当专属KMS标准版实例处于已启用状态时,您可以根据需要查询专属KMS标准版实例、断开或者重新建立专属KMS标准版实例与密码机的连接、配置多VPC访问同一专属KMS实例、启用安全审计功能。

查询专属KMS标准版实例

您可以根据需要,查询专属KMS标准版实例ID、实例VPC地址、专有网络、专属密码机集群等信息。

实例VPC地址是每个专属KMS标准版实例专属的服务接入地址 (endpoint),格式为https://{实例ID}.cryptoservice.kms.aliyuncs.com

  1. 登录密钥管理服务控制台
  2. 在页面左上角的地域下拉列表,选择专属KMS标准版实例所在的地域。
    支持专属KMS标准版的地域为:华东1(杭州)、华东2(上海)、华北2(北京)、华南1(深圳)、中国香港、马来西亚(吉隆坡)和新加坡。
  3. 在左侧导航栏,单击专属KMS
  4. 找到目标专属KMS标准版实例,在操作列下单击详情

断开专属KMS标准版实例与密码机的连接

如果您需要解除专属KMS标准版实例和密码机集群的绑定关系,可以断开专属KMS标准版实例与密码机集群的连接。

  1. 登录密钥管理服务控制台
  2. 在页面左上角的地域下拉列表,选择专属KMS标准版实例所在的地域。
    支持专属KMS标准版的地域为:华东1(杭州)、华东2(上海)、华北2(北京)、华南1(深圳)、中国香港、马来西亚(吉隆坡)和新加坡。
  3. 在左侧导航栏,单击专属KMS
  4. 找到目标专属KMS标准版实例,在操作列下单击详情
  5. 单击专属密码机集群右侧的断开
  6. 断开对话框,单击断开
    状态变更为未启用,表示断开连接成功。

重新连接专属KMS标准版实例与密码机

假设您已经配置了专属KMS标准版实例并连接到密码机,如果手动断开连接后需要重新连接,无需指定密码机集群,只需配置访问凭据并单击连接密码机

  1. 登录密钥管理服务控制台
  2. 在页面左上角的地域下拉列表,选择专属KMS标准版实例所在的地域。
    支持专属KMS标准版的地域为:华东1(杭州)、华东2(上海)、华北2(北京)、华南1(深圳)、中国香港、马来西亚(吉隆坡)和新加坡。
  3. 在左侧导航栏,单击专属KMS
  4. 单击目标专属KMS标准版实例操作列的启用
  5. 连接密码机对话框,配置访问凭据,然后单击连接密码机
    几分钟后,状态从正在创建连接变更为已启用,表示重新连接成功。

配置多VPC访问同一专属KMS实例

专属KMS支持在同一地域下,同账号的多个VPC访问同一专属KMS实例,也支持跨账号的多个VPC访问同一专属KMS实例。

同账号的多个VPC访问专属KMS实例

  1. 登录密钥管理服务控制台
  2. 在页面左上角的地域下拉列表,选择专属KMS实例所在的地域。
  3. 在左侧导航栏,单击专属KMS
  4. 单击目标实例专有网络列的加号 图标。
  5. 配置专有网络对话框,选中待选专有网络中需要设置的专有网络,单击左箭头图标,选择该VPC内的一个交换机,单击确定
    说明
    • 您可以单击目标实例操作列的详情,在服务规格中会显示当前实例支持关联的VPC数量。
    • 如果选择关联的VPC数量超过了关联资源限制,您可以根据控制台上的提示,单击前往购买升级专有网络数量的规格。

跨账号的多个VPC访问同一专属KMS实例

本文以配置账号B、账号C的VPC访问账号A的专属KMS实例为例。
  1. 配置账号间VPC资源共享。具体操作,请参见将资源共享给任意账号仅在资源目录内共享资源
    1. 使用账号B和账号C分别登录资源共享控制台,创建共享单元,向账号A共享VPC内的交换机资源。
    2. 使用账号A登录资源共享控制台,接受账号B和账号C的共享邀请。
  2. 使用账号A登录密钥管理服务控制台
  3. 在页面左上角的地域下拉列表,选择专属KMS实例所在的地域。
  4. 在左侧导航栏,单击专属KMS
  5. 单击目标实例专有网络列的加号 图标。
  6. 配置专有网络对话框,选中待选专有网络中需要设置的专有网络,单击左箭头图标,选择该VPC内的一个交换机,单击确定
    说明
    • 您可以单击目标实例操作列的详情,在服务规格中会显示当前实例支持关联的VPC数量。
    • 如果选择关联的VPC数量超过了关联资源限制,您可以根据控制台上的提示,单击前往购买升级专有网络数量的规格。

启用安全审计

您在访问专属KMS标准版实例过程中会产生审计日志。审计日志中记录了实例的访问数据,包括调用实例时的请求信息、用户信息、被访问资源信息,以及访问结果等。日志文件示例如下:
2021-10-19T212021-10-19T21:40:01     [INFO]  - - 3dd60a7a-4587-4c57-8197-d749c3578974 CreateKey - TMP.3KfAHseF5DVULM2s8YUhdB8YvwM4nZA1wXr8AcAAhR7YhdyosXG2eSpsRFPMjYbvUArPRtsCWKzxEo88bC5w5LBfyp**** 111760096384**** 111760096384**** - kst-phzz6108e50c15333w**** - 37 - -40:01     [INFO]  - - 3dd60a7a-4587-4c57-8197-d749c3578974 CreateKey - TMP.3KfAHseF5DVULM2s8YUhdB8YvwM4nZA1wXr8AcAAhR7YhdyosXG2eSpsRFPMjYbvUArPRtsCWKzxEo88bC5w5LBfyp**** 111760096384**** 111760096384**** - kst-phzz6108e50c15333w**** - 37 - -

当您启用安全审计后,专属KMS会将审计日志以小时为单位投递到您指定的OSS存储空间,以应对监管要求和业务需求。审计启用安全审计前请确保您已经创建OSS存储空间。具体操作,请参见创建存储空间

说明 启用安全审计后,将在1小时内生成并投递审计日志。
  1. 登录密钥管理服务控制台
  2. 在页面左上角的地域下拉列表,选择专属KMS标准版实例所在的地域。
    支持专属KMS标准版的地域为:华东1(杭州)、华东2(上海)、华北2(北京)、华南1(深圳)、中国香港、马来西亚(吉隆坡)和新加坡。
  3. 在左侧导航栏,单击专属KMS
  4. 单击目标专属KMS标准版实例操作列的详情
  5. 专属KMS实例详情面板,打开安全审计开关。
  6. 配置安全审计对话框,选择日志存储位置
  7. 单击确定
    成功启用安全审计后,安全审计状态由未开启变为已开启。您也可以按需修改安全审计配置或者禁用安全审计。