实例管理常见问题

本文介绍您在管理KMS实例的过程中可能遇到的问题。

问题列表

启用KMS实例时为何一直显示连接中

启用KMS实例(含软件密钥管理实例和硬件密钥管理实例)时,您需要等待约30分钟,然后刷新页面。当实例的状态变更为已启用时,表示KMS实例启用成功。如果30分钟后KMS实例仍未启用成功,请联系技术支持人员。具体操作,请参见联系我们

更多信息,请参见启用KMS实例

启用KMS硬件密钥管理实例时提示“连接失败”

请检查密码机访问凭据是否正确。关于密码机访问凭据的详细内容,请参见启用KMS实例为密码机实例配置双向TLS认证

启用KMS软件密钥管理实例时出现报错提示

报错提示

可能原因

处理建议

Your VSwitches don't have enough ip address create dedicate kms instance.

交换机中的可用IP数量不够。

KMS帮助您建设KMS实例的私网通信链路时,需要消耗交换机内的一个IP,而您选择的交换机中可用IP数量为0。

说明

您可以登录专有网络管理控制台,在交换机页面单击目标交换机,在详情页面查看可用IP数。

更换要绑定的交换机,并确保交换机的可用IP数量大于等于1。

500:Internal Failure

未开通云解析PrivateZone。

一般情况下KMS会代您自动开通云解析PrivateZone,但如下场景下需要您自行开通。

  • 使用阿里云中国站账号购买非中国内地的KMS软件密钥管理实例

  • 使用阿里云国际站账号购买中国内地的KMS软件密钥管理实例

手动开通云解析PrivateZone。具体操作,请参见开通PrivateZone

说明

KMS实例域名解析产生的费用由KMS承担,您无需向云解析PrivateZone付费。

启用KMS硬件密钥管理实例时出现报错提示

报错提示

可能原因

处理建议

Your VSwitches don't have enough ip address create dedicate kms instance.

交换机中的可用IP数量不够。

  • KMS帮助您建设KMS实例的私网通信链路时,需要消耗交换机内的一个IP。

  • KMS会创建2~4个ENI网卡用于KMS实例与密码机集群通信,每个ENI网卡需要占用交换机内的一个IP数量。

说明

您可以登录专有网络管理控制台,在交换机页面单击目标交换机,在详情页面查看可用IP数。

更换要绑定的交换机,并确保交换机的可用IP数量大于等于5。

500:Internal Failure

未开通云解析PrivateZone。

一般情况下KMS会代您自动开通云解析PrivateZone,但如下场景下需要您自行开通。

  • 使用阿里云中国站账号购买非中国内地的KMS硬件密钥管理实例

  • 使用阿里云国际站账号购买中国内地的KMS硬件密钥管理实例

手动开通云解析PrivateZone。具体操作,请参见开通PrivateZone

说明

KMS实例域名解析产生的费用由KMS承担,您无需向云解析PrivateZone付费。

如何配置KMS硬件密钥管理实例关联的密码机集群

KMS的硬件密钥管理实例通过连接加密服务密码机集群,将密钥存储在密码机内,为业务提供统一的密钥管理和密码运算界面。使用KMS硬件密钥管理实例前,您需要先配置密码机集群,具体操作,请参见如何配置可通过KMS硬件密钥管理实例连接的密码机集群

应用程序是否可以跨地域访问KMS实例

可以。

您需要根据业务需求购买KMS软件密钥管理实例或硬件密钥管理实例,然后设置跨地域的多个VPC连通,并通过PrivateZone配置KMS实例域名解析并关联VPC,从而使您的KMS实例可被部署在其他地域的应用程序集成。

在使用该方案前,您需要评估VPC间连接的成本、PrivateZone服务的成本、服务等级协议、带宽能力、生效时间等限制条件,并制定在多个地域部署应用的系统架构、网络架构、运维管理方案、应急预案。具体操作,请参见应用跨地域访问KMS实例

如何释放KMS实例

KMS实例支持退订,退订后KMS实例将被释放。具体操作,请参见退订说明

如果您后续仍可能使用KMS实例中的密钥或凭据,建议您退订前进行备份,具体操作,请参见备份管理