當您需要自行管理并控制密鑰材料時,您可以在KMS實例中創建密鑰材料來源為外部的密鑰,然后導入您自己的密鑰材料。本文介紹如何為對稱密鑰導入密鑰材料。
如果您的軟件密鑰管理實例、硬件密鑰管理實例不支持導入密鑰材料,或者導入密鑰材料時返回失敗,請聯系阿里云技術支持升級實例。
功能介紹
密鑰是KMS的基本資源,由密鑰ID、基本元數據(如密鑰狀態等)以及密鑰材料組成。創建密鑰時,您可以選擇由KMS生成密鑰材料,也可以選擇外部來源的密鑰材料。如果選擇了外部來源的密鑰材料,您需要將外部密鑰材料導入到密鑰中,該功能通常被稱為自帶密鑰(BYOK)。
不同KMS密鑰管理類型對導入密鑰材料的支持情況,請參見下表。關于密鑰管理類型的更多信息,請參見密鑰管理類型和密鑰規格。
:表示支持導入相應的密鑰材料。
:表示不支持導入相應的密鑰材料。
密鑰管理類型 | 導入對稱密鑰材料 | 導入非對稱密鑰材料 |
默認密鑰 |
|
|
軟件密鑰 | √ | √ |
硬件密鑰 | √ | √ |
注意事項
請確保使用了符合要求的隨機數發生器生成密鑰材料。
為密鑰首次導入密鑰材料后,密鑰即和該密鑰材料綁定,不再支持導入其他密鑰材料。
您可以根據需要將相同的密鑰材料多次導入到KMS密鑰中,但不能將不同的密鑰材料導入到一個KMS密鑰。
如果密鑰的密鑰材料過期或被刪除,您可以為密鑰再次導入相同的密鑰材料,使得該密鑰再次可用,導入密鑰材料后不支持導出,因此請您妥善保管密鑰材料。
前提條件
已購買和啟用KMS實例。具體操作,請參見購買和啟用KMS實例。
為默認密鑰(主密鑰)導入密鑰材料時,無需購買KMS實例。
步驟一:創建密鑰材料來源為外部的對稱密鑰
導入密鑰材料前,請創建密鑰材料來源為外部的對稱密鑰。
默認密鑰(主密鑰)
登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊。
單擊默認密鑰頁簽,單擊主密鑰操作列的啟用,在創建密鑰頁簽完成配置項設置,然后單擊確定。
配置項
說明
密鑰別名
密鑰的標識符。支持英文字母、數字、下劃線(_)、短劃線(-)和正斜線(/)。
描述信息
密鑰的說明信息。
高級選項
密鑰材料來源。選擇外部(導入密鑰材料)。
說明請仔細閱讀并選中我了解使用外部密鑰材料的方法和意義。
軟件密鑰
登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊。
在用戶主密鑰頁簽,實例ID選擇軟件密鑰管理實例,單擊創建密鑰。
在創建密鑰面板,完成配置項設置,然后單擊確定。
配置項
說明
密鑰類型
選擇對稱密鑰。
重要如果您創建的密鑰用于加密憑據值,請選擇對稱密鑰。
密鑰規格
對稱密鑰規格:Aliyun_AES_256
密鑰用途
Encrypt/Decrypt:密鑰的用途,用于數據加密和解密。
密鑰別名
密鑰的別名標識符。支持英文字母、數字、下劃線(_)、短劃線(-)和正斜線(/)。
標簽
密鑰的標簽,方便您對密鑰進行分類管理。每個標簽由一個鍵值對(Key:Value)組成,包含標簽鍵(Key)、標簽值(Value)。
說明標簽鍵和標簽值的格式:最多支持128個字符,可以包含英文大小寫字母、數字、正斜線(/)、反斜線(\)、下劃線(_)、短劃線(-)、半角句號(.)、加號(+)、等于號(=)、半角冒號(:)、字符at(@)、空格。
標簽鍵不能以aliyun或acs:開頭。
每個密鑰最多可以設置20個標簽鍵值對。
描述信息
密鑰的說明信息。
高級選項
策略配置:詳細信息,請參見密鑰策略概述。
密鑰材料來源:選擇外部(導入密鑰材料)。
說明請仔細閱讀并選中我了解使用外部密鑰材料的方法和意義。
硬件密鑰
登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊。
在用戶主密鑰頁簽,實例ID選擇硬件密鑰管理實例,單擊創建密鑰。
在創建密鑰面板,完成配置項設置,然后單擊確定。
配置項
說明
密鑰類型
選擇對稱密鑰。
