本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
KMS為您提供密鑰的全生命周期管理和安全存儲能力,本文介紹如何創建密鑰、禁用密鑰、開啟刪除保護、計劃刪除密鑰及為密鑰設置標簽。
創建密鑰
默認密鑰
默認密鑰包含服務密鑰、主密鑰,服務密鑰由云產品創建及管理生命周期,主密鑰由您創建及管理生命周期。您可以參考如下步驟創建主密鑰。
每個地域下,只支持您創建一個默認密鑰(主密鑰)。如您需要創建多個密鑰,建議購買KMS實例。
登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊。
在密鑰管理頁面,單擊默認密鑰頁簽。
單擊主密鑰操作列的啟用,完成配置項設置,然后單擊確定。
配置項
說明
密鑰別名
密鑰的別名標識符。支持英文字母、數字、下劃線(_)、短劃線(-)和正斜線(/)。
描述信息
自定義密鑰的說明信息。
高級設置
密鑰材料來源
阿里云KMS:密鑰材料將由KMS生成。
外部:KMS不會生成密鑰材料,您需要自行導入密鑰材料。更多信息,請參見導入對稱密鑰材料。
說明請仔細閱讀并選中我了解使用外部密鑰材料的方法和意義。
軟件密鑰
創建軟件密鑰前,請確保已購買并啟用KMS實例。具體操作,請參見購買和啟用KMS實例。
登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊。
在密鑰管理頁面,單擊用戶主密鑰頁簽,實例ID選擇軟件密鑰管理實例,單擊創建密鑰。
在創建密鑰面板,完成配置項設置,然后單擊確定。
配置項
說明
密鑰類型
選擇密鑰是對稱密鑰還是非對稱密鑰。
重要如果您創建的密鑰用于加密憑據值,請選擇對稱密鑰。
密鑰規格
密鑰的規格。關于密鑰規格遵循的標準、密鑰算法等詳細介紹,請參見密鑰管理類型和密鑰規格。
對稱密鑰規格:Aliyun_AES_256
非對稱密鑰規格:RSA_2048、RSA_3072、EC_P256、EC_P256K
密鑰用途
密鑰的用途。取值:
Encrypt/Decrypt:數據加密和解密。
Sign/Verify:產生和驗證數字簽名。
密鑰別名
密鑰的別名標識符。支持英文字母、數字、下劃線(_)、短劃線(-)和正斜線(/)。
標簽
密鑰的標簽,方便您對密鑰進行分類管理。每個標簽由一個鍵值對(Key:Value)組成,包含標簽鍵(Key)、標簽值(Value)。
說明標簽鍵和標簽值的格式:最多支持128個字符,可以包含英文大小寫字母、數字、正斜線(/)、反斜線(\)、下劃線(_)、短劃線(-)、半角句號(.)、加號(+)、等于號(=)、半角冒號(:)、字符at(@)、空格。
標簽鍵不能以aliyun或acs:開頭。
每個密鑰最多可以設置20個標簽鍵值對。
自動輪轉
僅對稱密鑰支持設置自動輪轉,開關默認開啟。詳細內容,請參見密鑰輪轉。
輪轉周期
支持設置為7~365天。
描述信息
密鑰的說明信息。
高級設置
密鑰的策略配置。
默認策略:如果密鑰由當前主賬號使用,或者資源共享單元中的主賬號使用,請選擇默認策略。
實例未共享給其他賬號:僅當前主賬號能管理及使用密鑰。
實例已共享給其他賬號:以主賬號1將KMS實例A共享給主賬號2為例介紹。
主賬號1創建的密鑰:僅主賬號1能管理及使用密鑰。
主賬號2創建的密鑰:主賬號1和主賬號2,都能管理及使用密鑰。
自定義策略:如果密鑰需要授權給RAM用戶、RAM角色,或授權給其他賬號使用,請選擇自定義策略。
重要選擇管理員、使用者時不消耗訪問管理數量配額。選擇其他賬號使用者時,會消耗KMS實例的訪問管理數量配額,按主賬號個數計算消耗的配額,如果您取消了授權,請等待約5分鐘,再查看配額,配額會返還。
管理員:對密鑰進行管控類操作,不支持密碼運算操作。支持選擇當前主賬號下的RAM用戶和RAM角色。
{ "Statement": [ { "Action": [ "kms:List*", "kms:Describe*", "kms:Create*", "kms:Enable*", "kms:Disable*", "kms:Get*", "kms:Set*", "kms:Update*", "kms:Delete*", "kms:Cancel*", "kms:TagResource", "kms:UntagResource", "kms:ImportKeyMaterial", "kms:ScheduleKeyDeletion" ] } ] }使用者:僅支持使用密鑰進行密碼運算操作。支持選擇當前主賬號下的RAM用戶和RAM角色。
