應用接入專屬KMS基礎版實例后,專屬KMS將為您的業(yè)務數(shù)據(jù)和運行數(shù)據(jù)提供可靠、安全、合規(guī)的數(shù)據(jù)加密保護能力。本文為您介紹如何啟用專屬KMS基礎版實例、如何創(chuàng)建密鑰、以及如何讓應用接入實例。
前提條件
已經購買專屬KMS實例。具體操作,請參見開通密鑰管理服務。
您需要在專屬KMS實例所在地域創(chuàng)建VPC和交換機。具體操作,請參見創(chuàng)建專有網(wǎng)絡和交換機或創(chuàng)建交換機。
步驟一:啟用專屬KMS基礎版實例
購買專屬KMS基礎版實例后,您需要先啟用專屬KMS基礎版實例,設置實例所在的專有網(wǎng)絡和交換機信息,才能使用專屬KMS基礎版實例。
登錄密鑰管理服務控制臺。
在頁面左上角的地域下拉列表,選擇專屬KMS基礎版實例所在的地域。
在左側導航欄,單擊專屬KMS。
在專屬KMS頁面,單擊目標實例操作列的啟用。
在啟動專屬KMS實例對話框,設置相關參數(shù)。
VPC ID:選擇或輸入專屬KMS基礎版實例所在地域下的專有網(wǎng)絡ID。
VSwitch ID:專有網(wǎng)絡下的交換機ID。
單擊立即啟用。
請等待15~30分鐘,然后刷新頁面,當狀態(tài)變更為已啟用時,專屬KMS基礎版實例啟用成功。
如果您需要設置多VPC使用同一專屬KMS實例,單擊目標實例專有網(wǎng)絡列下的
圖標,配置專有網(wǎng)絡。在待選專有網(wǎng)絡中選中需要設置的專有網(wǎng)絡,單擊
圖標后,選擇該VPC內的一個交換機,單擊確定。說明您可以單擊目標實例操作列的詳情,在服務規(guī)格中會顯示當前實例支持關聯(lián)的VPC數(shù)量。
如果選擇關聯(lián)的VPC數(shù)量超過了關聯(lián)資源限制,您可以根據(jù)控制臺上的提示,單擊前往購買升級專有網(wǎng)絡數(shù)量的規(guī)格。
步驟二:為專屬KMS基礎版實例創(chuàng)建密鑰
當專屬KMS基礎版實例處于已啟用狀態(tài)時,您可以為專屬KMS基礎版實例創(chuàng)建密鑰,以便進行加密解密、簽名驗簽等操作。
在專屬KMS頁面,單擊目標實例操作列的管理。
在用戶主密鑰區(qū)域,單擊創(chuàng)建密鑰。
在創(chuàng)建密鑰對話框,設置以下參數(shù),單擊確定。
配置項
說明
密鑰類型
取值:
對稱密鑰的類型:
Aliyun_AES_256
非對稱密鑰的類型:
RSA_2048
RSA_3072
EC_P256
EC_P256K
關于密鑰類型的詳細內容,請參見密鑰服務概述。
密鑰用途
取值:
Encrypt/Decrypt:數(shù)據(jù)加密和解密。
Sign/Verify:產生和驗證數(shù)字簽名。
別名
用戶主密鑰的標識符。支持英文字母、數(shù)字、下劃線(_)、短劃線(-)和正斜線(/)。
描述
密鑰的說明信息。
步驟三:為專屬KMS基礎版實例創(chuàng)建憑據(jù)
如果您需要使用憑據(jù)管家的功能并在購買實例時設置了憑據(jù)數(shù)量,需要執(zhí)行本步驟,否則跳過本步驟。
- 在專屬KMS頁面,單擊目標實例的實例ID后,單擊憑據(jù)頁簽。
單擊創(chuàng)建憑據(jù),在創(chuàng)建憑據(jù)對話框中完成憑據(jù)配置,單擊下一步。
根據(jù)您的憑據(jù)類型不同,配置項不同。
通用憑據(jù):
配置項
說明
選擇憑據(jù)類型
選擇通用憑據(jù)。
憑據(jù)名稱
輸入自定義的憑據(jù)名稱。
設置憑據(jù)值
根據(jù)您要托管的敏感數(shù)據(jù)類型,選擇憑據(jù)鍵/值或純文本。
初始版本號
憑據(jù)的初始版本號。默認為v1,也支持自定義版本號。
描述信息
輸入憑據(jù)的描述信息。
加密主密鑰
選擇同實例的一個用戶主密鑰作為憑據(jù)的加密主密鑰。
托管RDS憑據(jù):
配置項
說明
選擇憑據(jù)類型
選擇托管RDS憑據(jù)。
憑據(jù)名稱
輸入自定義的憑據(jù)名稱。
選擇RDS實例
選擇阿里云賬號下已有的RDS實例。
設置憑據(jù)值
雙賬號托管(推薦):適用于程序化訪問數(shù)據(jù)庫場景。托管兩個相同權限的賬號,保證口令重置切換的瞬間,程序訪問不被中斷。
單擊一鍵創(chuàng)建和授權頁簽,配置賬號名、選擇數(shù)據(jù)庫并指定權限。
說明一鍵創(chuàng)建和授權不會立即為您配置新的賬號,而是在您審核確認憑據(jù)信息之后進行配置。
單擊導入已有賬號頁簽,選擇用戶名、配置口令。
說明建議您將口令配置為創(chuàng)建RDS實例用戶賬號時對應的密碼。如果導入的賬號和口令不匹配,您可以在憑據(jù)首次輪轉之后,獲取正確的賬號和口令。
