本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
KMS实例提供密钥和凭据相关功能,您可以使用密钥对敏感数据加解密,使用凭据减少在代码中硬编码凭据带来的风险,增强业务数据的安全性。本文介绍如何购买和启用KMS实例。
步骤一:购买KMS实例
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
在实例管理页面单击创建实例,选择要购买的KMS实例规格,单击立即购买。
仅介绍如何选购密钥管理服务,选购虚拟密码机请参考购买密码机实例,选购专属密码机请联系阿里云技术支持。
配置项
说明
配置项
说明
密钥管理类型
KMS为各地域提供默认密钥(含服务密钥及主密钥)用于云产品加密,使用默认密钥无需购买KMS实例,但功能有限。默认密钥由KMS免费提供,仅密钥轮转功能需付费开通增值服务,其余场景均无费用。
建议您在选购KMS实例前,访问产品选型了解默认密钥和KMS实例的详情。
选购KMS实例
通常情况下选择软件密钥管理实例即可,如果业务需要物理级安全防护或满足金融监管等强合规要求时,需要选硬件密钥管理实例。
软件密钥管理:密钥存储在您专属的数据库中。
硬件密钥管理:密钥生成、存储及加解密依赖专用硬件安全模块(HSM),满足国密或FIPS 140-2 Level 3认证。选购该类型实例,需要同步购买密码机,详细介绍,请参见配置KMS硬件密钥管理实例的密码机集群。
外部密钥管理:基于您在阿里云外的密钥管理设备或系统中的密钥,构建您在阿里云上数据加密解密的密钥管理中心。
目前仅支持江南天安密码机,如您需要管理其他品牌密码机,请联系我们。
选购密钥增值服务
地域
建议与业务部署在同一地域。关于支持的地域,请参见地域和接入地址。
部署模式
KMS实例支持双可用区或多可用区配置,从而实现高可用性、灾备能力和负载均衡。
菲律宾(马尼拉)、泰国(曼谷)仅提供一个可用区,则该KMS实例只能部署在单可用区,此时部署模式默认取值为单可用区。
选择多可用区时,最多能配置3个可用区。
各地域的可用区数量,请参见地域和接入地址。
计算性能
KMS实例的性能数据。以2000为例,表示独立处理对称算法的计算性能最高为2000 QPS,独立处理非对称算法的计算性能最高为300 QPS。
如果您需要计算性能为10,000或20,000的软件密钥管理实例,请联系我们。
密钥数量
密钥配额。默认为1000。
密钥配额按密钥版本计算,不是按照密钥个数计算。1个密钥包含5个密钥版本时,即占5个密钥配额。
凭据数量
凭据配额。默认为0。
凭据配额按照凭据个数计算,与凭据版本无关。1个凭据,无论包含几个密钥版本,都只占1个凭据配额。
业务不涉及凭据时,可以先不购买,后续需要时通过升配购买凭据配额。
访问管理数量
该配额涉及两部分功能:
同地域多VPC访问KMS实例:允许一个地域的多个VPC访问KMS资源,涉及几个VPC,就需要几个配额。
多账号共享KMS实例:共享给几个阿里云账号,就需要几个配额。
例如,您的KMS实例需要关联3个VPC,并共享给2个阿里云账号,那么访问管理数量配额最少为5才能满足业务需求。
默认值为1个,即允许1个KMS实例绑定的VPC访问KMS资源。
日志分析
是否开启日志分析功能。详细内容,请参见日志服务概述。
日志存储容量
最小为1000 GB,以1000 GB为单位递增。如何评估容量,请参见如何计算所需的日志存储容量。
购买数量
根据需要选择KMS实例数量。
通常您只需购买1个KMS实例,如需购买多个KMS实例,请联系我们。
购买时长
根据需要选择购买时长。
您可以选中到期自动续费,当前KMS实例到期后将自动续费。
仔细阅读并勾选服务协议,单击去支付完成购买。
购买成功后,您需要等待1~5分钟,即可在实例管理页面看到您购买的KMS实例。
步骤二:启用KMS实例
购买KMS实例后,您需要先启用实例,才可以使用该KMS实例提供的密钥管理、凭据管理功能。
启用软件密钥管理实例
前提条件
确保有1个VPC和1个交换机。