{ "Statement": [ { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateAndExportDataKey", "kms:AsymmetricEncrypt", "kms:AsymmetricDecrypt", "kms:DescribeKey", "kms:DescribeKeyVersion", "kms:ListKeyVersions", "kms:ListAliasesByKeyId", "kms:TagResource" ] } ] }其他賬號使用者:使用密鑰進行加解密,可以是其他阿里云賬號的RAM用戶或RAM角色。
RAM用戶:格式為
acs:ram::<userId>:user/<ramuser>,例如acs:ram::119285303511****:user/testpolicyuser。RAM角色:格式為
acs:ram::<userId>:role/<ramrole>,例如acs:ram::119285303511****:role/testpolicyrole。說明授權給RAM用戶、RAM角色后,您仍需在訪問控制RAM側,使用該RAM用戶、RAM角色的主賬號為其授權使用該密鑰,RAM用戶、RAM角色才能使用該密鑰。
具體操作,請參見密鑰管理服務自定義權限策略參考、為RAM用戶授權、為RAM角色授權。
{ "Statement": [ { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateAndExportDataKey", "kms:AsymmetricEncrypt", "kms:AsymmetricDecrypt", "kms:DescribeKey", "kms:DescribeKeyVersion", "kms:ListKeyVersions", "kms:ListAliasesByKeyId", "kms:TagResource" ] } ] }
硬件密鑰
創建硬件密鑰前,請確保已購買并啟用KMS實例。具體操作,請參見購買和啟用KMS實例。
登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊。
在密鑰管理頁面,單擊用戶主密鑰頁簽,實例ID選擇硬件密鑰管理實例,單擊創建密鑰。
在創建密鑰面板,完成配置項設置,然后單擊確定。
配置項
說明
密鑰類型
選擇要創建的密鑰是對稱密鑰還是非對稱密鑰。
重要如果您創建的密鑰用于加密憑據值,請選擇對稱密鑰。
密鑰規格
密鑰的規格。關于密鑰規格遵循的標準、密鑰算法等詳細介紹,請參見密鑰管理類型和密鑰規格。
對稱密鑰規格:Aliyun_AES_256、Aliyun_AES_192、Aliyun_AES_128、Aliyun_SM4
非對稱密鑰規格:RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P256K、EC_SM2
密鑰用途
密鑰的用途。取值:
Encrypt/Decrypt:數據加密和解密。
Sign/Verify:產生和驗證數字簽名。
密鑰別名
密鑰的別名標識符。支持英文字母、數字、下劃線(_)、短劃線(-)和正斜線(/)。
標簽
密鑰的標簽,方便您對密鑰進行分類管理。每個標簽由一個鍵值對(Key:Value)組成,包含標簽鍵(Key)、標簽值(Value)。
說明標簽鍵和標簽值的格式:最多支持128個字符,可以包含英文大小寫字母、數字、正斜線(/)、反斜線(\)、下劃線(_)、短劃線(-)、半角句號(.)、加號(+)、等于號(=)、半角冒號(:)、字符at(@)、空格。
標簽鍵不能以aliyun或acs:開頭。
每個密鑰最多可以設置20個標簽鍵值對。
描述信息
密鑰的說明信息。
高級設置
策略配置
