Panggil ALIYUN::KMS::Key untuk membuat kunci utama - Resource Orchestration Service

Resource ALIYUN::KMS::Key digunakan untuk membuat kunci utama.

Sintaksis

{
  "Type": "ALIYUN::KMS::Key",
  "Properties": {
    "KeyUsage": String,
    "Enable": Boolean,
    "PendingWindowInDays": Integer,
    "Description": String,
    "KeySpec": String,
    "EnableAutomaticRotation": Boolean,
    "RotationInterval": String,
    "ProtectionLevel": String,
    "DKMSInstanceId": String,
    "KeyUsage": String,
    "Policy": Map,
    "DeletionProtection": Boolean,
    "Tags": List
  }
}

Properti

Nama properti	Tipe	Diperlukan	Updateable	Deskripsi	Constraint
DKMSInstanceId	String	Ya	Tidak	ID instans dedicated KMS Anda.	KMS yang sudah ada ditingkatkan menjadi dedicated KMS. Untuk informasi selengkapnya mengenai peningkatan ini, lihat [Pemberitahuan peningkatan] KMS ditingkatkan menjadi dedicated KMS.
DeletionProtection	Boolean	Tidak	Ya	Menentukan apakah perlindungan penghapusan diaktifkan.	Nilai yang valid: true: mengaktifkan perlindungan penghapusan. false: menonaktifkan perlindungan penghapusan.
Description	String	Tidak	Ya	Deskripsi kunci.	Panjang deskripsi harus antara 0 hingga 8192 karakter.
Enable	Boolean	Tidak	Ya	Menentukan apakah kunci diaktifkan atau dinonaktifkan.	Nilai yang valid: true (default): mengaktifkan kunci. false: menonaktifkan kunci.
KeyUsage	String	No	No	Penggunaan yang dimaksudkan untuk kunci tersebut.	Nilai yang valid: ENCRYPT/DECRYPT: mengenkripsi dan mendekripsi data. SIGN/VERIFY: menghasilkan dan memverifikasi signature digital. Nilai default: SIGN/VERIFY jika kunci mendukung verifikasi signature. Jika tidak, nilai default-nya adalah ENCRYPT/DECRYPT.
EnableAutomaticRotation	Boolean	Tidak	Ya	Menentukan apakah akan mengaktifkan rotasi kunci otomatis.	Nilai yang valid: true: mengaktifkan rotasi kunci otomatis. false (default): menonaktifkan rotasi kunci otomatis.
KeySpec	String	Tidak	Tidak	Jenis kunci.	Nilai yang valid: Aliyun_AES_256 Aliyun_SM4 RSA_2048 EC_P256 EC_P256K EC_SM2 Catatan Di Tiongkok daratan, kunci yang dibuat menggunakan HSM terkelola secara default menggunakan Aliyun_SM4. Di semua wilayah lain, kunci secara default menggunakan Aliyun_AES_256.
PendingWindowInDays	Integer	Tidak	Tidak	Periode penghapusan tertunda. Selama periode ini, Anda dapat membatalkan penghapusan kunci yang berada dalam status pending-deletion. Setelah periode ini berakhir, Anda tidak dapat membatalkan penghapusan tersebut.	Nilai yang valid: 7 hingga 30. Nilai default: 30. Unit: hari.
Policy	Map	Tidak	Tidak	Kebijakan kunci.	Format JSON. Ukuran maksimum: 32768 byte. Untuk informasi selengkapnya mengenai kebijakan kunci, lihat Ikhtisar kebijakan kunci. Jika Anda tidak menentukan properti ini, kebijakan kredensial default akan digunakan. Kebijakan kunci mencakup elemen-elemen berikut: Version: versi kebijakan kunci. Hanya versi 1 yang didukung. Statement: satu atau beberapa pernyataan dalam kebijakan kunci. Kebijakan kunci memiliki format sebagai berikut: `{ "Version": "1", "Statement": [ { "Sid": "Enable RAM User Permissions", "Effect": "Allow", "Principal": { "RAM": "acs:ram::112890462***:root" } "Action": [ "kms:" ], "Resource": [ "*" ] } ] }`
ProtectionLevel	String	Tidak	Tidak	Tingkat perlindungan kunci.	Nilai yang valid: SOFTWARE (default) HSM
RotationInterval	String	Tidak	Ya	Interval waktu untuk rotasi kunci otomatis. Contoh: `365d`.	Format: `integer[unit]`, di mana `integer` adalah durasi waktu dan `unit` adalah satuan waktu. Nilai yang valid untuk `unit`: d: hari h: jam m: menit s: detik Baik 7d maupun 604800s merepresentasikan interval 7 hari. Nilai yang valid: 7 hingga 730 hari.
Tags	List	Tidak	Ya	label.	Anda dapat menambahkan hingga 20 tag. Untuk informasi selengkapnya, lihat Properti Tags.

