapat menggunakan instans KMS ini.
PentingKami menyarankan menambahkan berdasarkan Folder atau Akun Alibaba Cloud untuk kontrol yang lebih rinci. Setiap penambahan mengonsumsi Kuota Manajemen Akses instans.
Jika Anda menambahkan atau menghapus pihak yang berwenang dari bagian sumber daya yang ada, perubahan tersebut memengaruhi semua sumber daya di dalam bagian tersebut.
Tambahkan tiga jenis pihak yang berwenang berikut:
Alibaba Cloud Account: Bagikan sumber daya hanya dengan akun Alibaba Cloud tertentu (ID).
Resource Directory Organization: Bagikan sumber daya dengan semua akun anggota di seluruh direktori sumber daya, termasuk anggota yang ditambahkan kemudian.
Folder (Organizational Unit): Masukkan ID folder untuk berbagi sumber daya dengan semua anggota di folder, termasuk anggota yang ditambahkan kemudian. Format ID folder adalah
fd-xxxxxxxx. Untuk melihat informasi folder, lihat Lihat Informasi Dasar Folder.
Add Permissions
Konfigurasikan izin untuk pihak yang berwenang. Untuk detailnya, lihat Perpustakaan Izin di Konsol Berbagi Sumber Daya.
AliyunRSDefaultPermissionKMSInstance (Disarankan): Dua versi (v1, v2) tersedia. Pembagian baru default menggunakan versi v2. Untuk memeriksa versi, lihat Lihat Detail Izin.
AliyunRSPermissionKMSInstanceReadWrite (Tidak digunakan lagi): Jika Anda sebelumnya menggunakan izin ini, teruskan menggunakannya.
Gunakan instans bersama (pihak yang berwenang)
Sebagai pihak yang berwenang, Anda harus terlebih dahulu memverifikasi bahwa instans telah dibagikan dengan sukses. Anda kemudian dapat membuat dan menggunakan kunci atau rahasia dalam instans bersama.
Masuk ke Konsol
Pihak yang berwenang masuk ke Konsol Layanan Manajemen Kunci. Di halaman Instances, temukan instans KMS dengan tag Being Shared.
Buat Kunci dan Rahasia
Di tab Keys atau Secrets, klik Create Key atau Create Secret. Pilih Instans Bersama untuk KMS Instance. Untuk pengaturan lainnya, lihat Buat Kunci dan Buat Rahasia.
Berikan Izin kepada Pengguna RAM:
Konfigurasikan kebijakan RAM untuk pengguna atau peran RAM Anda untuk memberikan izin untuk panggilan API KMS tertentu, seperti
kms:Encryptdankms:Decrypt. Untuk instruksi, lihat Gunakan RAM untuk Kontrol Akses.Gunakan kunci dan rahasia
Setelah berhasil membuat kunci dan rahasia, Anda dapat menggunakannya di layanan Alibaba Cloud lainnya atau aplikasi yang dikelola sendiri. Untuk detailnya, lihat dokumen berikut:
Enkripsi sisi server untuk produk cloud: Ikhtisar Integrasi KMS untuk Produk Cloud dan Produk Cloud yang Mendukung Integrasi KMS.
Integrasikan rahasia dengan layanan cloud: Integrasikan Produk Cloud dengan Rahasia KMS.
Integrasikan KMS dengan aplikasi yang dikelola sendiri (untuk kunci dan rahasia): Integrasi Aplikasi Mandiri dengan KMS.
Kelola dan pertahankan pembagian
Ubah pihak yang berwenang dari bagian sumber daya
Dari Konsol KMS
Sebagai pemilik instans, masuk ke Konsol Layanan Manajemen Kunci. Di bilah menu atas, pilih wilayah. Di panel navigasi di sebelah kiri, klik Instances.
Di halaman Instances, klik tab Software Key Management atau tab Hardware Key Management berdasarkan tipe instans KMS.
Temukan instans KMS yang ingin Anda kelola dan klik Share Resources di kolom Actions.
Di panel RD Multi-account Share Settings, pilih Resource Share. Di bagian Principals, klik Edit untuk menambah atau menghapus pihak yang berwenang, lalu klik OK.
Dari Konsol Berbagi Sumber Daya
Untuk instruksi rinci, lihat Ubah Bagian Sumber Daya.
Cabut berbagi untuk instans KMS
Pencabutan pembagian dilakukan dengan menghapus bagian sumber daya. Setelah bagian sumber daya dihapus, semua pihak dalam bagian sumber daya tidak dapat lagi mengakses sumber daya dalam bagian tersebut.