重要如果您創建的密鑰用于加密憑據值,請選擇對稱密鑰。
密鑰規格
對稱密鑰規格:Aliyun_AES_256、Aliyun_AES_192、Aliyun_AES_128、Aliyun_SM4
密鑰用途
密鑰的用途。取值:
Encrypt/Decrypt:數據加密和解密。
Sign/Verify:產生和驗證數字簽名。
密鑰別名
密鑰的別名標識符。支持英文字母、數字、下劃線(_)、短劃線(-)和正斜線(/)。
標簽
密鑰的標簽,方便您對密鑰進行分類管理。每個標簽由一個鍵值對(Key:Value)組成,包含標簽鍵(Key)、標簽值(Value)。
說明標簽鍵和標簽值的格式:最多支持128個字符,可以包含英文大小寫字母、數字、正斜線(/)、反斜線(\)、下劃線(_)、短劃線(-)、半角句號(.)、加號(+)、等于號(=)、半角冒號(:)、字符at(@)、空格。
標簽鍵不能以aliyun或acs:開頭。
每個密鑰最多可以設置20個標簽鍵值對。
描述信息
密鑰的說明信息。
高級選項
策略配置:詳細信息,請參見密鑰策略概述。
密鑰材料來源:選擇外部(導入密鑰材料)。
說明請仔細閱讀并選中我了解使用外部密鑰材料的方法和意義。
創建完成后,密鑰狀態為待導入。
步驟二:下載包裝公鑰和導入令牌
導入密鑰材料的參數包含包裝公鑰和導入令牌,包裝公鑰用于加密密鑰材料,在導入過程中保護您的密鑰材料,導入令牌用于導入密鑰材料。
定位到目標密鑰,單擊操作列的詳情,在密鑰材料區域,單擊獲取導入參數。
在獲取導入密鑰材料的參數對話框,選擇公鑰類型和加密算法,單擊下一步。
密鑰管理類型
包裝公鑰類型
加密算法
默認密鑰(主密鑰)
RSA_2048
RSAES_OAEP_SHA_1
RSAES_OAEP_SHA_256
RSAES_PKCS1_V1_5(不推薦)
軟件密鑰
RSA_2048
RSAES_OAEP_SHA_256
RSAES_PKCS1_V1_5(不推薦)
硬件密鑰
RSA_2048
RSAES_OAEP_SHA_256
RSAES_PKCS1_V1_5(不推薦)
EC_SM2
SM2PKE
重要RSAES_PKCS1_V1_5:美國國家標準與技術研究院(National Institute of Standards and Technology,NIST)關于密碼算法和密鑰長度的使用指導規范Transitioning the Use of Cryptographic Algorithms and Key Lengths中已明確表示2023年12月31日后應停止使用該加密算法用于加密傳輸密鑰。
RSAES_OAEP_SHA_1:RSA加密,按照RFC 3447/PKCS#1中定義的RSAES-OAEP模式,使用MGF1和SHA-1。
RSAES_OAEP_SHA_256:RSA加密,按照RFC 3447/PKCS#1中定義的RSAES-OAEP模式,使用MGF1和SHA-256。
SM2PKE:SM2橢圓曲線公鑰加密算法,符合標準《GM/T 0003.4 SM2 橢圓曲線公鑰密碼算法 第4部分:公鑰加密算法》
下載包裝公鑰以及導入令牌,并妥善保存。
公鑰格式:
pem格式:下載后文件名默認為publickey_******.pem。
der格式:下載后文件名默認為publickey_******.bin。
導入令牌:下載后文件名默認為token_******.txt。
重要導入令牌的有效期為24小時,在有效期內可以重復使用,失效后需要獲取新的導入令牌和公鑰。
包裝公鑰和導入令牌必須配套使用。即不允許下載兩次包裝公鑰和導入令牌,使用其中一個的包裝公鑰,另一個的導入令牌。
步驟三:使用包裝公鑰加密密鑰材料
使用步驟二:下載包裝公鑰和導入令牌下載的包裝公鑰和指定的包裝算法,對密鑰材料進行加密。
下面以使用OpenSSL生成密鑰材料,并通過RSA公鑰、RSAES_OAEP_SHA_256算法加密密鑰材料為例。
