用户密钥安全
如果派生密钥出现泄露,则影响局限于当天某个产品下指定地域的资源,不会影响到其他产品的资源和其他地域的资源,并且到第二天,当天的派生密钥会自动过期不可用。背景信息 V4签名提供了一种新的身份认证方式,它是由阿里云账号或者RAM用户...
公共错误码
密钥不可用。409 Rejected.PendingDeletion The request was rejected because the key state is PendingDeletion.密钥状态为待删除。409 Rejected.Disabled The request was rejected because the key state is Disabled.密钥状态为禁用。...
数据安全和加密常见问题
使用已有自定义密钥时,需要注意以下几点:禁用密钥、设置密钥删除计划或者删除密钥材料都会造成密钥不可用。撤销授权关系后,重启 PolarDB 集群会导致 PolarDB 集群不可用。需要使用阿里云账号或者具有AliyunSTSAssumeRoleAccess权限的...
人工轮转主密钥
如果您使用的密钥类型不支持基于密钥版本的自动轮转,您可以基于使用场景,直接轮转使用的用户主密钥(CMK),通过人工的方式实现密钥轮转。由于这种方式建立在CMK之上,对于支持和不支持自动轮转的CMK而言,都可以作为特殊场景下的替代...
通过密码或密钥认证登录Linux实例
密码指纹 根据认证材料的密码或者密钥,自动生成密码指纹。可选:您可以单击 添加材料,继续添加多个认证材料。每一个凭据至少保留一个认证材料。单击 确定。在 登录实例 对话框中,选择新增的凭据,然后单击 确定。如果已有凭据:配置登录...
管理密钥
删除密钥前,请确认该密钥已不再使用,否则会导致您的业务不可用。密钥删除后将无法恢复,使用该密钥加密的内容及产生的数据密钥也将无法解密。因此,KMS只提供计划删除密钥的方式,而不提供直接删除的方式。如果需要删除密钥,推荐您使用...
托管密码机概述
密钥版本管理 自动密钥轮转 资源标签管理 可控制的授权机制 这些功能支持您的应用与托管密码机快速集成,也支持云服务器ECS、关系型数据库RDS等其他云服务与托管密码机集成,实现云上数据静态加密,而您无需为此投入研发成本。保持对密钥的...
在密码机HSM之间复制密钥
适用的密码机类型 通用密码机(FIPS)适用场景 两台密码机不在同一集群,密钥无法自动同步的场景。说明 两台密码机属于同一集群时,集群中的密码机信息会自动同步,您无需复制密钥。前提条件 已启动HSM客户端代理(hsm_proxy)。具体操作,...
计划删除密钥
删除密钥前,请确认该密钥已不再使用,否则会导致您的业务不可用。登录 密钥管理服务控制台。在页面左上角的地域下拉列表,选择密钥所在的地域。在左侧导航栏,单击 用户主密钥。找到计划删除的密钥,在右侧 操作 列选择 更多>计划删除密钥...
自动轮转密钥
每个密钥版本,包括用于加密和解密的主版本以及仅用于解密的非主版本,都可能在不同的时间点上不可用(例如:在不同时间点上过期而被KMS删除,或者过期后被重新分别导入),导致无法同步主密钥和被保护数据的可用性,很难保证系统设计的...
API概览
如果配置密钥自动轮转,KMS将周期性自动生成新的密钥版本。密码运算 密码运算接口用于对数据进行密码运算,例如使用KMS中的密钥对数据进行加密、生成数据密钥、解密、计算数字签名。重要 使用KMS密钥管理实例中的密钥进行密码运算,请使用...
多账号共享KMS实例
当前KMS实例仅支持在...解除KMS实例的共享关系 重要 解除共享关系前,资源使用者需要删除自己创建的所有密钥和凭据,请确认密钥或凭据已不再使用,否则会导致您的业务不可用。仅支持在资源共享控制台操作。具体操作,请参见 删除共享单元。
Decrypt
解密CiphertextBlob中的密文。注意事项 非KMS实例中的密钥:进行密码运算时,仅支持通过阿里云SDK调用OpenAPI。KMS实例中的密钥:进行密码运算时,支持如下两种方式。...请求被拒绝,原因是密钥状态为不可用。访问 错误中心 查看更多错误码。
Decrypt
解密CiphertextBlob中的密文。注意事项 非KMS实例中的密钥:进行密码运算时,仅支持通过阿里云SDK调用OpenAPI。KMS实例中的密钥:进行密码运算时,支持如下两种方式。...请求被拒绝,原因是密钥状态为不可用。访问 错误中心 查看更多错误码。
UpdateRotationPolicy
以下密钥不允许配置自动轮转策略:非对称密钥 服务密钥 用户自带密钥(外部导入到KMS的密钥)不处于 Enabled 状态的密钥 本文将提供一个示例,为密钥ID为 1234abcd-12ab-34cd-56ef-12345678*的用户主密钥开启自动轮转,自动轮转的时间周期...