默認策略:如果密鑰由當前主賬號使用,或者資源共享單元中的主賬號使用,請選擇默認策略。
實例未共享給其他賬號:僅當前主賬號能管理及使用密鑰。
實例已共享給其他賬號:以主賬號1將KMS實例A共享給主賬號2為例介紹。
主賬號1創建的密鑰:僅主賬號1能管理及使用密鑰。
主賬號2創建的密鑰:主賬號1和主賬號2,都能管理及使用密鑰。
自定義策略:如果密鑰需要授權給RAM用戶、RAM角色,或授權給其他賬號使用,請選擇自定義策略。
重要選擇管理員、使用者時不消耗訪問管理數量配額。選擇其他賬號使用者時,會消耗KMS實例的訪問管理數量配額,按主賬號個數計算消耗的配額,如果您取消了授權,請等待約5分鐘,再查看配額,配額會返還。
管理員:對密鑰進行管控類操作,不支持密碼運算操作。支持選擇當前主賬號下的RAM用戶和RAM角色。
{ "Statement": [ { "Action": [ "kms:List*", "kms:Describe*", "kms:Create*", "kms:Enable*", "kms:Disable*", "kms:Get*", "kms:Set*", "kms:Update*", "kms:Delete*", "kms:Cancel*", "kms:TagResource", "kms:UntagResource", "kms:ImportKeyMaterial", "kms:ScheduleKeyDeletion" ] } ] }使用者:僅支持使用密鑰進行密碼運算操作。支持選擇當前主賬號下的RAM用戶和RAM角色。
{ "Statement": [ { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateAndExportDataKey", "kms:AsymmetricEncrypt", "kms:AsymmetricDecrypt", "kms:DescribeKey", "kms:DescribeKeyVersion", "kms:ListKeyVersions", "kms:ListAliasesByKeyId", "kms:TagResource" ] } ] }其他賬號使用者:使用密鑰進行加解密,可以是其他阿里云賬號的RAM用戶或RAM角色。
RAM用戶:格式為
acs:ram::<userId>:user/<ramuser>,例如acs:ram::119285303511****:user/testpolicyuser。RAM角色:格式為
acs:ram::<userId>:role/<ramrole>,例如acs:ram::119285303511****:role/testpolicyrole。說明授權給RAM用戶、RAM角色后,您仍需在訪問控制RAM側,使用該RAM用戶、RAM角色的主賬號為其授權使用該密鑰,RAM用戶、RAM角色才能使用該密鑰。
具體操作,請參見密鑰管理服務自定義權限策略參考、為RAM用戶授權、為RAM角色授權。
{ "Statement": [ { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateAndExportDataKey", "kms:AsymmetricEncrypt", "kms:AsymmetricDecrypt", "kms:DescribeKey", "kms:DescribeKeyVersion", "kms:ListKeyVersions", "kms:ListAliasesByKeyId", "kms:TagResource" ] } ] }
密鑰材料來源
外部密鑰
請確保已購買并啟用KMS外部密鑰管理實例。具體操作,請參見購買和啟用KMS實例。
請提前通過XKI Proxy代理服務,在密鑰管理設施中創建密鑰,并記錄密鑰ID。具體操作,請參見密鑰管理設施相關文檔。
登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊。
在密鑰管理頁面,單擊用戶主密鑰頁簽,實例ID選擇外部密鑰管理實例,單擊創建密鑰。
在創建密鑰面板,完成配置項設置,然后單擊確定。
配置項
說明
外部密鑰ID
