All Products
Search

This Product

    Resource Orchestration Service:ALIYUN::KMS::Key

    Document Center

    Resource Orchestration Service:ALIYUN::KMS::Key

    Last Updated:Mar 28, 2026

    Resource ALIYUN::KMS::Key digunakan untuk membuat kunci utama.

    Sintaks

    {
  "Type": "ALIYUN::KMS::Key",
  "Properties": {
    "KeyUsage": String,
    "Enable": Boolean,
    "PendingWindowInDays": Integer,
    "Description": String,
    "KeySpec": String,
    "EnableAutomaticRotation": Boolean,
    "RotationInterval": String,
    "ProtectionLevel": String,
    "DKMSInstanceId": String,
    "KeyUsage": String,
    "Policy": Map,
    "DeletionProtection": Boolean,
    "Tags": List
  }
}

    Properti

    Nama properti

    Tipe

    Wajib

    Dapat diperbarui

    Deskripsi

    Batasan

    DKMSInstanceId

    String

    Tidak

    Tidak

    ID instans dedicated KMS Anda.

    KMS yang sudah ada di-upgrade menjadi dedicated KMS. Untuk informasi selengkapnya mengenai upgrade tersebut, lihat [Pemberitahuan upgrade] KMS di-upgrade menjadi dedicated KMS.

    DeletionProtection

    Boolean

    Tidak

    Ya

    Menentukan apakah perlindungan penghapusan diaktifkan atau tidak.

    Nilai yang valid:

    • true: mengaktifkan perlindungan penghapusan.

    • false: menonaktifkan perlindungan penghapusan.

    Description

    String

    Tidak

    Ya

    Deskripsi kunci.

    Panjang deskripsi harus antara 0 hingga 8192 karakter.

    Enable

    Boolean

    Tidak

    Ya

    Menentukan apakah kunci diaktifkan atau dinonaktifkan.

    Nilai yang valid:

    • true (default): mengaktifkan kunci.

    • false: menonaktifkan kunci.

    KeyUsage

    String

    Tidak

    Tidak

    Penggunaan yang dimaksudkan untuk kunci tersebut.

    Nilai yang valid:

    • ENCRYPT/DECRYPT: mengenkripsi dan mendekripsi data.

    • SIGN/VERIFY: menghasilkan dan memverifikasi signature digital.

    Nilai default: SIGN/VERIFY jika kunci mendukung verifikasi signature. Jika tidak, nilai default-nya adalah ENCRYPT/DECRYPT.

    EnableAutomaticRotation

    Boolean

    Tidak

    Ya

    Menentukan apakah rotasi kunci otomatis diaktifkan atau tidak.

    Nilai yang valid:

    • true: mengaktifkan rotasi kunci otomatis.

    • false (default): menonaktifkan rotasi kunci otomatis.

    KeySpec

    String

    Tidak

    Tidak

    Tipe kunci.

    Nilai yang valid:

    • Aliyun_AES_256

    • Aliyun_SM4

    • RSA_2048

    • EC_P256

    • EC_P256K

    • EC_SM2

    Catatan

    Di Tiongkok daratan, kunci yang dibuat menggunakan HSM terkelola secara default menggunakan Aliyun_SM4. Di semua kasus lainnya, kunci secara default menggunakan Aliyun_AES_256.

    PendingWindowInDays

    Integer

    Tidak

    Tidak

    Periode penundaan penghapusan. Selama periode ini, Anda dapat membatalkan penghapusan kunci yang berada dalam status pending-deletion. Setelah periode ini berakhir, Anda tidak dapat membatalkan penghapusan tersebut.

    Nilai yang valid: 7 hingga 30.

    Nilai default: 30.

    Unit: hari.

    Policy

    Map

    Tidak

    Tidak

    Kebijakan kunci.

    Format JSON. Ukuran maksimum: 32768 byte.

    Untuk informasi selengkapnya mengenai kebijakan kunci, lihat Ikhtisar kebijakan kunci. Jika Anda tidak menentukan properti ini, kebijakan kredensial default akan digunakan.

    Kebijakan kunci mencakup elemen-elemen berikut:

    • Version: versi kebijakan kunci. Hanya versi 1 yang didukung.

    • Statement: satu atau beberapa pernyataan dalam kebijakan kunci.

    Kebijakan kunci memiliki format sebagai berikut:

    {
    "Version": "1",
    "Statement": [
        {
            "Sid": "Enable RAM User Permissions",
            "Effect": "Allow",
            "Principal": {
              "RAM": "acs:ram::112890462****:root"
            }
            "Action": [
                "kms:*"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

    ProtectionLevel

    String

    Tidak

    Tidak

    Tingkat perlindungan kunci.

    Nilai yang valid:

    • SOFTWARE (default)

    • HSM

    RotationInterval

    String

    Tidak

    Ya

    Interval waktu untuk rotasi kunci otomatis. Contoh: 365d.

    Format: integer[unit], di mana integer adalah durasi waktu dan unit adalah satuan waktu.

    Nilai yang valid untuk unit:

    • d: hari

    • h: jam

    • m: menit

    • s: detik

    Baik 7d maupun 604800s merepresentasikan interval 7 hari.

