备案控制台
文档
产品文档
输入文档关键字查找
首页 密钥管理服务 快速入门 购买和启用KMS实例

购买和启用KMS实例

更新时间:
一键部署
产品详情
相关技术圈
我的收藏

KMS实例提供密钥和凭据相关功能,您可以使用密钥对敏感数据加解密,使用凭据减少在代码中硬编码凭据带来的风险,增强业务数据的安全性。本文介绍如何购买和启用KMS实例。

概述

选购前请您先了解KMS的规格和业务组件,基于您的业务场景、安全合规要求选择合适的规格。详细信息,请参见产品选型

步骤一:购买KMS实例

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源 > 实例管理

  2. 实例管理页面单击创建实例,选择要购买的KMS实例规格,单击立即购买

    配置项

    说明

    密钥管理类型

    KMS实例类型。可选项:

    • 软件密钥管理:支持构建专属您的密钥存储库,提供数据加解密的能力,同时提供密钥生命周期管理。

    • 硬件密钥管理:支持管理您购买的专属密码机集群的密钥,帮助您快速构建云上安全密钥管理中心。

    • 密钥增值服务:包含实例的备份恢复功能,以及默认密钥轮转功能。详细内容,请参见备份管理默认密钥轮转

    地域

    KMS实例所在地域。更多信息,请参见地域和接入地址

    计算性能

    KMS实例的计算性能。关于性能数据的详细介绍,请参见性能数据

    如果软件密钥管理实例的计算性能不能满足业务要求,您可以通过售前在线咨询联系商务经理申请计算性能为10,000或20,000的软件密钥管理实例。

    密钥数量

    KMS实例允许创建的最大密钥数量。

    凭据数量

    KMS实例允许创建的最大凭据数量。

    访问管理数量

    包含实例关联的VPC数量,以及资源使用者的数量。默认值为1个。

    例如,您的KMS实例需要关联3个VPC,并共享给2个资源使用者,那么访问管理数量配额最少为5才能满足业务需求。

    日志分析

    是否开启日志分析功能。详细内容,请参见日志服务概述

    日志存储容量

    最小为1000 GB,以1000 GB为单位递增。如何评估容量,请参见如何计算所需的日志存储容量

    购买数量

    根据需要选择KMS实例数量。

    重要

    通常您只需购买1个KMS实例,如需购买多个KMS实例,请通过售前在线咨询联系商务经理。

    购买时长

    根据需要选择购买时长。

    说明

    您可以选中到期自动续费,当前KMS实例到期后将自动续费。

  3. 仔细阅读并勾选服务协议,单击去支付完成购买。

    购买成功后,您需要等待1~5分钟,即可在实例管理页面看到您购买的KMS实例。

步骤二:启用KMS实例

购买KMS实例后,您需要先启用实例,才可以使用该KMS实例提供的密钥管理、凭据管理功能。

启用软件密钥管理实例

前提条件

  • 确保有1个VPC和1个交换机。

    建议您先登录专有网络管理控制台,查看已有的VPC、交换机以及交换机所在的可用区,然后再启用KMS实例。也可以新创建VPC和交换机,具体操作,请参见创建专有网络和交换机创建交换机

  • 使用阿里云中国站账号购买非中国内地的KMS实例,或者使用阿里云国际站账号购买中国内地的KMS实例,需要手动开通云解析PrivateZone。具体操作,请参见开通PrivateZone

    说明

    • 使用阿里云中国站账号购买中国内地的KMS实例,或者使用阿里云国际站账号购买非中国内地的KMS实例时,阿里云会自动开通PrivateZone,无需您手动开通。

    • KMS实例域名解析产生的费用由KMS承担,您无需向云解析PrivateZone付费。

操作步骤

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源 > 实例管理

  2. 软件密钥管理页签,定位到目标KMS软件密钥管理实例,单击操作列的启用

  3. 启用KMS实例面板,完成各项配置后单击确定

    配置项

    说明

    双可用区

    选择两个可用区。通过双可用区负载均衡,提高服务可用性与容灾能力。

    专有网络

    KMS实例所在地域下的专有网络ID。

    交换机

    选择双可用区下的1个交换机,并且该交换机至少有1个可用IP。

    请等待约30分钟,然后刷新页面,当状态变更为已启用时,表示KMS软件密钥管理实例启用成功。

启用硬件密钥管理实例

前提条件

  • 已配置可供实例连接的密码机集群。具体操作,请参见配置KMS硬件密钥管理实例的密码机集群

  • 使用阿里云中国站账号购买非中国内地的KMS实例,或者使用阿里云国际站账号购买中国内地的KMS实例,需要手动开通云解析PrivateZone。具体操作,请参见开通PrivateZone

    说明

    • 使用阿里云中国站账号购买中国内地的KMS实例,或者使用阿里云国际站账号购买非中国内地的KMS实例时,阿里云会自动开通PrivateZone,无需您手动开通。

    • KMS实例域名解析产生的费用由KMS承担,您无需向云解析PrivateZone付费。

  • 确保KMS实例所属的VPC下有2个交换机。

    • (推荐)使用密码机实例绑定的2个交换机:您无需创建交换机,只需要确保每个交换机下预留4个可用IP。

    • 不使用密码机实例绑定的2个交换机:您需要创建2个交换机,2个交换机在不同可用区,每个交换机需要预留4个可用IP。具体操作,请参见创建交换机

    您可以登录专有网络管理控制台,在交换机页面单击目标交换机,在详情页面查看可用IP数。

操作步骤

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源 > 实例管理

  2. 单击硬件密钥管理页签,定位到目标KMS硬件密钥管理实例,单击操作列的启用

  3. 连接密码机面板,完成各项配置后,单击连接密码机指定密码机集群。

    配置项

    说明

    指定密码机集群

    选择您在加密服务中配置的密码机集群。

    说明

    一个KMS硬件密钥管理实例只能绑定一个密码机集群。

    配置密码机访问凭据

    KMS硬件密钥管理实例与密码机连接时采用双向TLS认证,需要配置客户端证书(带保护口令的PKCS12格式证书)和安全域证书(为密码机集群签发TLS服务端证书的CA证书,为PEM格式)。关于证书如何生成,请参见为密码机实例创建双向TLS认证

    • 客户端保护口令:您在生成客户端证书client.p12时设置的保护口令。如果是使用证书文件生成工具(hsm_certificate_generate)生成,默认为12345678

    • 客户端证书:PKCS12格式证书。单击选择文件,选择已生成的client.p12文件进行上传。

    • 安全域证书:PEM格式CA证书。单击选择文件,选择已生成的rootca.pem文件进行上传。

    双可用区

    选择两个可用区。通过双可用区负载均衡,提高服务可用性与容灾能力。

    专有网络

    KMS实例所在地域下的专有网络ID。

    交换机

    选择交换机ID,交换机下需要预留4个可用IP。

    交换机

    选择交换机ID,交换机下需要预留4个可用IP。

    如果购买实例时选择了凭据数量,请等待约30分钟,然后刷新页面。如果未选择凭据数量,请等待约10分钟,然后刷新页面。当状态变更为已启用时,表示KMS硬件密钥管理实例启用成功。

常见问题

相关文档

文档推荐
  • 本页导读 (1)
文档反馈