通過XKI管理服務生成的密鑰的密鑰ID。
說明支持使用同一個外部密鑰ID創建一個或多個KMS密鑰。
密鑰規格
密鑰的規格。關于密鑰規格遵循的標準、密鑰算法等詳細介紹,請參見密鑰管理類型和密鑰規格。
Aliyun_AES_256、Aliyun_SM4
密鑰用途
密鑰的用途。
Encrypt/Decrypt:數據加密和解密。
密鑰別名
密鑰的別名標識符。支持英文字母、數字、下劃線(_)、短劃線(-)和正斜線(/)。
標簽
密鑰的標簽,方便您對密鑰進行分類管理。每個標簽由一個鍵值對(Key:Value)組成,包含標簽鍵(Key)、標簽值(Value)。
說明標簽鍵和標簽值的格式:最多支持128個字符,可以包含英文大小寫字母、數字、正斜線(/)、反斜線(\)、下劃線(_)、短劃線(-)、半角句號(.)、加號(+)、等于號(=)、半角冒號(:)、字符at(@)、空格。
標簽鍵不能以aliyun或acs:開頭。
每個密鑰最多可以設置20個標簽鍵值對。
描述信息
密鑰的說明信息。
高級設置
默認策略:如果密鑰由當前主賬號使用,或者資源共享單元中的主賬號使用,請選擇默認策略。
實例未共享給其他賬號:僅當前主賬號能管理及使用密鑰。
實例已共享給其他賬號:以主賬號1將KMS實例A共享給主賬號2為例介紹。
主賬號1創建的密鑰:僅主賬號1能管理及使用密鑰。
主賬號2創建的密鑰:主賬號1和主賬號2,都能管理及使用密鑰。
自定義策略:如果密鑰需要授權給RAM用戶、RAM角色,或授權給其他賬號使用,請選擇自定義策略。
重要選擇管理員、使用者時不消耗訪問管理數量配額。選擇其他賬號使用者時,會消耗KMS實例的訪問管理數量配額,按主賬號個數計算消耗的配額,如果您取消了授權,請等待約5分鐘,再查看配額,配額會返還。
管理員:對密鑰進行管控類操作,不支持密碼運算操作。支持選擇當前主賬號下的RAM用戶和RAM角色。
{ "Statement": [ { "Action": [ "kms:List*", "kms:Describe*", "kms:Create*", "kms:Enable*", "kms:Disable*", "kms:Get*", "kms:Set*", "kms:Update*", "kms:Delete*", "kms:Cancel*", "kms:TagResource", "kms:UntagResource", "kms:ImportKeyMaterial", "kms:ScheduleKeyDeletion" ] } ] }使用者:僅支持使用密鑰進行密碼運算操作。支持選擇當前主賬號下的RAM用戶和RAM角色。
{ "Statement": [ { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateAndExportDataKey", "kms:AsymmetricEncrypt", "kms:AsymmetricDecrypt", "kms:DescribeKey", "kms:DescribeKeyVersion", "kms:ListKeyVersions", "kms:ListAliasesByKeyId", "kms:TagResource" ] } ] }其他賬號使用者:使用密鑰進行加解密,可以是其他阿里云賬號的RAM用戶或RAM角色。
RAM用戶:格式為
acs:ram::<userId>:user/<ramuser>,例如acs:ram::119285303511****:user/testpolicyuser。RAM角色:格式為
acs:ram::<userId>:role/<ramrole>,例如acs:ram::119285303511****:role/testpolicyrole。說明授權給RAM用戶、RAM角色后,您仍需在訪問控制RAM側,使用該RAM用戶、RAM角色的主賬號為其授權使用該密鑰,RAM用戶、RAM角色才能使用該密鑰。
具體操作,請參見密鑰管理服務自定義權限策略參考、為RAM用戶授權、為RAM角色授權。
