CreateKeyVersion
每创建一个密钥版本,就会消耗一个密钥额度。本文将提供一个示例,为密钥ID为 key-hzz62f1cb66fa42qo*的密钥创建密钥版本。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动...
CreateKeyVersion
每创建一个密钥版本,就会消耗一个密钥额度。本文将提供一个示例,为密钥ID为 key-hzz62f1cb66fa42qo*的密钥创建密钥版本。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动...
密钥管理服务支持被审计的事件说明
密钥管理服务已与操作审计服务集成,您可以在操作审计中查询用户操作密钥管理服务产生的管控事件。密钥管理服务支持将管控事件投递到日志服务SLS的LogStore或对象存储OSS的存储空间中,满足实时审计、问题回溯分析等需求。密钥管理服务记录...
密钥管理服务支持被审计的事件说明
密钥管理服务已与操作审计服务集成,您可以在操作审计中查询用户操作密钥管理服务产生的管控事件。密钥管理服务支持将管控事件投递到日志服务SLS的LogStore或对象存储OSS的存储空间中,满足实时审计、问题回溯分析等需求。密钥管理服务记录...
UpdateRotationPolicy
密钥的每个密钥版本消耗一个密钥配额。例如密钥有V1、V2、V3三个密钥版本,则该密钥消耗3个密钥配额。本文将提供一个示例,为密钥ID为 key-hzz62f1cb66fa42qo*的密钥开启自动轮转,自动轮转的时间周期为30天。调试 您可以在OpenAPI ...
自定义权限策略示例
使用非对称密钥进行数字签名和验签 {"Version":"1","Statement":[{"Effect":"Allow","Action":["kms:AsymmetricSign","kms:AsymmetricVerify"],"Resource":["acs:kms:${region}:${account}:key/*","acs:kms:${region}:${account}:alias/*"]...
基本概念
概念 说明 密钥服务(Key Service)密钥服务提供密钥的全托管和保护,支撑基于云原生接口的极简数据加密和数字签名。关于密钥服务的更多信息,请参见 密钥服务概述。用户主密钥CMK(Customer Master Key)用户主密钥主要用于加密保护数据...
快速入门
附加密钥用途:当密钥类型为非对称密钥时,支持设置附加密钥用途,让一个密钥具有多个用途。步骤三:为专属KMS标准版实例创建凭据 如果您需要使用凭据管家的功能并在购买实例时设置了凭据数量,需要执行本步骤,否则跳过本步骤。在 专属KMS...
将用户主密钥从KMS默认实例迁移至您独享的KMS实例
有多个密钥版本的主密钥 本文适用于应用部署在阿里云上,如果您的应用部署在阿里云外,请通过 智能在线 联系技术支持人员。迁移前请您先了解KMS软件密钥管理实例以及硬件密钥管理实例支持的能力。详细信息,请参见 产品选型。迁移场景 场景...
密钥策略概述
密钥策略是基于资源的策略,用于控制哪些阿里云账号、RAM用户、RAM角色有权限来管理或使用KMS密钥,KMS实例中的每个密钥必须有且只有一个密钥策略。本文介绍密钥策略的详细信息。密钥策略与访问控制RAM的权限策略的关系 密钥策略支持将当前...
密钥管理服务的审计事件
密钥管理服务已与操作审计服务集成,您可以在操作审计中查询用户操作密钥管理服务产生的管控事件。操作审计支持将管控事件投递到日志服务SLS的LogStore或对象存储OSS的存储空间中,满足实时审计、问题回溯分析等需求。操作审计记录了用户...
key_mgmt_tool
key_mgmt_tool命令行工具帮助您管理HSM中的密钥。你可以创建、删除密钥以及查看密钥属性。本文介绍如何使用key_mgmt_tool命令行工具。key_mgmt_tool工具提供的命令允许用户创建、删除、导入和导出密钥,获取和设置属性,查找密钥,并进行...
ALIYUN:KMS:Key
ALIYUN:KMS:Key类型用于创建一个主密钥。语法 {"Type":"ALIYUN:KMS:Key","Properties":{"KeyUsage":String,"Enable":Boolean,"PendingWindowInDays":Integer,"Description":String,"KeySpec":String,"EnableAutomaticRotation":Boolean,...
别名概述
每个别名只能指向同地域的一个用户主密钥,但是每个用户主密钥可以拥有多个别名。一个别名一定会指向一个用户主密钥,但是别名是独立于用户主密钥存在的一个资源。别名的特点如下:可以调用 UpdateAlias 接口更改别名关联的用户主密钥,而...