使用OpenSSL產生一個32字節的隨機數,生成一個密鑰材料。如果您已有密鑰材料,請跳過本步驟。
openssl rand -out KeyMaterial.bin 32根據指定的加密算法加密密鑰材料。
openssl pkeyutl -encrypt -in KeyMaterial.bin -inkey PublicKey.bin -keyform DER -pubin -out EncryptedKeyMaterial.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 -pkeyopt rsa_mgf1_md:sha256說明示例代碼中加密算法使用RSAES_OAEP_SHA_256。
示例代碼以公鑰格式為der格式為例,如果您下載公鑰文件時選擇了pem格式,需要將示例代碼中的
-keyform DER替換為-keyform PEM。請將PublicKey.bin替換為步驟二:下載包裝公鑰和導入令牌中下載的公鑰文件名稱。
將加密后的密鑰材料進行Base64編碼,保存為文本文件。
openssl enc -e -base64 -A -in EncryptedKeyMaterial.bin -out EncryptedKeyMaterial_base64.txt說明EncryptedKeyMaterial_base64.txt即為可導入KMS的密鑰材料文件。
步驟四:導入密鑰材料
在密鑰詳情頁面,單擊導入密鑰材料,在導入打包后的密鑰材料對話框,完成各項配置后,單擊確定。
配置項 | 說明 |
打包后的密鑰材料 | 上傳步驟三:使用包裝公鑰加密密鑰材料中生成的密鑰材料文件。 |
導入令牌 | 上傳步驟二:下載包裝公鑰和導入令牌中下載的令牌文件。 |
密鑰材料過期時間 | 支持選擇永不過期,也可以自定義過期時間。 重要 如果設置了密鑰材料過期時間,在設置的時間點之后KMS會刪除已過期的密鑰材料,您將無法使用該密鑰材料。如需恢復使用,可以為密鑰再次導入相同的密鑰材料。 |
導入密鑰材料成功后,密鑰狀態從待導入更新為啟用中。
常見問題
是否支持刪除密鑰材料?
支持刪除。
導入的密鑰材料過期或者被刪除后,其密鑰將無法使用,需要再次導入相同的密鑰材料才可正常使用。
直接刪除密鑰材料
控制臺:在密鑰詳情頁的密鑰材料區域,單擊刪除密鑰材料。
API接口:調用DeleteKeyMaterial接口刪除,該操作不會刪除您的密鑰。
過期后由KMS刪除
在導入密鑰材料時設置過期時間,在時間點之后KMS會刪除已過期的密鑰材料。
如何重新導入相同的密鑰材料?
密鑰材料過期或刪除后,您可以再次導入相同的密鑰材料,密鑰才可繼續使用。
刪除過期的密鑰材料。
在密鑰詳情頁,單擊密鑰材料頁簽,單擊刪除密鑰材料。
重新下載包裝公鑰和導入令牌。具體操作,請參見步驟二:下載包裝公鑰和導入令牌。
說明密鑰包裝過程不會影響密鑰材料的內容,因此,您可以使用不同的包裝公鑰和不同的包裝算法來導入相同的密鑰材料。
使用包裝公鑰加密密鑰材料。具體操作,請參見步驟三:使用包裝公鑰加密密鑰材料。
說明密鑰材料必須與之前過期的密鑰材料為同一個。
使用導入令牌,導入加密后的密鑰材料。具體操作,請參見步驟四:導入密鑰材料。
如何判斷密鑰材料是由外部導入還是由KMS生成?
方式一:在密鑰管理服務控制臺查看。
默認密鑰:在密鑰管理頁面,單擊默認密鑰頁簽,定位到目標密鑰,單擊操作列的詳情,在詳情頁面查看密鑰材料來源。
軟件密鑰、硬件密鑰:在密鑰管理頁面,單擊用戶主密鑰頁簽,選擇實例ID后定位到目標密鑰,單擊操作列的詳情,在詳情頁面查看密鑰材料來源。
方式二:通過調用DescribeKey接口查看。
如果
Origin值為EXTERNAL,說明密鑰材料由外部導入。如果Origin值為Aliyun_KMS,說明密鑰材料由KMS生成。
如何輪轉使用外部密鑰材料的密鑰?
對導入外部密鑰材料的密鑰,KMS不提供定期自動輪轉功能。如果您需要輪轉,只能創建一個新的密鑰然后導入新的密鑰材料。