應用接入專屬KMS標準版實例后,專屬KMS標準版將使用租戶獨享的密碼資源池(密碼機集群),實現資源隔離和密碼學隔離,為您的業務數據提供可靠、安全、合規的數據加密保護能力。本文介紹如何啟用專屬KMS標準版實例、如何創建密鑰、以及如何讓應用接入實例。
前提條件
已購買專屬KMS標準版實例。具體操作,請參見開通密鑰管理服務。
專屬KMS標準版實例需關聯同一阿里云賬號下已配置的加密服務密碼機集群。關于如何配置密鑰管理服務關聯的密碼機集群,請參見配置KMS硬件密鑰管理實例的密碼機集群。
步驟一:啟用專屬KMS標準版實例
登錄密鑰管理服務控制臺。
在專屬KMS頁面,找到目標專屬KMS標準版實例,在操作列單擊啟用。
在連接密碼機對話框,指定密碼機集群。
說明一個專屬KMS標準版實例只能綁定一個密碼機集群。
配置訪問憑據。
專屬KMS標準版實例與密碼機連接時采用雙向TLS認證,需要配置客戶端證書(帶保護口令的PKCS12格式證書)和安全域證書(為密碼機集群簽發TLS服務端證書的CA證書,PEM格式)。
客戶端保護口令:您在生成客戶端證書
client.p12時設置的保護口令。如果是使用證書文件生成工具(hsm_certificate_generate)生成,默認為12345678。客戶端證書:PKCS12格式證書。單擊選擇文件,選擇為密碼機實例創建雙向TLS認證中生成的
client.p12文件進行上傳。安全域證書:PEM格式CA證書。單擊選擇文件,選擇為密碼機實例創建雙向TLS認證中生成的
rootca.pem文件進行上傳。
單擊連接密碼機。
請等待幾分鐘,然后刷新頁面,當狀態變更為已啟用時,專屬KMS標準版實例啟用成功。
步驟二:為專屬KMS標準版實例創建密鑰
在專屬KMS頁面,找到目標專屬KMS標準版實例,單擊操作列的管理。
在用戶主密鑰區域,單擊創建密鑰,在創建密鑰對話框,配置以下參數后單擊確定。
參數名稱
說明
密鑰類型
密鑰的類型。取值:
對稱密鑰的類型:
Aliyun_AES_256
Aliyun_AES_128
Aliyun_AES_192
Aliyun_SM4
非對稱密鑰的類型:
RSA_2048
RSA_3072
RSA_4096
EC_SM2
EC_P256
EC_P256KHMAC_SHA512
密鑰用途
密鑰的用途。取值:
Encrypt/Decrypt:數據加密和解密。
Sign/Verify:產生和驗證數字簽名。
別名
用戶主密鑰的標識符。支持英文字母、數字、下劃線(_)、短劃線(-)和正斜線(/)。
描述
密鑰的說明信息。
高級選項
密鑰材料來源
阿里云KMS:密鑰材料將由專屬KMS生成。
外部:專屬KMS將不會生成密鑰材料,您需要將自己的密鑰材料導入專屬KMS。更多信息,請參見導入對稱密鑰材料。
說明請仔細閱讀并選中我了解使用外部密鑰材料的方法和意義。
附加密鑰用途:當密鑰類型為非對稱密鑰時,支持設置附加密鑰用途,讓一個密鑰具有多個用途。
步驟三:為專屬KMS標準版實例創建憑據
如果您需要使用憑據管家的功能并在購買實例時設置了憑據數量,需要執行本步驟,否則跳過本步驟。
- 在專屬KMS頁面,單擊目標實例的實例ID后,單擊憑據頁簽。
單擊創建憑據,在創建憑據對話框中完成憑據配置,單擊下一步。
根據您的憑據類型不同,配置項不同。
通用憑據:
配置項
說明
選擇憑據類型
選擇通用憑據。
憑據名稱
輸入自定義的憑據名稱。
設置憑據值
根據您要托管的敏感數據類型,選擇憑據鍵/值或純文本。
初始版本號
憑據的初始版本號。默認為v1,也支持自定義版本號。
描述信息
輸入憑據的描述信息。
加密主密鑰
選擇同實例的一個用戶主密鑰作為憑據的加密主密鑰。
托管RDS憑據:
配置項
說明
選擇憑據類型
選擇托管RDS憑據。
憑據名稱
輸入自定義的憑據名稱。
選擇RDS實例
選擇阿里云賬號下已有的RDS實例。
設置憑據值
雙賬號托管(推薦):適用于程序化訪問數據庫場景。托管兩個相同權限的賬號,保證口令重置切換的瞬間,程序訪問不被中斷。
單擊一鍵創建和授權頁簽,配置賬號名、選擇數據庫并指定權限。
