將共享版KMS的資源遷移到KMS實例
如果您使用的是阿里云共享版KMS,為了獲得更高的產(chǎn)品性能及體驗建議您使用KMS實例。本文介紹如何將共享版KMS的資源遷移到KMS實例。
資源支持遷移到同地域下的KMS軟件密鑰管理實例或者硬件密鑰管理實例。在一個地域內(nèi),密鑰在該地域內(nèi)具有唯一性,憑據(jù)在該地域下的阿里云賬號內(nèi)具有唯一性,遷移后僅在KMS實例中存儲。
遷移后自建應(yīng)用可以繼續(xù)使用原有SDK,無須變更代碼或應(yīng)用程序。
提交遷移任務(wù)后,在遷移完成前,密鑰、憑據(jù)、KMS實例都無法執(zhí)行管控類操作,例如創(chuàng)建、修改、刪除資源。
Terraform場景下,由于遷移完成后資源會增加實例ID屬性,為了避免執(zhí)行管控操作時資源被釋放,請務(wù)必在遷移完成后修改Terraform配置。詳細(xì)內(nèi)容,請參見Terraform場景下遷移后如何修改配置。
快速判斷是否有需要遷移的資源
登錄舊版密鑰管理控制臺,在左側(cè)目錄單擊遷移工具。
選取如下方式之一,判斷是否有需要遷移的資源。
重要數(shù)據(jù)按照地域維度展示,請查看所有地域的數(shù)據(jù),避免遺漏。
方式一:查看下圖紅框處數(shù)據(jù),數(shù)據(jù)大于0,表示該地域有需要遷移的密鑰或憑據(jù)。
方式二:當(dāng)遷移按鈕可操作時,表示該地域有需要遷移的密鑰或憑據(jù)。
遷移前
明確遷移資源。
類型
子項
是否需要遷移
說明
密鑰
服務(wù)密鑰
不需要
服務(wù)密鑰是云產(chǎn)品配置服務(wù)端加密時,云產(chǎn)品自動創(chuàng)建的密鑰。別名為固定格式
alias/acs/<云產(chǎn)品>。用戶主密鑰
需要
僅支持遷移保護(hù)級別為軟件(Software)的密鑰,且僅支持遷移如下規(guī)格:Aliyun_AES_256(單版本)、Aliyun_AES_256(多版本)、RSA_2048(單版本)、EC_P256(單版本)、EC_P256K(單版本),遷移其他規(guī)格密鑰請聯(lián)系阿里云技術(shù)支持。
KMS會遷移用戶主密鑰的元數(shù)據(jù)以及密鑰材料,元數(shù)據(jù)包含:密鑰ID、密鑰狀態(tài)、刪除保護(hù)、別名、標(biāo)簽等。遷移后這些數(shù)據(jù)不發(fā)生改變。
BYOK、多版本密鑰均支持遷移,BYOK密鑰KMS會直接遷移密鑰材料,無需您手動上傳,多版本密鑰KMS會遷移所有密鑰版本。
憑據(jù)
需要
通用憑據(jù)、RAM憑據(jù)、RDS憑據(jù)、ECS憑據(jù)均需要遷移。
開啟自動輪轉(zhuǎn)的憑據(jù)支持遷移。
KMS會遷移憑據(jù)的元數(shù)據(jù)以及所有憑據(jù)版本,元數(shù)據(jù)包含:憑據(jù)名稱、憑據(jù)狀態(tài)、標(biāo)簽等。遷移后這些數(shù)據(jù)不發(fā)生改變。
遷移憑據(jù)時,請同步遷移加密該憑據(jù)的主密鑰。
確定目標(biāo)KMS實例類型,并規(guī)劃實例中的密鑰數(shù)量、憑據(jù)數(shù)量。