建议您先登录专有网络管理控制台,查看已有的VPC、交换机以及交换机所在的可用区,然后再启用KMS实例。也可以新创建VPC和交换机,具体操作,请参见创建专有网络和交换机或创建交换机。
使用阿里云中国站账号购买非中国内地的KMS实例,或者使用阿里云国际站账号购买中国内地的KMS实例,需要手动开通云解析PrivateZone。具体操作,请参见开通PrivateZone。
使用阿里云中国站账号购买中国内地的KMS实例,或者使用阿里云国际站账号购买非中国内地的KMS实例时,阿里云会自动开通PrivateZone,无需您手动开通。
KMS实例域名解析产生的费用由KMS承担,您无需向云解析PrivateZone付费。
操作步骤
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
在软件密钥管理页签,定位到目标KMS软件密钥管理实例,单击操作列的启用。
在启用KMS实例面板,完成各项配置后单击立即启用。
配置项
说明
配置项
说明
实例名称
自定义KMS实例的名称,支持字母、数字以及特殊字符
_/+=.@-。VPC ID
选择一个KMS实例绑定的VPC。
配置可用区
与购买实例时选择的部署模式相关,支持双可用区或多可用区。多可用区时最多可以配置3个可用区。
配置可用区&交换机:配置一个可用区和交换机,确保该交换机至少有1个可用IP。
其他可用区:支持随机分配,也支持手动指定。
部分地域仅提供一个可用区,则该KMS实例只能部署在单可用区。
双可用区或多可用区部署是为了实现KMS的高可用、灾备能力和负载均衡,选择业务所在可用区,还是非业务所在可用区,在时延和性能上的差异可以忽略不计,您可以自主选择。
请等待约30分钟,然后刷新页面,当状态变更为已启用时,表示KMS软件密钥管理实例启用成功。
启用硬件密钥管理实例
前提条件
已配置可供KMS实例连接的密码机集群。具体操作,请参见配置KMS硬件密钥管理实例的密码机集群。
后续需要扩展密码机集群中的密码机数量时,请先联系阿里云技术支持修改集群同步方式为自动同步,以避免集群同步失败。
请确保KMS实例配置的每个可用区下都有1个交换机,以部署双可用区为例。
(推荐)使用密码机实例绑定的2个交换机:您无需创建交换机,只需要确保每个交换机下预留4个可用IP。
不使用密码机实例绑定的2个交换机:您需要创建2个交换机,2个交换机在不同可用区,每个交换机需要预留4个可用IP。具体操作,请参见创建交换机。
您可以登录专有网络管理控制台,在交换机页面单击目标交换机,在详情页面查看可用IP数。
使用阿里云中国站账号购买非中国内地的KMS实例,或者使用阿里云国际站账号购买中国内地的KMS实例,需要手动开通云解析PrivateZone。具体操作,请参见开通PrivateZone。
使用阿里云中国站账号购买中国内地的KMS实例,或者使用阿里云国际站账号购买非中国内地的KMS实例时,阿里云会自动开通PrivateZone,无需您手动开通。
KMS实例域名解析产生的费用由KMS承担,您无需向云解析PrivateZone付费。
操作步骤
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
单击硬件密钥管理页签,定位到目标KMS硬件密钥管理实例,单击操作列的启用。
在连接密码机面板,完成各项配置后,单击连接密码机指定密码机集群。
配置项
说明
配置项
说明
实例名称
自定义KMS实例的名称,支持字母、数字以及特殊字符
_/+=.@-。选择集群
选择您在加密服务中配置的密码机集群。
一个KMS硬件密钥管理实例只能绑定一个密码机集群。
配置密码机访问凭据
KMS硬件密钥管理实例与密码机连接时采用双向TLS认证,需要配置客户端证书(带保护口令的PKCS12格式证书)和安全域证书(为密码机集群签发TLS服务端证书的CA证书,为PEM格式)。关于证书如何生成,请参见为密码机实例创建双向TLS认证。
客户端保护口令:您在生成客户端证书
client.p12时设置的保护口令。如果是使用证书文件生成工具(hsm_certificate_generate)生成,默认为12345678。客户端证书:PKCS12格式证书。单击选择文件,选择已生成的
