当专属KMS基础版实例处于已启用状态时,您可以根据需要查询专属KMS基础版实例详情,配置多VPC使用同一专属KMS基础版实例,为专属KMS基础版实例启用安全审计。

查询专属KMS基础版实例

您可以根据需要,查询专属KMS实例ID、实例VPC地址、专有网络等信息。

实例VPC地址是每个专属KMS实例自己专属的服务接入地址(endpoint),格式为https://{实例ID}.cryptoservice.kms.aliyuncs.com

  1. 登录密钥管理服务控制台
  2. 在页面左上角的地域下拉列表,选择专属KMS基础版实例所在的地域。
    支持专属KMS基础版的地域为:华东1(杭州)、华东2(上海)、华北2(北京)、华南1(深圳)。
  3. 在左侧导航栏,单击专属KMS
  4. 单击目标专属KMS基础版实例操作列的详情
  5. 专属KMS实例详情面板,查询专属KMS基础版实例详情。

配置多VPC访问同一专属KMS实例

专属KMS支持在同一地域下,同账号的多个VPC访问同一专属KMS实例,也支持跨账号的多个VPC访问同一专属KMS实例。

同账号的多个VPC访问专属KMS实例

  1. 登录密钥管理服务控制台
  2. 在页面左上角的地域下拉列表,选择专属KMS实例所在的地域。
  3. 在左侧导航栏,单击专属KMS
  4. 单击目标实例专有网络列的加号 图标。
  5. 配置专有网络对话框,选中待选专有网络中需要设置的专有网络,单击左箭头图标,选择该VPC内的一个交换机,单击确定
    说明
    • 您可以单击目标实例操作列的详情,在服务规格中会显示当前实例支持关联的VPC数量。
    • 如果选择关联的VPC数量超过了关联资源限制,您可以根据控制台上的提示,单击前往购买升级专有网络数量的规格。

跨账号的多个VPC访问同一专属KMS实例

本文以配置账号B、账号C的VPC访问账号A的专属KMS实例为例。
  1. 配置账号间VPC资源共享。具体操作,请参见将资源共享给任意账号仅在资源目录内共享资源
    1. 使用账号B和账号C分别登录资源共享控制台,创建共享单元,向账号A共享VPC内的交换机资源。
    2. 使用账号A登录资源共享控制台,接受账号B和账号C的共享邀请。
  2. 使用账号A登录密钥管理服务控制台
  3. 在页面左上角的地域下拉列表,选择专属KMS实例所在的地域。
  4. 在左侧导航栏,单击专属KMS
  5. 单击目标实例专有网络列的加号 图标。
  6. 配置专有网络对话框,选中待选专有网络中需要设置的专有网络,单击左箭头图标,选择该VPC内的一个交换机,单击确定
    说明
    • 您可以单击目标实例操作列的详情,在服务规格中会显示当前实例支持关联的VPC数量。
    • 如果选择关联的VPC数量超过了关联资源限制,您可以根据控制台上的提示,单击前往购买升级专有网络数量的规格。

启用安全审计

您在访问专属KMS基础版实例过程中会产生审计日志。审计日志中记录了对实例的访问数据,包括调用实例时的请求信息、用户信息、被访问资源的信息,以及访问结果等。日志文件示例如下:
2021-10-19T212021-10-19T21:40:01     [INFO]  - - 3dd60a7a-4587-4c57-8197-d749c3578974 CreateKey - TMP.3KfAHseF5DVULM2s8YUhdB8YvwM4nZA1wXr8AcAAhR7YhdyosXG2eSpsRFPMjYbvUArPRtsCWKzxEo88bC5w5LBfyp**** 111760096384**** 111760096384**** - kst-phzz6108e50c15333w**** - 37 - -40:01     [INFO]  - - 3dd60a7a-4587-4c57-8197-d749c3578974 CreateKey - TMP.3KfAHseF5DVULM2s8YUhdB8YvwM4nZA1wXr8AcAAhR7YhdyosXG2eSpsRFPMjYbvUArPRtsCWKzxEo88bC5w5LBfyp**** 111760096384**** 111760096384**** - kst-phzz6108e50c15333w**** - 37 - -

当您启用安全审计后,专属KMS会将审计日志以小时为单位投递到您指定的OSS存储空间。启用安全审计前请确保您已经创建OSS存储空间。具体操作,请参见创建存储空间

说明 启用安全审计后,将在1小时内生成并投递审计日志。
  1. 单击目标专属KMS基础版实例操作列的详情
  2. 专属KMS实例详情面板,打开安全审计开关。
  3. 配置安全审计对话框,选择日志存储位置
  4. 单击确定
    成功启用安全审计后,安全审计状态由未开启变为已开启。您也可以按需修改安全审计配置或者禁用安全审计。