請根據(jù)下表中待遷移的密鑰規(guī)格,以及KMS實例支持的功能特性,選擇購買哪類KMS實例。關(guān)于KMS實例的功能特性介紹,請參見產(chǎn)品選型。√表示支持遷移到該類型實例中,×表示不支持遷移到該類型實例中。
待遷移密鑰規(guī)格
軟件密鑰管理實例
硬件密鑰管理實例
Aliyun_AES_256(單版本)
√
√
Aliyun_AES_256(多版本)
√
×
RSA_2048(單版本)
√
√
EC_P256(單版本)
√
√
EC_P256K(單版本)
√
√
如果密鑰和憑據(jù)設(shè)置了自動輪轉(zhuǎn),為確保遷移前后版本保持一致,遷移前請手動關(guān)閉自動輪轉(zhuǎn)。具體操作,請參見自動輪轉(zhuǎn)密鑰、管理動態(tài)RDS憑據(jù)、管理動態(tài)RAM憑據(jù)或管理動態(tài)ECS憑據(jù)。
遷移步驟
單個阿里云賬號內(nèi)遷移資源
購買和啟用KMS實例。具體操作,請參見購買和啟用KMS實例。
推薦您為KMS實例開啟自動續(xù)費(fèi),避免實例到期后釋放應(yīng)用數(shù)據(jù)無法解密發(fā)生故障。
登錄舊版密鑰管理控制臺,在左側(cè)目錄單擊遷移工具。
找到待遷移的資源所在地域,單擊操作列的遷移,在遷移資源頁簽完成各項配置。
配置項
說明
實例類型
目標(biāo)KMS實例的類型。
實例
選擇目標(biāo)KMS實例。
遷移方式
自動遷移:選擇遷移時間,到期后自動遷移。
立即手動遷移:配置后立即遷移。
遷移時間
選擇自動遷移時,才需要設(shè)置。
遷移資源
手動選擇遷移資源:手動選擇資源,每次選擇的密鑰和憑據(jù)總數(shù)不超過50個。
待遷移密鑰和憑據(jù)全量遷移:遷移所有的密鑰和憑據(jù)。
請仔細(xì)閱讀遷移須知后,單擊確定,確認(rèn)遷移清單后單擊遷移。
您可以在任務(wù)狀態(tài)列查看遷移進(jìn)展,遷移結(jié)束后會提示遷移完成。
如果遷移前密鑰和憑據(jù)設(shè)置了自動輪轉(zhuǎn),遷移后請重新設(shè)置輪轉(zhuǎn)。具體操作,請參見密鑰輪轉(zhuǎn)、憑據(jù)管理概述。
將多個賬號下的資源遷移到一個KMS實例
在一個阿里云賬號下,購買和啟用KMS實例。具體操作,請參見購買和啟用KMS實例。
推薦您為KMS實例開啟自動續(xù)費(fèi),避免實例到期后釋放應(yīng)用數(shù)據(jù)無法解密發(fā)生故障。
將KMS實例共享給其他阿里云賬號。具體操作,請參見多賬號共享KMS實例中的步驟一~步驟三。
重要僅支持資源目錄內(nèi)共享,且資源所有者和資源使用者是同一個企業(yè)實名認(rèn)證主體。
將各賬號下的資源遷移到該KMS實例。
登錄對應(yīng)阿里云賬號,操作步驟與遷移單個阿里云賬號內(nèi)資源相同。
遷移后
遷移后KMS會為密鑰、憑據(jù)設(shè)置默認(rèn)策略。詳細(xì)介紹,請參見密鑰策略概述、憑據(jù)策略概述。
請登錄新版控制臺,查看并確認(rèn)遷移后的資源。
服務(wù)密鑰
單擊密鑰管理頁面,在頂部菜單欄選擇地域后,單擊默認(rèn)密鑰頁簽,密鑰用法列為服務(wù)密鑰的,即為服務(wù)密鑰。
用戶主密鑰
單擊密鑰管理頁面,在頂部菜單欄選擇地域后,單擊用戶主密鑰頁簽,該頁簽下即用戶主密鑰。
憑據(jù)
單擊憑據(jù)管理頁面,在頂部菜單欄選擇地域后,選擇KMS實例,展示的即該實例下的憑據(jù)。