Sintaksis Tags

"Tags": [
  {
    "Key": String,
    "Value": String
  }
]

Properti Tags

Nama properti	Type	Wajib	Enable updates	Deskripsi	Constraint
Key	String	Ya	Tidak	Kunci tag.	Panjang: 1 hingga 128 karakter. Tidak boleh diawali dengan `aliyun` atau `acs:`. Tidak boleh mengandung `http://` atau `https://`.
Value	String	Tidak	Tidak	Nilai tag.	Panjang: 0 hingga 128 karakter. Tidak boleh diawali dengan `aliyun` atau `acs:`. Tidak boleh mengandung `http://` atau `https://`.

Nilai yang dikembalikan

Fn::GetAtt

KeyId: pengidentifikasi unik global dari kunci tersebut.

Contoh

Skenario 1: Membuat kunci KMS menggunakan instans KMS yang sudah ada

Buat cepat

YAML

Metadata: {}
ROSTemplateFormatVersion: '2015-09-01'
Parameters:
  KMSInstance:
    Type: String
    Description:
      en: KMS Instance Id.
Resources:
  KMS-Key-bhs-registry-secret:
    Type: ALIYUN::KMS::Key
    Properties:
      DKMSInstanceId:
        Ref: KMSInstance
      DeletionProtection: false
      Enable: true
      EnableAutomaticRotation: true
      KeySpec: Aliyun_AES_256
      KeyUsage: ENCRYPT/DECRYPT
      PendingWindowInDays: 7
      RotationInterval: 30d

JSON

{
  "Metadata": {
  },
  "ROSTemplateFormatVersion": "2015-09-01",
  "Parameters": {
    "KMSInstance": {
      "Type": "String",
      "Description": {
        "en": "KMS Instance Id."
      }
    }
  },
  "Resources": {
    "KMS-Key-bhs-registry-secret": {
      "Type": "ALIYUN::KMS::Key",
      "Properties": {
        "DKMSInstanceId": {
          "Ref": "KMSInstance"
        },
        "DeletionProtection": false,
        "Enable": true,
        "EnableAutomaticRotation": true,
        "KeySpec": "Aliyun_AES_256",
        "KeyUsage": "ENCRYPT/DECRYPT",
        "PendingWindowInDays": 7,
        "RotationInterval": "30d"
      }
    }
  }
}

Skenario 2: Membuat instans KMS lalu membuat kunci KMS

Buat cepat

YAML

Metadata: {}
ROSTemplateFormatVersion: '2015-09-01'
Parameters:
  ProductVersion:
    Type: String
    Description:
      en: KMS Instance commodity type (software/software-small/hardware/hardware-small).
    AllowedValues:
      - software
      - software-small
      - hardware
      - hardware-small
    Required: true
Resources:
  KMSInstance:
    Type: ALIYUN::KMS::Instance
    Properties:
      ProductVersion:
        Ref: ProductVersion
  KMSKey:
    Type: ALIYUN::KMS::Key
    Properties:
      DKMSInstanceId:
        Ref: KMSInstance
      DeletionProtection: false
      Enable: true
      EnableAutomaticRotation: true
      KeySpec: Aliyun_AES_256
      KeyUsage: ENCRYPT/DECRYPT
      PendingWindowInDays: 7
      RotationInterval: 30d
  KMSAlias:
    Type: ALIYUN::KMS::Alias
    Properties:
      AliasName: bhs-registry-secretDev
      KeyId:
        Fn::GetAtt:
          - KMSKey
          - KeyId

JSON

{
  "Metadata": {
  },
  "ROSTemplateFormatVersion": "2015-09-01",
  "Parameters": {
    "ProductVersion": {
      "Type": "String",
      "Description": {
        "en": "KMS Instance commodity type (software/software-small/hardware/hardware-small)."
      },
      "AllowedValues": [
        "software",
        "software-small",
        "hardware",
        "hardware-small"
      ],
      "Required": true
    }
  },
  "Resources": {
    "KMSInstance": {
      "Type": "ALIYUN::KMS::Instance",
      "Properties": {
        "ProductVersion": {
          "Ref": "ProductVersion"
        }
      }
    },
    "KMSKey": {
      "Type": "ALIYUN::KMS::Key",
      "Properties": {
        "DKMSInstanceId": {
          "Ref": "KMSInstance"
        },
        "DeletionProtection": false,
        "Enable": true,
        "EnableAutomaticRotation": true,
        "KeySpec": "Aliyun_AES_256",
        "KeyUsage": "ENCRYPT/DECRYPT",
        "PendingWindowInDays": 7,
        "RotationInterval": "30d"
      }
    },
    "KMSAlias": {
      "Type": "ALIYUN::KMS::Alias",
      "Properties": {
        "AliasName": "bhs-registry-secretDev",
        "KeyId": {
          "Fn::GetAtt": [
            "KMSKey",
            "KeyId"
          ]
        }
      }
    }
  }
}

Untuk contoh lainnya, lihat Templat publik yang menyertakan resource ini.