client.p12文件进行上传。安全域证书:PEM格式CA证书。单击选择文件,选择已生成的
rootca.pem文件进行上传。
VPC ID
默认为密码机绑定的VPC ID,不支持修改。
配置可用区&交换机
与购买实例时选择的部署模式相关,支持双可用区或多可用区,每个可用区下的交换机需要预留4个可用IP。
多可用区时最多可以配置3个可用区。
双可用区或多可用区部署是为了实现KMS的高可用、灾备能力和负载均衡,选择业务所在可用区,还是非业务所在可用区,在时延和性能上的差异可以忽略不计,您可以自主选择。
如果购买实例时选择了凭据数量,请等待约30分钟,然后刷新页面。如果未选择凭据数量,请等待约10分钟,然后刷新页面。当状态变更为已启用时,表示KMS硬件密钥管理实例启用成功。
启用外部密钥管理实例
前提条件
已购买了云外密码机,并配置了XKI Proxy外部代理。具体操作,请咨询您的密码机服务商。
XKI Proxy服务器的详细信息,请参见XKI Proxy服务器。
KMS支持通过公网或VPC终端节点与XKI Proxy外部代理建立连接。如果通过VPC终端节点建立连接,请先创建终端节点服务。具体操作,请参见创建和管理终端节点服务。创建终端节点时需要注意以下几点:
终端节点服务的两个可用区,需要与启动KMS实例所选择的可用区保持一致。
需要将当前阿里云账号,添加到终端节点服务的白名单中。
终端节点服务的是否自动接受连接需要设置为是。
使用阿里云中国站账号购买非中国内地的KMS实例,或者使用阿里云国际站账号购买中国内地的KMS实例,需要手动开通云解析PrivateZone。具体操作,请参见开通PrivateZone。
使用阿里云中国站账号购买中国内地的KMS实例,或者使用阿里云国际站账号购买非中国内地的KMS实例时,阿里云会自动开通PrivateZone,无需您手动开通。
KMS实例域名解析产生的费用由KMS承担,您无需向云解析PrivateZone付费。
操作步骤
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
单击外部密钥管理页签,定位到目标实例,单击操作列的启用。
在连接密码机面板,完成各项配置后,单击连接密码机指定密码机集群。
配置项
说明
配置项
说明
实例名称
自定义KMS实例的名称,支持字母、数字以及特殊字符
_/+=.@-。VPC ID
选择一个KMS实例绑定的VPC。
配置可用区
与购买实例时选择的部署模式相关,支持双可用区或多可用区。多可用区时最多可以配置3个可用区。
配置可用区&交换机:配置一个可用区和交换机,确保该交换机至少有1个可用IP。
其他可用区:支持随机分配,也支持手动指定。
部分地域仅提供一个可用区,则该KMS实例只能部署在单可用区。
双可用区或多可用区部署是为了实现KMS的高可用、灾备能力和负载均衡,选择业务所在可用区,还是非业务所在可用区,在时延和性能上的差异可以忽略不计,您可以自主选择。
外部代理连接
公网接入:KMS实例使用公网与XKI Proxy外部代理连接。
VPC终端节点服务:KMS实例使用VPC终端节点服务与XKI Proxy外部代理连接。
外部代理域名地址
仅当外部代理连接选择公网接入时,需要输入XKI Proxy外部代理的域名地址。
终端节点服务
仅当外部代理连接选择VPC终端节点服务时,需要选择终端节点服务。
启动KMS实例所选择可用区务必与终端节点服务可用区保持一致。
配置外部代理
手动配置:手动配置外部代理路径、业务服务证书指纹、XKI Proxy代理的AccessKey ID、AccessKey Secret。
上传配置文件:通过上传文件进行配置。
如果购买实例时选择了凭据数量,请等待约30分钟,然后刷新页面。如果未选择凭据数量,请等待约10分钟,然后刷新页面。当状态变更为已启用时,表示KMS外部密钥管理实例启用成功。
常见问题
相关文档
- 本页导读 (1)
- 步骤一:购买KMS实例
- 步骤二:启用KMS实例
- 启用软件密钥管理实例
- 启用硬件密钥管理实例
- 启用外部密钥管理实例
- 常见问题
- 相关文档