說明一鍵創建和授權不會立即為您配置新的賬號,而是在您審核確認憑據信息之后進行配置。
單擊導入已有賬號頁簽,選擇用戶名、配置口令。
說明建議您將口令配置為創建RDS實例用戶賬號時對應的密碼。如果導入的賬號和口令不匹配,您可以在憑據首次輪轉之后,獲取正確的賬號和口令。
單賬號托管:適用于高權限賬號或者人工運維賬號托管場景。口令重置切換的瞬間,憑據的當前版本可能暫時無法使用。
單擊一鍵創建和授權頁簽,配置賬號名、選擇賬號類型。
您可以選擇普通賬號和高權限賬號兩種賬號類型。當您選擇普通賬號時,還需選擇數據庫并指定權限。
單擊導入已有賬號頁簽,選擇用戶名、配置口令。
描述信息
輸入憑據的描述信息。
加密主密鑰
選擇同實例的一個用戶主密鑰作為憑據的加密主密鑰。
托管RAM憑據:
配置項
說明
選擇憑據類型
選擇托管RAM憑據。
選擇RAM用戶
選擇您要托管憑據的RAM用戶,所選RAM用戶需要至少有一個AccessKey。
設置憑據值
在AccessKey ID右側輸入對應的AccessKey Secret。
說明建議您輸入正確的AccessKey Secret。如果AccessKey Secret不正確,您將在RAM憑據首次輪轉后獲取一組新的AccessKey ID和AccessKey Secret。
描述信息
輸入憑據的描述信息。
加密主密鑰
選擇同實例的一個用戶主密鑰作為憑據的加密主密鑰。
托管ECS憑據:
配置項
說明
選擇憑據類型
選擇托管ECS憑據。
憑據名稱
輸入自定義的憑據名稱。
托管實例
選擇阿里云賬號下已有的ECS實例。
托管用戶
填寫ECS實例上已有的用戶名稱,例如:root(Linux系統)或Administrator(Windows系統)。
初始憑據值
選擇口令或密鑰對,填入對應的初始憑據值。
口令:用戶登錄ECS實例的密碼。
密鑰對:用戶登錄ECS實例的SSH密鑰對。
說明建議輸入正確的憑據值。如果輸入的憑據值不正確,在ECS憑據首次輪轉前,您從憑據管家獲取到的口令或密鑰對將不能正常登錄ECS實例。
描述信息
輸入憑據的描述信息。
加密主密鑰
選擇同實例的一個用戶主密鑰作為憑據的加密主密鑰。
步驟四:應用接入專屬KMS標準版實例
創建應用接入點AAP(Application Access Point),控制應用正常訪問專屬KMS標準版實例。
在專屬KMS頁面,找到目標專屬KMS標準版實例,單擊操作列的詳情。
在應用接入指南區域,單擊快速創建應用接入點。
在快速配置應用身份憑證和權限面板,設置應用接入點信息后,單擊創建。
輸入應用接入點名稱。
設置訪問控制策略。
允許訪問資源:默認填寫
Key/*secret/*,表示允許訪問當前專屬KMS標準版實例的全部密鑰和憑據。允許網絡來源:允許訪問的網絡類型和IP地址。您可以設置私網IP地址或者私網網段,多個IP地址之間用半角逗號(,)分隔。
在應用身份憑證對話框,獲取憑證口令和應用身份憑證內容(Client Key)。
憑證口令:單擊復制口令,獲取憑證口令。
應用身份憑證內容:單擊下載應用身份憑證,保存應用身份憑證信息。
應用身份憑證信息包含憑證ID(KeyId)和憑證內容(PrivateKeyData),憑證內容為PKCS12格式Base64編碼。示例如下:
{ "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****", "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw==" }說明KMS不會保存Client Key的憑證口令和應用身份憑證內容,您只能在創建Client Key時獲取到該信息,請妥善保管。
單擊關閉。
獲取CA證書,以便驗證專屬KMS標準版實例。
在應用接入指南區域,單擊獲取實例CA證書下方的下載,下載.pem格式的CA證書文件。
后續步驟
您可以使用專屬KMS SDK,通過訪問專屬KMS API調用密鑰管理服務。具體操作,請參見專屬KMS Java SDK、專屬KMS PHP SDK、專屬KMS Go SDK和專屬KMS Python SDK。