本文介紹您在使用密鑰的過程中可能遇到的問題。
問題列表
KMS是否支持刪除密鑰
除服務密鑰外,其他的密鑰支持刪除。僅支持通過計劃刪除的方式刪除。
您可以設置7~366天的預刪除周期,在預刪除周期內驗證刪除密鑰對應用程序和依賴它的用戶的影響,在預刪除周期內您將無法使用該密鑰,如果確認仍需使用,您可以在預刪除周期內取消計劃刪除密鑰。在預刪除周期后,KMS會刪除該密鑰且無法恢復。關于如何計劃刪除密鑰,請參見計劃刪除密鑰。
在實際業務中,建議您先禁用密鑰,并再次確認沒有需要使用該密鑰進行解密的數據后,再通過計劃刪除密鑰的方式來刪除。關于如何禁用密鑰,請參見禁用密鑰。
KMS密鑰刪除后,使用該密鑰加密的用戶數據及產生的數據密鑰是否還可以解密
不可以。
KMS只支持通過計劃刪除密鑰的方式刪除密鑰,在您設置的預刪除周期后,密鑰會被刪除且無法恢復。在預刪除周期內,您可以取消刪除。
針對自行導入密鑰材料的密鑰,密鑰刪除后,即使您創建新密鑰并導入了同一個密鑰材料,使用原密鑰加密的數據也無法解密。
如果您僅刪除了自行導入的密鑰材料,沒有刪除密鑰,可以再次為該密鑰導入同一個密鑰材料,使得該密鑰可用,使用原密鑰加密的數據仍可被解密。
在實際業務中,建議您先禁用密鑰,確認沒有使用該密鑰進行解密的數據后,再通過計劃刪除密鑰的方式來刪除。
KMS如何保障密鑰的安全性
針對軟件密鑰,KMS構建專屬您的數據庫,并使用安全可靠的加密算法對密鑰進行安全存儲。
針對硬件密鑰,您需要先購買加密服務HSM,然后配置密碼機集群,密鑰存儲和密碼運算均通過您獨享的密碼機集群進行。
KMS是否支持導入密鑰材料
支持。
創建密鑰時,您可以選擇由KMS生成密鑰材料,也可以選擇外部來源的密鑰材料。如果選擇了外部來源的密鑰材料,您需要將外部密鑰材料導入到密鑰中。具體操作,請參見導入對稱密鑰材料和導入非對稱密鑰材料。
密鑰狀態為不可用或調用密鑰相關API時返回“Rejected.Unavailable”
密鑰所在的KMS實例已超期。
請在超期15個自然日內對KMS實例進行續費,否則KMS實例將被釋放。具體操作,請參見續費說明。
如果您暫時不使用KMS實例,但以后可能會用到該實例中的密鑰或憑據,建議您提前備份。具體操作,請參見備份管理。