{ "Statement": [ { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateAndExportDataKey", "kms:AsymmetricEncrypt", "kms:AsymmetricDecrypt", "kms:DescribeKey", "kms:DescribeKeyVersion", "kms:ListKeyVersions", "kms:ListAliasesByKeyId", "kms:TagResource" ] } ] }
禁用密鑰
如果您不再需要使用密鑰,推薦您先禁用密鑰,確認不再使用后再刪除密鑰。密鑰被禁用后無法用于密碼運算。
開啟刪除保護
為密鑰開啟刪除保護后,您將無法通過控制臺或API刪除該密鑰,從而避免誤刪除密鑰。如果您確認需要刪除密鑰,要先關閉刪除保護。
待刪除狀態的密鑰無法開啟刪除保護。
登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊。
在密鑰管理頁面,在用戶主密鑰或默認密鑰頁簽,定位到目標密鑰,單擊操作列的詳情。
在密鑰詳情頁面,打開刪除保護開關。
在確認開啟對話框,確認無誤后,單擊開啟。
計劃刪除密鑰
KMS不支持直接刪除密鑰,僅支持計劃刪除密鑰,即通過設置預刪除周期,在到期后刪除密鑰。計劃刪除密鑰前請確保密鑰已經關閉刪除保護。
如果您不再使用密鑰,推薦您先禁用密鑰,確保不影響您的業務后再通過計劃刪除密鑰來進行刪除。
系統會在預刪除周期后刪除密鑰,使用該密鑰加密的內容及產生的數據密鑰也將無法解密。刪除密鑰前,請確認該密鑰已不再使用,否則會導致您的業務不可用。
圖標后,單擊計劃刪除密鑰。下載非對稱密鑰的公鑰
創建非對稱密鑰后,您可以下載密鑰對中的公鑰,不支持下載私鑰。
登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊。
在用戶主密鑰或默認密鑰頁簽,定位到目標密鑰,單擊操作列的詳情。
在密鑰版本頁簽,單擊操作列的查看公鑰。
在查看公鑰對話框中單擊下載。
密鑰關聯檢測
僅支持檢測該密鑰是否被ECS服務器用于服務端加密,不支持檢測是否被其它云產品用于加密,也不支持檢測是否被您的自建應用使用。
登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊。
在用戶主密鑰或默認密鑰頁簽,定位到目標密鑰,單擊操作列的詳情。
在密鑰關聯頁簽,單擊關聯檢測,等待約1分鐘后,單擊右側的
圖標,查看檢測結果。云產品:僅支持ECS。
最后一次調用時間:云產品向KMS訪問該密鑰的最近時間。
說明僅365天內的調用請求展示調用時間,對365天之前的調用,不展示最近一次調用時間。
檢測狀態:本次檢測狀態。如顯示失敗,請刷新后重試。
云產品查詢入口:云產品提供的查詢功能,查詢KMS密鑰用于加密云產品的哪個資源。
重要在ECS云盤密鑰關聯、ECS快照密鑰關聯查詢界面,僅展示當前賬號有權限訪問的云盤或快照。
根據檢測結果,如果密鑰仍被使用,請您謹慎刪除。
為密鑰配置標簽
密鑰的標簽,方便您對密鑰進行分類管理。每個標簽由一個鍵值對(Key:Value)組成,包含標簽鍵(Key)、標簽值(Value)。僅KMS實例中的密鑰支持設置標簽,默認密鑰暫不支持設置標簽。
標簽鍵和標簽值的格式:最多支持128個字符,可以包含英文大小寫字母、數字、正斜線(/)、反斜線(\)、下劃線(_)、短劃線(-)、半角句號(.)、加號(+)、等于號(=)、半角冒號(:)、字符at(@)、空格。
標簽鍵不能以aliyun或acs:開頭。
每個密鑰最多可以設置20個標簽鍵值對。
為單個密鑰配置標簽
方式 | 操作 |
方式一:在密鑰管理頁面配置標簽 |
|
方式二:在密鑰詳情頁面配置標簽 |
|
圖標。為多個密鑰批量配置標簽
登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊。
在密鑰管理頁面,選擇實例ID,在密鑰列表中勾選要操作的密鑰。
增加標簽:在密鑰列表的最下方,單擊增加標簽,輸入多個標簽鍵和標簽值后,單擊確認,然后在變更提示對話框中單擊關閉。
刪除標簽:在密鑰列表的最下方,單擊刪除標簽,在批量解綁標簽對話框勾選要解綁的標簽,單擊解綁標簽,然后在變更提示對話框中單擊關閉。