AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页 密钥管理服务 加密服务HSM 操作指南 管理密码机实例和集群

管理密码机实例

更新时间:
复制为 MD 格式
产品详情
我的收藏

本文介绍如何启用、修改、停用、恢复及重置密码机实例。

管理实例

启用密码机实例

  • 创建密码机集群:需要启用主密码机实例,无需启用子密码机实例。

  • 通过镜像创建密码机:无需启用该密码机实例。详细内容,请参见数据备份恢复

  1. 访问加密服务控制台的虚拟密码机实例页面,在顶部菜单栏,选择目标地域。

  2. 虚拟密码机实例页面,定位到已创建的密码机实例,单击操作列的启用

  3. 密码机实例配置对话框,配置密码机实例,然后单击确定。配置成功后,密码机实例的状态变为已启用

    配置项

    说明

    所属的VPC网络ID

    选择密码机实例需要绑定的VPC。

    重要

    需要与您的ECS实例绑定的VPC是同一个。

    所属的VPC子网

    选择密码机实例所属的VPC子网网段。

    分配私网IP地址

    为密码机实例分配一个私网IP地址。

    重要

    • 私网IP地址必须是所属的VPC子网网段中的IP地址,否则配置将会失败。

    • 末位为253、254、255IP地址为系统保留地址,请勿使用。

    设置密码机实例白名单

    设置访问该密码机实例的白名单。您可以输入单个IP地址或网段地址,每行输入1条数据,最多可以输入10条数据。

    • 未设置白名单:所有IP地址都能访问密码机实例。

    • 设置了白名单:仅支持白名单内的访问请求,不在白名单内的访问请求将被拒绝。

    重要

    • 如果您创建了集群并设置了集群的白名单,那么集群的白名单优先级高于集群中密码机实例的白名单。

      例如,集群中密码机实例的白名单为10.10.10.10,集群的白名单为172.16.0.1,则您只能通过172.16.0.1访问集群中的密码机实例。

    • 不支持配置为0.0.0.0/0(放行所有来源IP)。

      基于安全考虑,不推荐您放行所有来源IP。如果因临时测试等原因确实需要放行所有来源IP,不配置白名单即可。

修改密码机实例配置

密码机实例未加入集群时,您可以修改密码机实例所属的VPC、VPC子网、私网IP地址和密码机实例白名单;密码机实例加入集群后,您只能修改密码机实例的私网IP地址。

  1. 虚拟密码机实例页面,找到目标密码机实例,单击操作列的更多图标,然后单击配置

  2. 密码机实例配置对话框,修改密码机实例的配置,然后单击确定

停用密码机实例

重置密码机实例或者从集群中删除密码机实例前,您需要先停用密码机实例的业务功能。

警告

  • 停用会断开密码机实例的网络连接,请谨慎操作。

  • 不允许停用集群中的主密码机实例。

  1. 虚拟密码机实例页面,找到目标密码机实例,单击操作列的停用

  2. 在弹出的对话框,再次单击停用。停用后,密码机实例的状态列显示为已停用

恢复密码机实例

通过恢复密码机实例,重新启用已被停用的密码机实例业务。

  1. 虚拟密码机实例页面,找到目标密码机实例,在操作列单击恢复

  2. 在弹出的对话框,再次单击恢复。恢复后,密码机实例的状态列显示为已启用

重置密码机实例

中国内地密码机实例停用后,可以通过重置密码机实例,恢复密码机实例为出厂状态,即未初始化状态。

警告

重置将清空密码机实例中的数据,并恢复到出厂状态,请谨慎操作。

  1. 虚拟密码机实例页面,找到目标密码机实例,单击操作列的重置

  2. 在弹出的对话框中,再次单击重置

管理集群

扩展集群

您可以将处于不同可用区的密码机实例加入到同一集群进行统一管理,提高加密服务的高可用性。添加到集群的密码机实例需符合以下要求:

  • 密码机实例未初始化。

  • 密码机实例为已启用未启用状态。

  • 密码机实例与主密码机为同一类型密码机。

  • 密码机实例未配置交换机或与主密码机属于同一交换机。

重要

  • 如果密码机实例已配置了密码机实例白名单,加入集群后该密码机实例的访问白名单将继承集群的访问白名单,原密码机实例白名单将被清空。

  • 如果您扩展的是KMS硬件密钥管理实例关联的密码机集群,请先确保集群的数据同步方式是自动同步。如果同步方式是手动同步,请先联系阿里云技术支持升级为自动同步。

  1. 虚拟密码机实例页面,定位到目标主密码机实例,单击操作列的扩展集群

  2. 通过以下方式添加密码机实例到集群。

    • 还未购买密码机实例时,在添加密码机实例到集群 对话框,单击订购密码机,新购密码机实例。

      购买的密码机实例会自动添加到集群,同时加密服务会自动为该密码机实例分配IP地址,并完成集群内数据的同步。

    • 已购买密码机实例时,在添加密码机实例到集群 对话框,选择需要添加的密码机实例,单击添加,然后单击确定

移出集群

移出集群中的密码机实例时,您需要先移出子密码机实例,最后移出主密码机实例。当集群中只有主密码机实例时,主密码机实例可以直接被移出。在主密码机实例被移出之后,集群会自动删除。

  1. 停用密码机。您需要先停用密码机后,才可以将密码机移出集群。

    1. 虚拟密码机实例页面,找到目标密码机实例,单击操作列的停用

    2. 在弹出的对话框,再次单击停用

  2. 虚拟密码机实例页面,找到目标密码机实例,单击操作列的移出集群

  3. 在弹出的对话框,再次单击移出集群

修改集群名称和访问白名单

如果未设置白名单,则所有IP地址都能访问集群,如果设置了白名单,则不在白名单内的访问请求将被拒绝。

  1. 虚拟密码机实例页面,单击主密码机或子密码机的实例ID。

  2. 实例详情页签,编辑集群名称和访问白名单。

    您可以输入单个IP地址或网段地址,每行输入1条数据,最多可以输入10条数据。

    重要

    • 集群的白名单优先级高于集群中密码机实例的白名单。例如,您设置的集群中密码机实例的白名单为10.10.10.10,集群的白名单为172.16.0.1,则您只能通过172.16.0.1访问集群中的密码机实例。

    • 不支持配置为0.0.0.0/0(放行所有来源IP)。

      基于安全考虑,不推荐您放行所有来源IP。如果因临时测试等原因确实需要放行所有来源IP,不配置白名单即可。

切换主子密码机

手动将子密码机切换为集群中的主密码机。

说明

自动同步集群不支持主子切换,其他类型集群均支持。

  1. 虚拟密码机实例页面,找到目标子密码机实例,单击操作列的切换主机

  2. 在弹出的对话框中,单击切换

上一篇:密钥属性常量下一篇:安全合规