Saat aplikasi Anda diterapkan di beberapa wilayah untuk skenario pemulihan bencana primary-standby atau active-active, gunakan sinkronisasi cross-region untuk mereplikasi kunci dan rahasia dari instans KMS primary ke instans replika di wilayah lain. Hal ini memastikan konsistensi resource kriptografi sehingga aplikasi di setiap wilayah dapat melakukan enkripsi dan dekripsi secara lokal. Topik ini menjelaskan cara menyinkronkan resource di berbagai instans KMS.
Cara kerja
Instans KMS mendukung sinkronisasi resource cross-region dan menyelesaikan proses sinkronisasi dalam hitungan menit. Setelah sinkronisasi cross-region dikonfigurasi, aplikasi bisnis yang menggunakan kunci KMS untuk enkripsi dapat mencapai geo-redundansi: aplikasi di wilayah primary mengakses instans KMS primary untuk operasi kriptografi, sedangkan dalam skenario pemulihan bencana, aplikasi di wilayah replika mengakses instans replika lokal.
KMS hanya menyinkronkan resource antara instans primary dan instans replika. Proses ini tidak mencakup sinkronisasi data bisnis tingkat aplikasi Anda, yang harus ditangani secara terpisah.
Cakupan
Persyaratan instans primary:
Instans harus dimiliki oleh akun yang sedang login dan belum pernah disinkronkan ke instans replika mana pun.
Instans harus merupakan instans manajemen kunci perangkat lunak dengan metode penagihan subscription.
Batasan instans replika:
Jumlah: Setiap instans primary dapat dikaitkan dengan maksimal tiga instans replika.
Wilayah: Instans primary dan semua instans replika harus berada di wilayah yang berbeda.
Resource: Instans replika tidak boleh memiliki kunci atau rahasia yang telah dibuat. Anda tidak dapat mengaitkan instans yang sudah berisi resource.
Kuota: Kuota kunci dan kuota rahasia pada instans replika harus lebih besar dari atau sama dengan kuota pada instans primary.
Penagihan: Instans replika harus menggunakan metode penagihan subscription.
Versi: Untuk menyinkronkan rahasia, baik instans primary maupun replika harus menggunakan versi 3.11.0 atau lebih baru.
Batasan lintas batas negara: Sinkronisasi lintas batas negara tidak didukung. Instans primary dan semua instans replika harus berada dalam batas geografis yang sama. Misalnya, jika instans primary berada di wilayah dalam Tiongkok daratan, semua instans replika juga harus berada di wilayah dalam Tiongkok daratan.
Detail sinkronisasi resource
Cakupan sinkronisasi
Baik kunci maupun rahasia didukung untuk sinkronisasi.
Kunci: ID kunci, versi kunci, bahan kunci, status kunci, dan perlindungan penghapusan disinkronkan. Kebijakan kunci, alias kunci, dan tag kunci tidak disinkronkan.
CatatanBahan kunci eksternal (BYOK) saat ini tidak didukung untuk sinkronisasi.
Rahasia: Rahasia umum, kredensial RAM, kredensial database, dan kredensial ECS terkelola disinkronkan.
CatatanSinkronisasi rahasia memerlukan instans primary dan replika menggunakan versi 3.11.0 atau lebih baru.
Logika rotasi
Saat rotasi otomatis diaktifkan untuk kunci yang telah dikonfigurasi dengan sinkronisasi cross-region, KMS melakukan langkah-langkah berikut untuk memastikan data terenkripsi tetap dapat didekripsi:
Menyinkronkan versi kunci yang baru dibuat ke semua instans replika terlebih dahulu.
Mempromosikan versi baru tersebut menjadi versi kunci utama secara simultan di instans primary dan semua instans replika.
Sinkronisasi kebijakan kunci
Tidak ada sinkronisasi otomatis: Kebijakan kunci tidak disinkronkan secara otomatis bersama kunci ke instans replika. Jika kebijakan kustom dikonfigurasi pada kunci instans primary, aplikasi yang mengakses instans replika melalui Alibaba Cloud SDK mungkin gagal karena izin tidak mencukupi.
Rekomendasi: Saat aplikasi menggunakan Alibaba Cloud SDK untuk melakukan operasi kriptografi, tinjau kebijakan kunci pada instans primary dan konfigurasikan secara manual kebijakan identik pada setiap instans replika. Hal ini memastikan aplikasi tetap memiliki akses ke kunci yang direplikasi. Untuk informasi selengkapnya, lihat Ikhtisar Kebijakan Kunci dan Kebijakan Kunci Kustom.
