如何备份及恢复非中国内地密码机的数据_密钥管理服务(KMS)-阿里云帮助中心

通过备份恢复功能，您可以将密码机恢复到之前的数据，或者将数据恢复到同地域或跨地域的其他密码机中，以满足数据恢复或跨地域开服场景的要求。本文介绍如何使用数据备份恢复功能。

功能介绍

每次备份会全量备份一次密码机的数据，每次备份生成一个镜像，如果镜像已经备份了数据，再次使用该镜像备份数据时会覆盖之前的数据。HSM支持您备份集群中所有密码机的数据，即为所有密码机开启数据备份恢复，也支持备份其中一个密码机的数据。

备份数据	说明
用户信息	用户账号密码及身份类型。
证书信息	集群证书，自签发证书。
密钥	密钥及其属性（密钥标识符、密钥类型、密钥用途、密钥状态、密钥所属用户信息、KCV标识符、椭圆曲线类型（仅针对ECC密钥）、CRT参数（仅针对RSA密钥））等。

说明

KMS的硬件密钥是一种依赖于HSM的密钥，包含密钥材料（加密机密钥）和密钥元数据。HSM可对硬件密钥的密钥材料（加密机密钥）进行备份，硬件密钥元数据不支持备份。

仅支持全量备份，不支持增量备份。

T日开启数据备份恢复功能后，系统会在T+1日的00:00（UTC+8）开启第一次备份，后续每日的00:00（UTC+8）备份一次。每次备份生成一个镜像，如果所有镜像都被占用，新生成的镜像会覆盖时间点最早的镜像。

说明

生成镜像前，HSM会将本次备份的密码机数据的摘要与上一个镜像的摘要进行对比，如果摘要一致说明密码机数据没有变更，该场景下不会新生成镜像，以节约您的镜像数量。

备份及备份中的镜像均不支持下载，也不支持查看镜像的详细数据，降低了数据被非法复制或泄露的风险。

备份及备份中的镜像均不支持手动删除。在密码机实例释放90天后，备份会被自动删除，备份中的所有镜像数据将被释放。在备份被删除前，您均可执行跨地域复制或恢复实例操作。

备份和恢复操作支持通过操作审计（ActionTrail）查询。

为密码机实例开启数据备份功能时，按照选择的镜像数量收费，每个镜像50元。

将集群中密码机数据恢复时，需要先将集群中所有密码机移除，再使用镜像重新创建密码机并部署集群。该方式会将集群中所有数据删除，以下流程仅供参考，建议您操作前联系技术支持。

整个流程如下，需要注意在地域B下购买密码机时，由于HSM仅支持双可用区部署，您至少需要购买两个密码机，购买后无需执行启用、初始化密码机等操作。

备份数据时，要备份数据的密码机实例状态必须是已启用。

您可以在购买密码机实例时同步开启数据备份恢复，该场景下由于HSM仅支持集群方式部署，购买实例时必须选择双可用区下的至少两个密码机，该方式会为所有的密码机实例开启数据备份恢复功能。您也可以购买时不开启数据备份恢复，后续为单个密码机开启数据备份。

方式一：购买密码机实例时同步选择了数据备份恢复。
具体操作，请参见购买并启用密码机实例。启用成功后将按照时间点自动备份，您可以在数据备份恢复管理页面查看备份。
方式二：购买密码机实例时未选择数据备份恢复，后续开启数据备份恢复功能。
1. 访问加密服务控制台的实例列表页面，在顶部菜单栏，选择目标地域。
2. 定位到目标密码机，单击操作列的 > 升级。
  说明
  如果无法查看到升级，可能是因为该密码机已开启备份恢复功能。
3. 在变配页面，开启数据备份恢复并选择镜像数量，仔细阅读并勾选服务协议后，单击立即购买，按照指引完成购买。
  购买成功后即按照时间点自动备份，在数据备份恢复管理页面，您可以看到已经生成的备份的名称。

仅支持在非中国内地跨地域复制镜像，复制完成后，在目标地域会自动创建一个备份类型为跨地域复制的备份，您复制的镜像会在该备份下。例如，您可以将新加坡地域下的一个镜像复制到马来西亚（吉隆坡）。

HSM支持恢复到同地域的密码机中，也支持恢复到跨地域的密码机中。通过镜像恢复，您可以恢复密码机原来的数据，也可以新创建一个数据相同的密码机。

重要

目标密码机需要满足如下条件：

准备密码机实例。
- 目标地域无密码机时，请先购买密码机实例。具体操作，请参见购买密码机实例。
  重要
  购买后请勿启用密码机实例。
- 目标密码机处于已使用状态，请先联系阿里云技术支持停用并重置密码机实例。
找到目标镜像。
1. 访问加密服务控制台的数据备份恢复管理页面，在顶部菜单栏，选择目标地域。
2. 在数据备份恢复管理页面，找到目标镜像。
  - 同地域恢复：找到备份类型为自动创建的备份，单击目标备份操作列的查看镜像。
  - 跨地域恢复：找到备份类型为跨地域复制的备份，单击操作列的查看镜像。
定位到目标镜像ID，单击操作列的恢复实例。
在备份恢复对话框中，选择恢复目标实例，然后单击确定。
恢复成功后，镜像中的数据会复制到目标密码机中。