    Nilai yang valid: 7 hingga 730 hari.

    Tags

    List

    Tidak

    Ya

    label.

    Anda dapat menambahkan hingga 20 tag.

    Untuk informasi selengkapnya, lihat Properti Tags.

    Sintaks Tags

    "Tags": [
  {
    "Key": String,
    "Value": String
  }
]

    Properti Tags

    Nama properti

    Type

    Wajib

    Izinkan pembaruan

    Deskripsi

    Batasan

    Key

    String

    Ya

    Tidak

    kunci tag.

    Panjang: 1 hingga 128 karakter. Tidak boleh diawali dengan aliyun atau acs:. Tidak boleh mengandung http:// atau https://.

    Value

    String

    Tidak

    Tidak

    nilai tag.

    Panjang: 0 hingga 128 karakter. Tidak boleh diawali dengan aliyun atau acs:. Tidak boleh mengandung http:// atau https://.

    Nilai kembalian

    Fn::GetAtt

    KeyId: identifier unik global dari kunci tersebut.

    Contoh

    Skenario 1: Membuat kunci KMS menggunakan instans KMS yang sudah ada

    Buat cepat

    Metadata: {}
ROSTemplateFormatVersion: '2015-09-01'
Parameters:
  KMSInstance:
    Type: String
    Description:
      en: KMS Instance Id.
Resources:
  KMS-Key-bhs-registry-secret:
    Type: ALIYUN::KMS::Key
    Properties:
      DKMSInstanceId:
        Ref: KMSInstance
      DeletionProtection: false
      Enable: true
      EnableAutomaticRotation: true
      KeySpec: Aliyun_AES_256
      KeyUsage: ENCRYPT/DECRYPT
      PendingWindowInDays: 7
      RotationInterval: 30d

    {
  "Metadata": {
  },
  "ROSTemplateFormatVersion": "2015-09-01",
  "Parameters": {
    "KMSInstance": {
      "Type": "String",
      "Description": {
        "en": "KMS Instance Id."
      }
    }
  },
  "Resources": {
    "KMS-Key-bhs-registry-secret": {
      "Type": "ALIYUN::KMS::Key",
      "Properties": {
        "DKMSInstanceId": {
          "Ref": "KMSInstance"
        },
        "DeletionProtection": false,
        "Enable": true,
        "EnableAutomaticRotation": true,
        "KeySpec": "Aliyun_AES_256",
        "KeyUsage": "ENCRYPT/DECRYPT",
        "PendingWindowInDays": 7,
        "RotationInterval": "30d"
      }
    }
  }
}

    Skenario 2: Membuat instans KMS lalu membuat kunci KMS

    Buat cepat

    Metadata: {}
ROSTemplateFormatVersion: '2015-09-01'
Parameters:
  ProductVersion:
    Type: String
    Description:
      en: KMS Instance commodity type (software/software-small/hardware/hardware-small).
    AllowedValues:
      - software
      - software-small
      - hardware
      - hardware-small
    Required: true
Resources:
  KMSInstance:
    Type: ALIYUN::KMS::Instance
    Properties:
      ProductVersion:
        Ref: ProductVersion
  KMSKey:
    Type: ALIYUN::KMS::Key
    Properties:
      DKMSInstanceId:
        Ref: KMSInstance
      DeletionProtection: false
      Enable: true
      EnableAutomaticRotation: true
      KeySpec: Aliyun_AES_256
      KeyUsage: ENCRYPT/DECRYPT
      PendingWindowInDays: 7
      RotationInterval: 30d
  KMSAlias:
    Type: ALIYUN::KMS::Alias
    Properties:
      AliasName: bhs-registry-secretDev
      KeyId:
        Fn::GetAtt:
          - KMSKey
          - KeyId

    {
  "Metadata": {
  },
  "ROSTemplateFormatVersion": "2015-09-01",
  "Parameters": {
    "ProductVersion": {
      "Type": "String",
      "Description": {
        "en": "KMS Instance commodity type (software/software-small/hardware/hardware-small)."
      },
      "AllowedValues": [
        "software",
        "software-small",
        "hardware",
        "hardware-small"
      ],
      "Required": true
    }
  },
  "Resources": {
    "KMSInstance": {
      "Type": "ALIYUN::KMS::Instance",
      "Properties": {
        "ProductVersion": {
          "Ref": "ProductVersion"
        }
      }
    },
    "KMSKey": {
      "Type": "ALIYUN::KMS::Key",
      "Properties": {
        "DKMSInstanceId": {
          "Ref": "KMSInstance"
        },
        "DeletionProtection": false,
        "Enable": true,
        "EnableAutomaticRotation": true,
        "KeySpec": "Aliyun_AES_256",
        "KeyUsage": "ENCRYPT/DECRYPT",
        "PendingWindowInDays": 7,
        "RotationInterval": "30d"
      }
    },
    "KMSAlias": {
      "Type": "ALIYUN::KMS::Alias",
      "Properties": {
        "AliasName": "bhs-registry-secretDev",
        "KeyId": {
          "Fn::GetAtt": [
            "KMSKey",
            "KeyId"
          ]
        }
      }
    }
  }
}

    Untuk contoh lainnya, lihat Templat publik yang menyertakan resource ini.