创建密钥
您可以通过Terraform创建并管理密钥。本文以创建密钥为例进行介绍。概述 KMS支持您创建默认密钥(主密钥),该密钥不需要购买KMS实例即可创建,也支持您在KMS实例中创建密钥。关于密钥的更多信息,请参见 密钥服务概述。了解更多关于密钥...
KMS密钥迁移到专属KMS指导
不支持迁移的密钥 说明 多版本密钥 目前仅支持迁移有且仅有一个版本的密钥,对于存在多个版本的密钥暂不支持迁移。开启轮转的密钥 对于开启了自动轮转但目前仅有一个版本的密钥,在关闭密钥轮转后仍可以迁移。BYOK密钥 BYOK密钥暂不支持...
使用KMS信封加密在本地加密和解密数据
加密和解密的原理 使用KMS创建一个主密钥,使用主密钥生成一个数据密钥,再使用数据密钥在本地加解密数据。这种场景适用于大量数据的加解密。具体架构如下所示:信封加密 操作流程如下:通过KMS控制台,或者调用 CreateKey,创建一个用户主...
密钥服务概述
主密钥:每个地域可创建一个,由您自主管理生命周期,密钥材料可由KMS生成也可以由您自主导入。软件密钥 被自建应用集成用于构建应用层密码技术方案。例如:创建AES算法的主密钥,用于自定义数据加密和解密方案;创建RSA算法的主密钥,用于...
使用KMS一键保护ECS工作负载
当您制作完成这个具备在生产环境运行的自定义镜像并作为基线之后,即可通过复制镜像的方式,产生一个加密镜像,为系统盘进行加密。登录 ECS管理控制台。在左侧导航栏,选择 实例与镜像>镜像。在顶部菜单栏左上角处,选择地域。在 镜像 页面...
使用KMS加密云服务
密钥管理服务KMS(Key Management Service)已集成云服务器ECS、对象存储OSS、容器服务Kubernetes版ACK、云数据库RDS等云服务,您可以使用KMS加密这些云服务,保护云上数据安全。加密云服务器ECS 您可以使用KMS加密ECS的资源,例如:ECS...
SSH密钥对概述
如果您需要使用多个密钥对登录实例,则可以在实例内部手动修改~/.ssh/authorized_keys 文件,添加多个密钥对,具体操作,请参见 添加或替换密钥对。已停售的实例规格无法使用SSH密钥对。更多信息,请参见 已停售的实例规格。基于数据安全...
添加或替换密钥对
在Linux实例内部,您可以添加多个密钥对以允许通过不同的密钥对访问同一实例,并且还能在需要时替换现有的密钥对。这种做法适用于多用户环境或者执行密钥轮换等场景。本文介绍如何在Linux实例内部添加或替换密钥对。前提条件 请确保您已...
配置 SSH 密钥
当本地存在多个密钥,如果不设置认证规则,本机将随机选择一个密钥用于认证,可能造成认证失败。因此,在如下场景中,需要自行定义认证密钥的路径:本地存在多个密钥对应云效的不同账号。本地存在多个密钥对应不同的代码平台(GitLab,...
使用KMS一键加密Kubernetes集群Secret
阿里云容器服务Kubernetes版(简称ACK)通过您指定的KMS主密钥,对Kubernetes集群Secret进行落盘加密,您只需一键配置即可实现对Kubernetes集群的安全保护。使用场景 Kubernetes拥有强大的运维编排管理能力,依赖大量的跨产品、跨服务、跨...
使用KMS一键加密Kubernetes集群Secret
阿里云容器服务Kubernetes版(简称ACK)通过您指定的KMS主密钥,对Kubernetes集群Secret进行落盘加密,您只需一键配置即可实现对Kubernetes集群的安全保护。使用场景 Kubernetes拥有强大的运维编排管理能力,依赖大量的跨产品、跨服务、跨...
创建SSH密钥对
您在一个地域最多可以拥有500个密钥对。本文介绍如何在ECS控制台上创建SSH密钥对。操作步骤 登录 ECS管理控制台。在左侧导航栏,选择 网络与安全>密钥对。在页面左侧顶部,选择目标资源所在的资源组和地域。在 密钥对 列表页面,单击 创建...
绑定SSH密钥对
通过修改公钥文件,您可以添加多个密钥对或替换现有的密钥对,具体操作,请参见 添加或替换密钥对。为单台ECS实例绑定密钥对 登录 ECS管理控制台。在左侧导航栏,选择 实例与镜像>实例。在页面左侧顶部,选择目标资源所在的地域。找到需要...