Sebelum mencabut pembagian, pihak yang berwenang harus menghapus semua kunci dan rahasia yang mereka buat. Jika tidak, pencabutan akan gagal. Pastikan tidak ada sumber daya terkait yang masih digunakan untuk menghindari gangguan bisnis.
Lakukan operasi ini hanya di Konsol Berbagi Sumber Daya.
Masuk ke Konsol Berbagi Sumber Daya menggunakan akun manajemen.
Di panel navigasi kiri, pilih . Di halaman yang terbuka, temukan bagian sumber daya target dan klik ID-nya.
Di pojok kanan atas halaman yang muncul, klik Delete Resource Share. Pada kotak dialog Delete Resource Share, klik OK.
Terapkan di lingkungan produksi
Saat menerapkan dan menggunakan instans bersama di lingkungan produksi, ikuti panduan berikut untuk memastikan stabilitas sistem, keamanan, dan kepatuhan.
Konektivitas Jaringan
Jika aplikasi mandiri pihak yang berwenang diterapkan di VPC dan perlu mengakses KMS melalui gateway privat, pemilik instans harus menautkan VPC pihak tersebut ke instans KMS bersama untuk mengaktifkan akses internal. Untuk instruksi lebih lanjut, lihat Akses Instans KMS dari Beberapa VPC di Wilayah yang Sama.
Audit dan Kepatuhan
Pemilik Sumber Daya: Harus mengaktifkan ActionTrail untuk akun Anda guna mencatat semua operasi manajemen pada instans bersama serta operasi kunci yang dilakukan oleh pihak yang berwenang.
Pihak yang Berwenang: Kami menyarankan untuk mengaktifkan ActionTrail guna mencatat semua panggilan API dalam akun Anda.
Manajemen Perubahan:
Cabut Berbagi: Sebelum mencabut pembagian atau menghapus bagian sumber daya, pihak yang berwenang harus menghapus semua kunci dan rahasia yang mereka buat di instans bersama. Jika ada sumber daya yang tersisa, pencabutan akan gagal. Pastikan tidak ada sumber daya terkait yang sedang digunakan untuk menghindari gangguan bisnis. Untuk mempelajari cara mencabut pembagian, lihat Cabut Pembagian Instans KMS.
Ubah Pihak yang Berwenang: Menambah atau menghapus pihak yang berwenang dari bagian sumber daya memengaruhi semua sumber daya di dalam bagian tersebut. Untuk menghindari konflik izin, kami menyarankan membuat bagian sumber daya terpisah untuk skenario bisnis atau tim yang berbeda. Untuk mempelajari cara melakukan perubahan, lihat Ubah Pihak dari Bagian Sumber Daya.
Keterbatasan dan kuota
Keterbatasan Fitur
Kunci default tidak dapat dibagikan, seperti
alias/acs/oss.Pihak yang berwenang tidak dapat menggunakan instans KMS bersama lintas wilayah.
Dalam mode Kepemilikan Bersama, semua nama kunci dan rahasia dalam instans harus unik secara global.
Access Management Quota
Berbagi instans KMS mengonsumsi Access Management Quota pemilik sumber daya. Jika kuota tidak mencukupi, tingkatkan instans KMS segera.
Perhitungan Kuota:
Kuota terpakai = Jumlah akun yang dibagikan + Jumlah VPC yang ditautkan.Sebagai contoh, berbagi instans dengan 3 akun dan menautkannya ke 2 VPC mengonsumsi kuota sebesar 5.
Efektivitas Perubahan Kuota: Jika penambahan pihak gagal karena kuota tidak mencukupi, sistem tidak akan secara otomatis mencoba kembali operasi yang gagal setelah Anda meningkatkan kuota instans. Secara manual hapus pihak (akun atau folder) dari Bagian Sumber Daya, lalu tambahkan kembali.
FAQ
Mengapa setelah konfigurasi, pihak yang berwenang menerima kesalahan "AccessDenied" atau "Forbidden" saat memanggil API?
Periksa empat pengaturan izin berikut secara berurutan:
Izin berbagi sumber daya: Di Konsol Berbagi Sumber Daya, pastikan akun pihak yang berwenang telah ditambahkan ke bagian sumber daya dan status pembagian aktif.
