本文介紹您在使用憑據的過程中可能遇到的問題。包括如何保障憑據的安全性,憑據是如何加密的,憑據一直提示在輪轉中,憑據狀態為不可用,在控制臺找不到憑據。
問題列表
KMS如何保障憑據的安全性
您在創建憑據時,需要指定同一個實例下的對稱密鑰用來加密憑據。KMS對憑據值使用該密鑰經信封加密后保存在您專屬的存儲空間。
KMS不會對憑據名稱、版本號、版本的標記狀態等元數據進行加密。
當您的應用程序請求憑據時,KMS通過RAM或應用接入點進行身份認證和訪問權限控制;在認證和權限檢查通過后,KMS解密憑據并通過TLS V1.2協議將其安全地傳輸給您的應用程序。
憑據是如何加密的
KMS通過信封加密的方式加密憑據值,信封加密中的密鑰即您在創建憑據時指定的密鑰。關于信封加密的詳細信息,請參見使用KMS密鑰進行信封加密。
設置輪轉策略或立即輪轉時,提示“您的憑據在輪轉中,請稍后再試”
憑據類型 | 可能原因 |
RAM憑據 | RAM憑據正在輪轉中。 RAM憑據輪轉需要一段時間(輪轉窗口)來完成,周期性自動輪轉的輪轉窗口約為48小時,立即輪轉的輪轉窗口為您設置的時長。 如果沒有在輪轉窗口內完成輪轉,請在訪問控制(RAM)中檢查RAM用戶是否仍存在。 |
RDS憑據 | 正常情況下,RDS憑據輪轉即時完成。 如果輪轉超過2分鐘沒有完成,請檢查RDS實例狀態及RDS賬號是否正常。 |
ECS憑據 | 正常情況下,ECS憑據輪轉即時完成。 如果輪轉超過2分鐘沒有完成,請檢查ECS實例狀態及ECS賬號是否正常。 |
憑據狀態為不可用或調用憑據相關API時返回“Rejected.Unavailable”
憑據所在的KMS實例已超期。
請在超期15個自然日內對KMS實例進行續費,否則KMS實例將被釋放。具體操作,請參見續費說明。
如果您暫時不使用KMS實例,但以后可能會用到該實例中的密鑰或憑據,建議您提前備份。具體操作,請參見備份管理。
在新版控制臺找不到已創建的憑據
新版控制臺僅展示KMS實例中管理的憑據。
對于部分使用舊版本KMS的用戶,不購買KMS實例也可以創建憑據,但創建的憑據不支持在新版控制臺查看,請返回舊版控制臺查看您創建的憑據。
檢驗RDS憑據的賬號,檢測結果為不成功
通常是RDS憑據關聯的RDS賬號或者RDS實例被刪除。建議您在RDS中查看相關賬號、實例是否存在。
創建RAM憑據,授權KMS訪問AK權限時,提示“沒有權限進行這個操作”
授權KMS訪問AK權限時出現如下圖提示,說明當前登錄的RAM賬號無權限操作云資源。請將授權鏈接發送至RAM管理員(有資源管理權限的RAM用戶或者主賬號),由RAM管理員完成授權操作。RAM管理員授權完畢后,返回RAM憑據創建頁,單擊刷新按鈕或退出重新進入。其他操作信息可參考步驟一:授予KMS管理RAM用戶AccessKey的權限。