管理及使用通用凭据
通用凭据(Generic Secret)是KMS支持的基础类型凭据,您可以使用通用凭据存储账号口令、访问密钥、OAuth密钥和Token等任意的敏感数据,同时通用凭据支持多个...常见问题 凭据状态为不可用或调用凭据相关API时返回“Rejected.Unavailable”
备份加密
使用已有自定义密钥时,需要注意:禁用密钥、设置密钥删除计划或者删除密钥材料都会造成密钥不可用,从而使基于该密钥加密备份的实例运维操作失败,可能会影响实例的可用性。基于该加密备份的恢复操作也会失败。需要使用主账号或者具有如下...
管理KMS实例
不使用密码机实例绑定的2个交换机:您需要创建2个交换机,2个交换机在不同可用区,每个交换机需要预留4个可用IP。具体操作,请参见 创建交换机。您可以登录 专有网络管理控制台,在 交换机 页面单击目标交换机,在详情页面查看可用IP数。...
功能特性
密码机类型 密码机高可用 数据备份恢复 加密服务提供了数据备份恢复功能,您可以在误操作后恢复本密码机实例的数据,也可以将数据恢复到其他密码机实例,达到密码机实例之间数据复制的目的。数据备份恢复 安全审计 安全审计 将密码机实例的...
使用KMS进行Secret落盘加密
重要 开启落盘加密功能时,请勿使用KMS的控制台或OpenAPI禁用或删除集群Secret加解密选择的密钥,否则会导致集群API Server不可用,继而无法正常获取Secret和ServiceAccount等对象,影响业务应用的正常运行。授权 根据您使用账号类型的不同...
GenerateDataKey
调用GenerateDataKey接口生成一个随机的数据密钥,用于本地数据加密。注意事项 非KMS实例中的密钥:进行密码运算时,仅支持通过阿里云SDK调用OpenAPI。...请求被拒绝,原因是密钥状态为不可用。访问 错误中心 查看更多错误码。
GenerateDataKey
调用GenerateDataKey接口生成一个随机的数据密钥,用于本地数据加密。注意事项 非KMS实例中的密钥:进行密码运算时,仅支持通过阿里云SDK调用OpenAPI。...请求被拒绝,原因是密钥状态为不可用。访问 错误中心 查看更多错误码。
导入密钥材料
当您创建密钥材料来源为外部的密钥时,KMS不会为您创建的用户主密钥(CMK)生成密钥材料,此时您可以将自己的密钥材料导入到CMK中。本文为您介绍如何导入外部密钥材料。背景信息 用户主密钥(CMK)是KMS的基本资源,由密钥ID、基本元数据...
管理密钥
KMS为您提供密钥的全生命周期管理和安全存储能力,本文介绍如何创建密钥、禁用密钥、开启删除保护、计划删除密钥及为密钥设置标签。创建密钥 默认密钥 默认密钥包含服务密钥、主密钥,服务密钥由云产品创建及管理生命周期,主密钥由您创建...
API概览
密码运算 密码运算接口用于对数据进行密码运算,例如数据的加密和解密。API 描述 Encrypt 使用指定用户主密钥加密数据,用于少量数据(不多于6KB)的在线加密。GenerateDataKey 产生一个随机数,并用指定的用户主密钥加密后,返回随机数的...
购买和启用KMS实例
不使用密码机实例绑定的2个交换机:您需要创建2个交换机,2个交换机在不同可用区,每个交换机需要预留4个可用IP。具体操作,请参见 创建交换机。您可以登录 专有网络管理控制台,在 交换机 页面单击目标交换机,在详情页面查看可用IP数。...
使用阿里云KMS进行Secret的落盘加密
重要 开启落盘加密功能时,请勿使用KMS的控制台或OpenAPI禁用或删除集群Secret加解密选择的密钥,否则会导致集群API Server不可用,继而无法正常获取Secret和ServiceAccount等对象,影响业务应用的正常运行。授权 根据您使用账号类型的不同...
