专属KMS分为基础版和标准版,本文为您介绍如何购买并启用专属KMS基础版实例、如何创建密钥、以及如何让应用接入实例。

前提条件

请确保您已经在专属KMS基础版实例所在地域创建专有网络和交换机。具体操作,请参见创建专有网络和交换机创建交换机

操作流程

专属KMS基础版快速入门

步骤一:购买专属KMS基础版实例

  1. 登录密钥管理服务控制台
  2. 在左侧导航栏,单击专属KMS,在专属KMS页面单击购买专属KMS
  3. 在购买页面,设置相关参数。
    说明 定制实例密钥数量由系统默认填入,无需手动设置。
    • 版本:选择基础版
    • 地域:根据需要选择专属KMS实例所在地域。
    • 专有网络数量:根据需要选择专有网络VPC(Virtual Private Cloud)的数量。同一地域内多个VPC支持使用同一个专属KMS实例。
    • 购买数量:根据需要选择实例数量。最多支持同时购买20个实例。
    • 购买时长:根据需要选择购买时长。
      说明 您可以选中到期自动续费,当前实例到期后将自动续费。
  4. 确认总配置费用后,单击立即购买并完成支付
    支付成功后,专属KMS列表中会新增专属KMS基础版实例,状态未启用。您需要启用专属KMS基础版实例才能正常使用该实例。

步骤二:启用专属KMS基础版实例

购买专属KMS基础版实例后,您需要先启用专属KMS基础版实例,设置实例所在的专有网络和交换机信息,才能正常使用密钥管理服务。

  1. 专属KMS页面,找到目标专属KMS基础版实例,在操作列单击启用
  2. 启动专属KMS实例对话框,设置相关参数。
    • VPC ID:专属KMS基础版实例所在的专有网络ID。
    • VSwitch ID:专有网络下的交换机ID。
  3. 单击立即启用
    请等待15~30分钟,然后刷新页面,当状态变更为已启用时,专属KMS基础版实例启用成功。
  4. 如果您需要设置多VPC使用同一专属KMS实例,单击目标实例专有网络列下的加号,配置专有网络。
    待选专有网络中选中需要设置的专有网络,单击左箭头后,选择该VPC内的一个交换机,完成确定
    说明
    • 您可以单击目标实例操作列的详情,在服务规格中会显示当前实例支持关联的VPC数量。
    • 如果选择关联的VPC数量超过了关联资源限制,您可以根据控制台上的提示,单击前往购买升级专有网络数量的规格。

步骤三:为专属KMS基础版实例创建密钥

当专属KMS基础版实例处于已启用状态时,您可以为专属KMS基础版实例创建密钥,以便进行加密解密、签名验签等操作。

  1. 专属KMS页面,找到目标专属KMS基础版实例,在操作列单击管理
  2. 用户主密钥区域,单击创建密钥
  3. 创建密钥对话框,设置以下参数。
    配置项 说明
    密钥类型 取值:
    • 对称密钥的类型:
      • Aliyun_AES_256
    • 非对称密钥的类型:
      • RSA_2048
      • RSA_3072
      • EC_P256
      • EC_P256K
    密钥用途 取值:
    • Encrypt/Decrypt:数据加密和解密。
    • Sign/Verify:产生和验证数字签名。
    别名 用户主密钥的标识符。支持英文字母、数字、下划线(_)、短划线(-)和正斜线(/)。
    描述 密钥的说明信息。
  4. 单击确定

步骤四:应用接入专属KMS基础版实例

如果您需要使用专属KMS SDK对数据进行密钥运算,才需执行本步骤。当专属KMS基础版实例处于已启用状态时,您可以为专属KMS基础版实例快速创建应用接入点(AAP)和应用身份凭证(Client Key),以便应用程序正常访问专属KMS。您也可以获取专属KMS基础版实例CA证书,以便验证专属KMS基础版实例。

  1. 专属KMS页面,找到目标专属KMS基础版实例,在操作列单击详情
  2. 应用接入指南区域,单击快速创建应用接入点
  3. 快速配置应用身份凭证和权限面板,设置应用接入点信息。
    1. 输入应用接入点名称
    2. 设置访问控制策略
      • 允许访问资源:默认填写Key/*,表示允许访问当前专属KMS基础版实例的全部密钥。
      • 允许网络来源:允许访问的网络类型和IP地址。您可以设置私网IP地址或者私网网段,多个IP地址之间用半角逗号(,)分隔。
    3. 单击创建
  4. 应用身份凭证对话框,获取Client Key的凭证口令应用身份凭证内容
    • 凭证口令:单击复制口令,获取凭证口令。
    • 应用身份凭证内容:单击下载应用身份凭证,保存应用身份凭证信息。

      应用身份凭证信息包含凭证ID(KeyId)和凭证内容(PrivateKeyData),凭证内容为PKCS12格式Base64编码。示例如下:

      {
        "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
        "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
      }
    说明 专属KMS不会保存Client Key的凭证口令和应用身份凭证内容,您只能在创建Client Key时获取到该信息,请妥善保管。
  5. 单击关闭
    应用接入点创建成功后,您可以在左侧导航栏单击应用管理查看应用接入点信息,包括认证方式、权限策略、网络控制规则、Client Key等。您也可以更新应用接入点。具体操作,请参见管理应用接入点
  6. 应用接入指南区域,单击获取实例CA证书下方的下载,下载.pem格式的CA证书文件。

后续步骤

您可以使用专属KMS SDK,通过访问专属KMS API调用密钥管理服务。具体操作,请参见专属KMS Java SDK专属KMS PHP SDK专属KMS Go SDK专属KMS Python SDK