日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 密鑰管理服務 密鑰管理服務KMS 實踐教程 跨地域遷移密鑰

跨地域遷移密鑰

更新時間:
產品詳情
我的收藏

為便于更高效地為您提供優質服務,部分老舊地域和可用區的基礎設置需要升級改造,如果您收到了部分地域升級遷移通知,請您及時遷移KMS的密鑰和憑據。本文介紹如何跨地域遷移密鑰。

云產品加密

根據云產品加密數據遷移方案完成數據遷移,具體請查看對應云產品的官方文檔。

自建應用加密

重要

遷移前請先關閉密鑰輪轉功能。具體操作,請參見密鑰輪轉

KMS軟件密鑰管理實例中的密鑰

請在目標地域購買KMS軟件密鑰管理實例后,將密鑰通過備份恢復的方式遷移過去。以將A地域的KMS實例A中的密鑰,遷移到B地域的KMS實例B中為例進行介紹。

  1. 在B地域,創建并啟用KMS實例B。具體操作,請參見購買和啟用KMS實例

  2. 在A地域,備份實例A的數據。

    說明

    KMS在每個地域免費提供一個備份實例,支持備份一個KMS軟件密鑰管理實例的數據。如果您備份多個KMS軟件密鑰管理實例,需要額外購買備份實例。

    1. 登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊安全運營 > 災備管理 > 備份管理

    2. 備份管理頁面,定位到目標備份實例,單擊操作列的啟用

    3. 啟用備份對話框中,備份KMS實例選擇實例A,備份別名輸入自定義別名,然后單擊確認

      說明

      備份數據約需要5分鐘的時間,實例中的資源越多,所需要的備份時間越長。

  3. 將實例A的數據,恢復到實例B中。

    • 境內數據恢復

      1. 頁面上方選擇地域A,在備份管理頁面,單擊備份實例操作列的查看數據

      2. 全量密鑰頁簽勾選您要遷移的密鑰,在頁面下方單擊批量恢復

      3. 恢復備份數據面板,選擇恢復到B地域的KMS實例B中,單擊確定

    • 跨境數據恢復

      1. 頁面上方選擇地域A,在備份管理頁面,單擊備份實例操作列的下載

      2. 選擇備份日期后,單擊確定,請保存數據加密KEY并下載備份數據

      3. 在頁面上方選擇地域B,在在備份管理頁面,單擊上傳備份

      4. 輸入數據解密KEY備份名稱(自定義的備份別名)后,單擊確定選擇實例A的備份文件,完成上傳。

      5. 在備份列表中,定位到您上傳的備份文件,單擊操作列的查看數據

      6. 全量密鑰增量密鑰輪轉密鑰頁簽,單擊操作列的數據恢復,選擇恢復目標實例后,單擊確定

  4. 修改應用,調用B地域的KMS。

    操作類型

    說明

    管控類操作

    通過阿里云SDK實現,需要將endpoint修改為B地域的KMS服務Endpoint。KMS服務Endpoint,請參見地域和接入地址

    密碼運算操作

    通過KMS實例SDK實現,您需要替換代碼中的ClientKey、實例CA證書等。

    1. 在B地域創建訪問KMS實例B的應用接入點。具體操作,請參見創建應用接入點

      說明

      創建完成后,請您保存以下內容:

      • ClientKey文件:即應用身份憑證內容(ClientKeyContent),文件名默認為clientKey_****.json

      • ClientKey口令:即憑證口令(ClientKeyPassword),文件名默認為clientKey_****_Password.txt

      • KMS實例CA證書:文件名默認為PrivateKmsCA_kst-******.pem。

    2. 修改代碼。

      使用KMS實例B及新創建的ClientKey等內容替換KMS實例SDK初始化參數。以KMS實例SDK for Java為例,初始化Client實例時,您需要修改如下內容:

      • clientKeyFilePathclientKeyContent:替換為新的ClientKey文件。

      • clientKeyPass:替換為新的ClientKey口令。

      • endpoint:替換為KMS實例B的域名地址,格式為kst-hzz659dfeee864za2****.cryptoservice.kms.aliyuncs.com

      • caCertPathcaCert:替換為KMS實例B的CA證書。

KMS硬件密鑰管理實例中的密鑰、非KMS實例中的密鑰

KMS不支持遷移這部分密鑰,請參考下述方案實現解除對源地域密鑰的依賴。

  • 密鑰用途為加密解密(ENCRYPT/DECRYPT)

    不管您使用對稱密鑰,還是非對稱密鑰,整體流程類似。

    1. 在源地域將數據密文、數據密鑰密文全部解密。

    2. 將解密后的數據、數據密鑰遷移到目標地域。

    3. 在目標地域購買KMS實例,并使用KMS實例中的密鑰進行加密。

      1. 購買并啟用KMS實例。具體操作,請參見產品選型購買和啟用KMS實例

      2. 使用KMS實例加密自建應用的數據。具體操作,請參見使用KMS密鑰在線加密和解密數據使用KMS密鑰進行信封加密

    4. 建議您在源地域先禁用密鑰,最終確認密鑰沒有調用后,然后計劃刪除密鑰。具體操作,請參見禁用密鑰計劃刪除密鑰

  • 密鑰用途為簽名驗簽(SIGN/VERIFY)

    1. 在源地域下載主密鑰的公鑰,保存該公鑰直至不再需要使用該公鑰進行簽名驗證。

      登錄密鑰管理服務控制臺,參照下圖查看并保存公鑰。image.png

    2. 在目標地域購買并啟用KMS實例。具體操作,請參見產品選型購買和啟用KMS實例

    3. 在KMS實例中創建密鑰。具體操作,請參見軟件密鑰硬件密鑰

    4. 使用KMS實例SDK進行簽名驗簽。具體操作,請參見KMS實例SDK

    5. 建議您在源地域先禁用密鑰,最終確認密鑰沒有調用后,然后計劃刪除密鑰。具體操作,請參見禁用密鑰計劃刪除密鑰

非KMS實例中的密鑰,具體是指哪些?

登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域信息后,單擊密鑰管理頁面,所有在默認密鑰頁簽中展示的即非KMS實例中的密鑰。

說明

如果您使用的是KMS 3.0版本,默認密鑰頁簽會展示一個主密鑰,多個服務密鑰。如果您使用的舊版本KMS,默認密鑰頁簽會展示您所有的主密鑰(即下圖紅框中的主密鑰),但這些密鑰您在新版控制臺僅可查看,如您需要修改密鑰屬性,請返回舊版控制臺操作。

image.png