單賬號托管:適用于高權限賬號或者人工運維賬號托管場景。口令重置切換的瞬間,憑據(jù)的當前版本可能暫時無法使用。
單擊一鍵創(chuàng)建和授權頁簽,配置賬號名、選擇賬號類型。
您可以選擇普通賬號和高權限賬號兩種賬號類型。當您選擇普通賬號時,還需選擇數(shù)據(jù)庫并指定權限。
單擊導入已有賬號頁簽,選擇用戶名、配置口令。
描述信息
輸入憑據(jù)的描述信息。
加密主密鑰
選擇同實例的一個用戶主密鑰作為憑據(jù)的加密主密鑰。
托管RAM憑據(jù):
配置項
說明
選擇憑據(jù)類型
選擇托管RAM憑據(jù)。
選擇RAM用戶
選擇您要托管憑據(jù)的RAM用戶,所選RAM用戶需要至少有一個AccessKey。
設置憑據(jù)值
在AccessKey ID右側輸入對應的AccessKey Secret。
說明建議您輸入正確的AccessKey Secret。如果AccessKey Secret不正確,您將在RAM憑據(jù)首次輪轉后獲取一組新的AccessKey ID和AccessKey Secret。
描述信息
輸入憑據(jù)的描述信息。
加密主密鑰
選擇同實例的一個用戶主密鑰作為憑據(jù)的加密主密鑰。
托管ECS憑據(jù):
配置項
說明
選擇憑據(jù)類型
選擇托管ECS憑據(jù)。
憑據(jù)名稱
輸入自定義的憑據(jù)名稱。
托管實例
選擇阿里云賬號下已有的ECS實例。
托管用戶
填寫ECS實例上已有的用戶名稱,例如:root(Linux系統(tǒng))或Administrator(Windows系統(tǒng))。
初始憑據(jù)值
選擇口令或密鑰對,填入對應的初始憑據(jù)值。
口令:用戶登錄ECS實例的密碼。
密鑰對:用戶登錄ECS實例的SSH密鑰對。
說明建議輸入正確的憑據(jù)值。如果輸入的憑據(jù)值不正確,在ECS憑據(jù)首次輪轉前,您從憑據(jù)管家獲取到的口令或密鑰對將不能正常登錄ECS實例。
描述信息
輸入憑據(jù)的描述信息。
加密主密鑰
選擇同實例的一個用戶主密鑰作為憑據(jù)的加密主密鑰。
步驟四:應用接入專屬KMS基礎版實例
如果您需要使用專屬KMS SDK對數(shù)據(jù)進行密鑰運算,才需執(zhí)行本步驟。當專屬KMS基礎版實例處于已啟用狀態(tài)時,您可以為專屬KMS基礎版實例快速創(chuàng)建應用接入點(AAP)和應用身份憑證(Client Key),以便應用程序正常訪問專屬KMS。您也可以獲取專屬KMS基礎版實例CA證書,以便驗證專屬KMS基礎版實例。
在專屬KMS頁面,找到目標專屬KMS基礎版實例,在操作列單擊詳情。
在應用接入指南區(qū)域,單擊快速創(chuàng)建應用接入點。
在快速配置應用身份憑證和權限面板,設置應用接入點信息。
輸入應用接入點名稱。
設置訪問控制策略。
允許訪問資源:默認填寫
Key/*secret/*,表示允許訪問當前專屬KMS基礎版實例的全部密鑰和憑據(jù)。允許網(wǎng)絡來源:允許訪問的網(wǎng)絡類型和IP地址。您可以設置私網(wǎng)IP地址或者私網(wǎng)網(wǎng)段,多個IP地址之間用半角逗號(,)分隔。
單擊創(chuàng)建。
在應用身份憑證對話框,獲取Client Key的憑證口令和應用身份憑證內容。
憑證口令:單擊復制口令,獲取憑證口令。
應用身份憑證內容:單擊下載應用身份憑證,保存應用身份憑證信息。
應用身份憑證信息包含憑證ID(KeyId)和憑證內容(PrivateKeyData),憑證內容為PKCS12格式Base64編碼。示例如下:
{ "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****", "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw==" }
說明專屬KMS不會保存Client Key的憑證口令和應用身份憑證內容,您只能在創(chuàng)建Client Key時獲取到該信息,請妥善保管。
單擊關閉。
應用接入點創(chuàng)建成功后,您可以在左側導航欄單擊應用管理查看應用接入點信息,包括認證方式、權限策略、網(wǎng)絡控制規(guī)則、Client Key等。您也可以更新應用接入點。具體操作,請參見管理應用接入點。
在應用接入指南區(qū)域,單擊獲取實例CA證書下方的下載,下載.pem格式的CA證書文件。
后續(xù)步驟
您可以使用專屬KMS SDK,通過訪問專屬KMS API調用密鑰管理服務。具體操作,請參見專屬KMS Java SDK、專屬KMS PHP SDK、專屬KMS Go SDK和專屬KMS Python SDK。