使用阿里云KMS进行Secret的落盘加密
重要 开启落盘加密功能时,请勿使用KMS的控制台或OpenAPI禁用或删除集群Secret加解密选择的密钥,否则会导致集群API Server不可用,继而无法正常获取Secret和ServiceAccount等对象,影响业务应用的正常运行。授权 根据您使用账号类型的不同...
导入对称密钥材料
如果密钥的密钥材料过期或被删除,您可以为密钥再次导入相同的密钥材料,使得该密钥再次可用,导入密钥材料后不支持导出,因此请您妥善保管密钥材料。前提条件 已购买和启用KMS硬件密钥管理实例。具体操作,请参见 购买和启用KMS实例。说明...
备份加密
使用已有自定义密钥时,需要注意:禁用密钥、设置密钥删除计划或者删除密钥材料都会造成密钥不可用,从而使基于该密钥加密备份的实例运维操作失败,可能会影响实例的可用性。基于该加密备份的恢复操作也会失败。需要使用阿里云主账号或者...
使用阿里云KMS进行Secret的落盘加密
重要 开启落盘加密功能时,请勿使用KMS的控制台或OpenAPI禁用或删除集群Secret加解密选择的密钥,否则会导致集群API Server不可用,继而无法正常获取Secret和ServiceAccount等对象,影响业务应用的正常运行。授权 根据您使用账号类型的不同...
开启透明数据加密(内测中)
KMS提供的主密钥是通过API创建的,如果您提供了密码还可以对主密钥进行加密,保证主密钥的安全性。注意事项 开通TDE的过程中,实例会重启一次并出现连接闪断,建议您在业务低峰期操作并确保应用有重连机制。实例重启和连接闪断不会导致数据...
加密函数
多密钥加密:MaxCompute密钥管理对象Keyset,可以存放1个或多个密钥,您可以手动在Keyset中增加密钥,密钥的轮转和查看原始密钥。MaxCompute SQL多密钥加解密函数介绍如下。函数 功能 NEW_KEYSET 根据指定的算法类型,创建对应的密钥Keyset...
导入非对称密钥材料
密钥管理类型 导入对称密钥材料 导入非对称密钥材料 默认密钥 主密钥:服务密钥:主密钥:服务密钥:软件密钥 硬件密钥 使用限制 为密钥首次导入密钥材料后,密钥即和该密钥材料绑定,不再支持导入其他密钥材料。重要 如果密钥的密钥材料...
管理凭据
警告 删除凭据前,请确认该凭据已不再使用,否则会导致您的业务不可用。登录 密钥管理服务控制台,在页面左上角的地域下拉列表,选择专属KMS实例所在的地域。在左侧导航栏,单击 专属KMS。在 专属KMS 页面,单击目标实例的实例ID后,单击 ...
配置KMS硬件密钥管理实例的密码机集群
使用密钥管理服务KMS(Key Management Service)的硬件密钥管理实例时,需要连接加密服务密码机集群,由密码机集群实现数据自动同步、负载均衡以及数据高可用性。本文介绍如何配置KMS硬件密钥管理实例的密码机集群。背景信息 KMS硬件密钥...
密码机类型
1,100次/秒 EC P256点乘运算性能:315次/秒 AES256双工通讯加密速率:300兆/秒 RSA2048密钥产生性能:0.5对/秒 随机数生成速率:20兆/秒 集群服务 加密服务提供集群服务,通过将处于同一地域不同可用区、用于相同业务的一组密码机实例关联...
管理凭据
警告 删除凭据前,请确认该凭据已不再使用,否则会导致您的业务不可用。登录 密钥管理服务控制台,在页面左上角的地域下拉列表,选择专属KMS实例所在的地域。在左侧导航栏,单击 专属KMS。在 专属KMS 页面,单击目标实例的实例ID后,单击 ...
设置透明数据加密TDE
使用限制 开启了TDE的实例不支持 升级数据库大版本、2008 R2(本地SSD盘)升级为2012或2016、升级内核小版本、迁移可用区 操作。开启了TDE的实例创建的备份数据,无法用于 重建恢复。更多详情,请参见 备份方案概览。开启TDE 访问 RDS实例...
设置透明数据加密TDE
使用已有自定义密钥时,需要注意:禁用密钥、设置密钥删除计划或者删除密钥材料都会造成密钥不可用。撤销授权关系后,重启PolarDB集群会导致PolarDB集群不可用。需要使用阿里云账号或者具有AliyunSTSAssumeRoleAccess权限的账号。开通TDE...
- 产品推荐
- 这些文档可能帮助您