使用KMS主密钥在线加密和解密数据
操作流程如下:通过 KMS控制台 或者调用 CreateKey 接口,创建一个用户主密钥(CMK)。调用KMS服务的 Encrypt 接口,将明文证书加密为密文证书。将密文证书部署在云服务器上。当服务器启动需要使用证书时,调用KMS服务的 Decrypt 接口将密...
导入对称密钥材料
每个CMK只能拥有一个对称密钥材料。一个对称密钥材料导入CMK后,CMK将与该对称密钥材料绑定,后续将无法导入其他对称密钥材料。支持导入128位、192位或256位对称密钥作为对称密钥材料。步骤一:创建外部密钥 登录 密钥管理服务控制台。在...
API概览
您可以为用户主密钥添加多个标签,每一个标签为一组标签键(TagKey)和标签值(TagValue)。API 描述 TagResource 为用户主密钥或者凭据添加或修改标签。UntagResource 删除用户主密钥或者凭据的指定标签。ListResourceTags 列出用户主密钥...
GenerateAndExportDataKey
调用GenerateAndExportDataKey接口随机生成一个数据密钥,通过您指定的主密钥(CMK)和公钥加密后,返回CMK加密数据密钥的密文和公钥加密数据密钥的密文。注意事项 非KMS实例中的密钥:进行密码运算时,仅支持通过阿里云SDK调用OpenAPI。...
密钥管理
不支持一个密钥名称配置多个密钥值。仅支持在创建临时表(即CREATE TEMPORARY TABLE)时的WITH参数中调用密钥,如果在持久表(即CREATE TABLE)的WITH参数中调用密钥,则这张表会无法正常使用。注意事项 请谨慎删除已创建的密钥,可能会...
GenerateAndExportDataKey
调用GenerateAndExportDataKey接口随机生成一个数据密钥,通过您指定的主密钥(CMK)和公钥加密后,返回CMK加密数据密钥的密文和公钥加密数据密钥的密文。注意事项 非KMS实例中的密钥:进行密码运算时,仅支持通过阿里云SDK调用OpenAPI。...
加密数据盘
选择密钥时,可以选择KMS服务主密钥(Default Service CMK)或在下拉列表中选择事先在KMS服务中创建好的用户主密钥。说明 首次在下拉列表中选择更多类型的密钥时,单击 去授权,根据页面引导为ECS授权 AliyunECSDiskEncryptDefaultRole ...
开启数据盘加密
加密数据盘后,数据盘上的动态数据传输以及静态数据都会被加密。...打开 数据盘加密 开关,并在下拉列表中选择一个密钥。创建集群时,您还需要对集群进行软件配置、硬件配置、基础配置和确认订单,配置详情请参见 创建集群。
创建凭据
KMS实例ID variable"kms_instance_id"{ default="kst-gzz650d0533ntu2fm*"}/在KMS实例中创建一个AES密钥/密钥规格为Aliyun_AES_256,密钥用途是加密解密(ENCRYPT/DECRYPT)resource"alicloud_kms_key""aes_key"{ description="default_key...
共享密钥
堡垒机提供共享密钥功能。您可以创建私钥并将私钥批量关联到主机账户中,提高管理主机账户的效率。您也可以更改私钥的基本信息,增删关联主机账户,更好地满足运维需求。本文介绍如何创建和编辑私钥。背景信息 如果需要堡垒机使用密钥对...
导入密钥材料
每个CMK只能拥有一个导入密钥材料。当您将一个密钥材料导入CMK时,CMK将与密钥材料绑定,即便密钥材料已经过期或者被删除,也不能导入其他密钥材料。如果您需要轮换使用外部密钥材料的CMK,只能创建一个新的CMK然后导入新的密钥材料。CMK...
使用Terraform管理密钥管理服务资源
Terraform是HashiCorp公司提供的一种开源工具,用于安全高效地预览、配置和管理云基础架构和资源,帮助开发者自动化地创建、更新阿里云基础设施资源,并进行版本管理。本文介绍如何使用Terraform管理密钥管理服务资源。前提条件 如果您使用...
NEW_KEYSET
根据指定的算法类型,创建对应的密钥Keyset。命令格式 binary NEW_KEYSET(string,[string])参数说明 key_type:必填,创建数据密钥时,指定的算法类型。目前支持:AES-GCM-256、AES-SIV-CMAC-128 和 AES-SIV-CMAC-256。description:可选,...
- 产品推荐
- 这些文档可能帮助您