Izin instans KMS: Verifikasi bahwa izin yang terkait dengan bagian sumber daya adalah
AliyunRSDefaultPermissionKMSInstance.Izin panggilan RAM: Pastikan pengguna RAM atau peran RAM yang melakukan panggilan API telah diberikan kebijakan RAM dengan izin untuk mengakses KMS seperti
kms:Encryptdankms:Decrypt.Kepemilikan sumber daya: Dalam mode Kepemilikan Mandiri, verifikasi bahwa pihak yang berwenang saat ini telah membuat kunci atau rahasia yang sedang dioperasikan.
Mengapa saya mendapatkan kesalahan konflik nama saat membuat rahasia dalam mode kepemilikan bersama?
Dalam mode kepemilikan bersama, semua nama kunci dan rahasia dalam instans KMS harus unik. Pemilik sumber daya dan pihak yang berwenang tidak diizinkan membuat sumber daya dengan nama yang sama.
Solusi 1: Pilih nama lain untuk rahasia tersebut.
Solusi 2: Jika skenario bisnis Anda memerlukan dukungan untuk kunci atau rahasia lintas akun dengan nama yang sama, ubah mode berbagi menjadi Kepemilikan Mandiri.
PeringatanPerubahan dari kepemilikan bersama ke kepemilikan mandiri tidak dapat dibatalkan. Evaluasi dengan hati-hati dampaknya sebelum melanjutkan.
Lampiran: Izin fitur dalam mode berbagi yang berbeda
Tabel berikut merinci izin operasional untuk pemilik sumber daya dan pihak yang berwenang terkait setiap fitur dalam dua mode berbagi.
Kepemilikan Bersama
Fitur | Sub-fitur | Pemilik instans | Pihak yang berwenang |
Manajemen Instans | Lihat detail instans KMS | ||
Konfigurasikan akses multi-VPC ke instans KMS | |||
Tingkatkan instans | |||
Perbarui instans | |||
Cabut berbagi | |||
Manajemen Kunci | Buat kunci | ||
Lihat metadata kunci | Catatan Berlaku untuk semua kunci, termasuk yang dibuat oleh pihak yang berwenang. | Catatan Hanya berlaku untuk kunci yang dibuat oleh pihak yang berwenang. | |
Atur rotasi kunci | |||
Jadwalkan penghapusan kunci | |||
Aktifkan perlindungan penghapusan | |||
Buat dan kelola alias kunci | |||
Tambah dan kelola tag kunci | |||
Operasi kriptografi | Tidak berlaku | ||
Manajemen Rahasia | Buat rahasia | ||
Lihat metadata rahasia | Catatan Berlaku untuk semua rahasia, termasuk yang dibuat oleh pihak yang berwenang. | Catatan Hanya berlaku untuk rahasia yang dibuat oleh pihak yang berwenang. | |
Hapus rahasia | |||
Atur rotasi rahasia | |||
Tambah dan kelola tag rahasia | |||
Dapatkan nilai rahasia | Tidak berlaku | ||
Manajemen Cadangan | Tidak berlaku | Catatan Dapat mencadangkan semua kunci dan rahasia, termasuk yang dibuat oleh pihak yang berwenang. | |
Akses Aplikasi | Buat titik akses aplikasi |
Kepemilikan Mandiri
Fitur | Sub-fitur | Pemilik instans | Pihak yang berwenang |
Manajemen Instans | Lihat detail instans KMS | ||
Konfigurasikan akses multi-VPC untuk instans KMS | |||
Tingkatkan instans | |||
Perbarui instans | |||
Cabut berbagi | |||
Manajemen Kunci | Buat kunci | ||
Lihat metadata kunci | Catatan Hanya kunci yang dibuat oleh pemilik instans yang didukung. | Catatan Hanya kunci yang dibuat oleh pihak yang berwenang yang didukung. | |
Atur rotasi kunci | |||
Jadwalkan penghapusan kunci | |||
Aktifkan perlindungan penghapusan | |||
Buat dan kelola alias kunci | |||
Tambah dan kelola tag kunci | |||
Operasi kriptografi | Tidak berlaku | ||
Manajemen Rahasia | Buat rahasia | ||
Lihat metadata rahasia | Catatan Hanya kunci yang dibuat oleh pemilik instans yang didukung. | Catatan Hanya rahasia yang dibuat oleh pihak yang berwenang yang didukung. | |
Hapus rahasia | |||
Atur rotasi rahasia | |||
Tambah dan kelola tag rahasia | |||
Dapatkan nilai rahasia | Tidak berlaku | ||
Manajemen Cadangan | Tidak berlaku | Catatan Hanya kunci yang dibuat oleh pemilik instans yang dapat dicadangkan. | |
Akses Aplikasi | Buat titik akses aplikasi |