本文介绍您在使用凭据的过程中可能遇到的问题。包括如何保障凭据的安全性,凭据是如何加密的,凭据一直提示在轮转中,凭据状态为不可用,在控制台找不到凭据。
问题列表
KMS如何保障凭据的安全性
您在创建凭据时,需要指定同一个实例下的对称密钥用来加密凭据。KMS对凭据值使用该密钥经信封加密后保存在您专属的存储空间。
KMS不会对凭据名称、版本号、版本的标记状态等元数据进行加密。
当您的应用程序请求凭据时,KMS通过RAM或应用接入点进行身份认证和访问权限控制;在认证和权限检查通过后,KMS解密凭据并通过TLS V1.2协议将其安全地传输给您的应用程序。
凭据是如何加密的
KMS通过信封加密的方式加密凭据值,信封加密中的密钥即您在创建凭据时指定的密钥。关于信封加密的详细信息,请参见使用KMS密钥进行信封加密。
设置轮转策略或立即轮转时,提示“您的凭据在轮转中,请稍后再试”
凭据类型 | 可能原因 |
RAM凭据 | RAM凭据正在轮转中。 RAM凭据轮转需要一段时间(轮转窗口)来完成,周期性自动轮转的轮转窗口约为48小时,立即轮转的轮转窗口为您设置的时长。 如果没有在轮转窗口内完成轮转,请在访问控制(RAM)中检查RAM用户是否仍存在。 |
RDS凭据 | 正常情况下,RDS凭据轮转即时完成。 如果轮转超过2分钟没有完成,请检查RDS实例状态及RDS账号是否正常。 |
ECS凭据 | 正常情况下,ECS凭据轮转即时完成。 如果轮转超过2分钟没有完成,请检查ECS实例状态及ECS账号是否正常。 |
凭据状态为不可用或调用凭据相关API时返回“Rejected.Unavailable”
凭据所在的KMS实例已超期。
请在超期15个自然日内对KMS实例进行续费,否则KMS实例将被释放。具体操作,请参见续费说明。
如果您暂时不使用KMS实例,但以后可能会用到该实例中的密钥或凭据,建议您提前备份。具体操作,请参见备份管理。
在新版控制台找不到已创建的凭据
新版控制台仅展示KMS实例中管理的凭据。
对于部分使用旧版本KMS的用户,不购买KMS实例也可以创建凭据,但创建的凭据不支持在新版控制台查看,请返回旧版控制台查看您创建的凭据。
检验RDS凭据的账号,检测结果为不成功
通常是RDS凭据关联的RDS账号或者RDS实例被删除。建议您在RDS中查看相关账号、实例是否存在。
创建RAM凭据,授权KMS访问AK权限时,提示“没有权限进行这个操作”
授权KMS访问AK权限时出现如下图提示,说明当前登录的RAM账号无权限操作云资源。请将授权链接发送至RAM管理员(有资源管理权限的RAM用户或者主账号),由RAM管理员完成授权操作。RAM管理员授权完毕后,返回RAM凭据创建页,单击刷新按钮或退出重新进入。其他操作信息可参考步骤一:授予KMS管理RAM用户AccessKey的权限。