Frekuensi sinkronisasi
Setelah instans replika dikaitkan, sinkronisasi awal dijalankan segera dan membutuhkan waktu sekitar 3 hingga 5 menit. Selanjutnya, sinkronisasi dijalankan setiap menit.
Penanganan konflik
Jika kunci dengan ID yang sama sudah ada di instans replika, sistem akan melewati kunci tersebut dan melanjutkan sinkronisasi resource yang tersisa.
Prosedur
Beli dan aktifkan instans replika. Untuk informasi selengkapnya, lihat Beli instans KMS.
Login ke Konsol Key Management Service. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih .
Di panel navigasi kiri, pilih Cross-region Synchronization, lalu klik Add Replica Instance.
Di halaman Configure Replica Instance, pilih instans primary dan instans replika, lalu klik Next.
CatatanSynchronization Policy hanya mendukung
ignore, yang melewati resource duplikat ketika ID kunci atau nama rahasia yang sama ditemukan dan melanjutkan sinkronisasi resource yang tersisa.Di halaman Synchronize Resources, pilih jenis sinkronisasi untuk kunci dan rahasia, lalu klik Next.
Key Sync Type: Mendukung pemilihan ganda. Namun, Anda tidak dapat memilih Full Synchronization dan Synchronization of Selected Resources secara bersamaan.
Jenis sinkronisasi
Deskripsi
Full Synchronization
Hanya menyinkronkan kunci yang saat ini ada di instans primary. Kunci yang dibuat setelahnya tidak disinkronkan. Perubahan pada kunci yang telah disinkronkan akan disinkronkan secara otomatis.
Incremental Key Synchronization
Kunci yang sudah ada di instans primary tidak disinkronkan. Hanya kunci yang dibuat setelahnya yang disinkronkan.
Synchronization of Selected Resources
Hanya kunci yang Anda pilih yang disinkronkan. Perubahan pada kunci tersebut akan disinkronkan secara otomatis. Di panel resource kunci yang diperluas, pilih kunci yang akan disinkronkan dari sisi kiri.
Secret Sync Type: Mendukung pemilihan ganda. Namun, Anda tidak dapat memilih Full Synchronization dan Synchronization of Selected Resources secara bersamaan.
PentingSinkronisasi rahasia memerlukan instans primary dan replika menggunakan versi 3.11.0 atau lebih baru. Jika pemeriksaan versi gagal, tugas sinkronisasi rahasia tidak dapat dibuat. Tingkatkan versi instans terlebih dahulu.
Jenis sinkronisasi
Deskripsi
Full Synchronization
Menyinkronkan semua rahasia yang saat ini ada di instans primary. Rahasia yang dibuat setelahnya tidak disinkronkan.
Incremental Secret Sync
Rahasia yang sudah ada di instans primary tidak disinkronkan. Hanya rahasia yang dibuat setelahnya yang disinkronkan.
Synchronization of Selected Resources
Hanya rahasia yang Anda pilih yang disinkronkan. Perubahan pada rahasia tersebut akan disinkronkan secara otomatis. Di panel resource rahasia yang diperluas, pilih rahasia yang akan disinkronkan dari sisi kiri.
Konfirmasi konfigurasi dan klik Done. Proses sinkronisasi membutuhkan waktu sekitar 3 hingga 5 menit.
Di halaman hasil sinkronisasi, lihat hasil sinkronisasi dan alasan kegagalan (jika ada) di tab Result pada instans replika target.
Klik Close untuk kembali ke daftar tugas Cross-region Synchronization. Periksa progres sinkronisasi di kolom Synchronization Task pada instans primary target.
CatatanSistem secara otomatis menyinkronkan progres setiap menit. Progres sinkronisasi = (Jumlah kunci yang disinkronkan + Jumlah rahasia yang disinkronkan) / (Jumlah kunci yang akan disinkronkan + Jumlah rahasia yang akan disinkronkan) × 100%.
Langkah selanjutnya
Setelah membuat kredensial akses, aplikasi di wilayah primary dan replika dapat menggunakan kunci dari instans KMS masing-masing untuk operasi kriptografi. Untuk informasi selengkapnya, lihat Buat kredensial akses.
Alibaba Cloud SDK: Buat hanya satu kredensial akses. Hanya peran RAM yang entitas tepercayanya adalah layanan Alibaba Cloud yang didukung.
KMS Instance SDK (tidak direkomendasikan): Buat kredensial akses terpisah untuk instans primary dan setiap instans replika. Hanya ClientKey dari titik akses aplikasi (AAP) yang didukung. Untuk informasi selengkapnya, lihat Gunakan KMS Instance SDK.