密鑰管理常見問題
本文介紹您在使用密鑰的過程中可能遇到的問題。
問題列表
KMS是否支持刪除密鑰
除服務(wù)密鑰外,其他的密鑰支持刪除。僅支持通過計(jì)劃刪除的方式刪除。
您可以設(shè)置7~366天的預(yù)刪除周期,在預(yù)刪除周期內(nèi)驗(yàn)證刪除密鑰對應(yīng)用程序和依賴它的用戶的影響,在預(yù)刪除周期內(nèi)您將無法使用該密鑰,如果確認(rèn)仍需使用,您可以在預(yù)刪除周期內(nèi)取消計(jì)劃刪除密鑰。在預(yù)刪除周期后,KMS會刪除該密鑰且無法恢復(fù)。關(guān)于如何計(jì)劃刪除密鑰,請參見計(jì)劃刪除密鑰。
在實(shí)際業(yè)務(wù)中,建議您先禁用密鑰,并再次確認(rèn)沒有需要使用該密鑰進(jìn)行解密的數(shù)據(jù)后,再通過計(jì)劃刪除密鑰的方式來刪除。關(guān)于如何禁用密鑰,請參見禁用密鑰。
KMS密鑰刪除后,使用該密鑰加密的用戶數(shù)據(jù)及產(chǎn)生的數(shù)據(jù)密鑰是否還可以解密
不可以。
KMS只支持通過計(jì)劃刪除密鑰的方式刪除密鑰,在您設(shè)置的預(yù)刪除周期后,密鑰會被刪除且無法恢復(fù)。在預(yù)刪除周期內(nèi),您可以取消刪除。
針對自行導(dǎo)入密鑰材料的密鑰,密鑰刪除后,即使您創(chuàng)建新密鑰并導(dǎo)入了同一個(gè)密鑰材料,使用原密鑰加密的數(shù)據(jù)也無法解密。
如果您僅刪除了自行導(dǎo)入的密鑰材料,沒有刪除密鑰,可以再次為該密鑰導(dǎo)入同一個(gè)密鑰材料,使得該密鑰可用,使用原密鑰加密的數(shù)據(jù)仍可被解密。
在實(shí)際業(yè)務(wù)中,建議您先禁用密鑰,確認(rèn)沒有使用該密鑰進(jìn)行解密的數(shù)據(jù)后,再通過計(jì)劃刪除密鑰的方式來刪除。
KMS如何保障密鑰的安全性
針對軟件密鑰,KMS構(gòu)建專屬您的數(shù)據(jù)庫,并使用安全可靠的加密算法對密鑰進(jìn)行安全存儲。
針對硬件密鑰,您需要先購買加密服務(wù)HSM,然后配置密碼機(jī)集群,密鑰存儲和密碼運(yùn)算均通過您獨(dú)享的密碼機(jī)集群進(jìn)行。
KMS是否支持導(dǎo)入密鑰材料
支持。
創(chuàng)建密鑰時(shí),您可以選擇由KMS生成密鑰材料,也可以選擇外部來源的密鑰材料。如果選擇了外部來源的密鑰材料,您需要將外部密鑰材料導(dǎo)入到密鑰中。具體操作,請參見導(dǎo)入對稱密鑰材料和導(dǎo)入非對稱密鑰材料。
密鑰狀態(tài)為不可用或調(diào)用密鑰相關(guān)API時(shí)返回“Rejected.Unavailable”
密鑰所在的KMS實(shí)例已超期。
請?jiān)诔?5個(gè)自然日內(nèi)對KMS實(shí)例進(jìn)行續(xù)費(fèi),否則KMS實(shí)例將被釋放。具體操作,請參見續(xù)費(fèi)說明。
如果您暫時(shí)不使用KMS實(shí)例,但以后可能會用到該實(shí)例中的密鑰或憑據(jù),建議您提前備份。具體操作,請參見備份管理。