密钥管理快速入门

概述

KMS提供默认密钥、软件密钥和硬件密钥三种密钥管理类型，以满足不同业务场景、安全与合规要求。更多详细信息，请您参见密钥服务概述、密钥管理类型和密钥规格。

默认密钥

服务密钥由云产品代您创建和管理，主密钥由您自主创建和管理。本文以创建和使用主密钥为例。

步骤一：创建主密钥

1. 登录密钥管理服务控制台，在顶部菜单栏选择地域信息后，在左侧导航栏单击密钥管理页面。

2. 在密钥管理页面，单击默认密钥页签。

3. 单击主密钥操作列的启用，完成配置项设置，然后单击确定。

   配置项	说明
   密钥别名	密钥的别名标识符。支持英文字母、数字、下划线（_）、短划线（-）和正斜线（/）。
   描述信息	自定义密钥的说明信息。
   高级选项	密钥材料来源： 阿里云KMS：密钥材料将由KMS生成。 外部：KMS不会生成密钥材料，您需要自行导入密钥材料。更多信息，请参见导入对称密钥材料。 说明 请仔细阅读并选中我了解使用外部密钥材料的方法和意义。

步骤二：使用密钥

您可在已集成KMS的阿里云产品中使用默认密钥。关于云产品集成KMS的更多信息，请参见云产品集成KMS加密概述、支持集成KMS加密的云产品。

关于云产品服务端加密集成KMS支持的密钥类型，请参考对应云产品的相关文档。

软件密钥

前提条件

已购买并启用KMS软件密钥管理实例。具体操作，请参见购买和启用KMS实例。

步骤一：创建密钥

1. 登录密钥管理服务控制台，在顶部菜单栏选择地域信息后，在左侧导航栏单击密钥管理页面。

2. 在密钥管理页面，单击用户主密钥页签，实例ID选择软件密钥管理实例，单击创建密钥。

3. 在创建密钥面板，完成配置项设置，然后单击确定。

   配置项	说明
   密钥类型	选择密钥是对称密钥还是非对称密钥。 重要 如果您创建的密钥用于加密凭据值，请选择对称密钥。
   密钥规格	密钥的规格。 对称密钥规格：Aliyun_AES_256 非对称密钥规格：RSA_2048、RSA_3072、EC_P256、EC_P256K
   密钥用途	密钥的用途。取值： Encrypt/Decrypt：数据加密和解密。 Sign/Verify：产生和验证数字签名。
   密钥别名	密钥的别名标识符。支持英文字母、数字、下划线（_）、短划线（-）和正斜线（/）。
   标签	密钥的标签，方便您对密钥进行分类管理。每个标签由一个键值对（Key:Value）组成，包含标签键（Key）、标签值（Value）。 说明 标签建和标签值的格式：最多支持128个字符，可以包含英文大小写字母、数字、正斜线（/）、反斜线（\）、下划线（_）、短划线（-）、半角句号（.）、加号（+）、等于号（=）、半角冒号（:）、字符at（@）。 标签键不能以aliyun或acs:开头。 每个密钥最多可以设置20个标签键值对。
   自动轮转	仅对称密钥支持设置自动轮转，开关默认开启。详细内容，请参见密钥轮转。
   轮转周期	支持设置为7~365天。
   描述信息	密钥的说明信息。

步骤二：使用密钥

软件密钥可被云产品集成用于服务端加密，也可被您的应用集成用于构建应用层密码技术方案。

• 云产品集成KMS密钥用于服务端加密

  更多信息，请参见云产品集成KMS加密概述、支持集成KMS加密的云产品。关于云产品服务端加密集成KMS支持的密钥类型，请参考对应云产品的相关文档。

• 应用集成KMS密钥进行数据加密和解密

  KMS提供了KMS实例SDK，帮助您轻松使用密码运算API，实现使用密钥对数据进行加密、解密、签名、验签等功能。具体信息，请参见KMS实例SDK。

  此外，根据使用场景KMS提供了详细的指导文档，便于您使用密钥。如果您使用KMS密钥在线加密和解密数据，请参见使用KMS密钥在线加密和解密数据。如果您使用KMS密钥进行信封加密，请参见使用KMS密钥进行信封加密。

硬件密钥

前提条件

已购买并启用KMS硬件密钥管理实例。具体操作，请参见购买和启用KMS实例。

步骤一：创建密钥

1. 登录密钥管理服务控制台，在顶部菜单栏选择地域信息后，在左侧导航栏单击密钥管理页面。

2. 在密钥管理页面，单击用户主密钥页签，实例ID选择硬件密钥管理实例，单击创建密钥。

3. 在创建密钥面板，完成配置项设置，然后单击确定。

   配置项	说明
   密钥类型	选择要创建的密钥是对称密钥还是非对称密钥。 重要 如果您创建的密钥用于加密凭据值，请选择对称密钥。
   密钥规格	密钥的规格。 对称密钥规格：Aliyun_AES_256、Aliyun_AES_192、Aliyun_AES_128、Aliyun_SM4 非对称密钥规格：RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P256K、EC_SM2
   密钥用途	密钥的用途。取值： Encrypt/Decrypt：数据加密和解密。 Sign/Verify：产生和验证数字签名。
   密钥别名	密钥的别名标识符。支持英文字母、数字、下划线（_）、短划线（-）和正斜线（/）。
   标签	密钥的标签，方便您对密钥进行分类管理。每个标签由一个键值对（Key:Value）组成，包含标签键（Key）、标签值（Value）。 说明 标签建和标签值的格式：最多支持128个字符，可以包含英文大小写字母、数字、正斜线（/）、反斜线（\）、下划线（_）、短划线（-）、半角句号（.）、加号（+）、等于号（=）、半角冒号（:）、字符at（@）。 标签键不能以aliyun或acs:开头。 每个密钥最多可以设置20个标签键值对。
   描述信息	密钥的说明信息。
   高级选项	阿里云KMS：密钥材料将由KMS生成。 外部：KMS不会生成密钥材料，您需要自行导入密钥材料。更多信息，请参见导入对称密钥材料和导入非对称密钥材料。 说明 请仔细阅读并选中我了解使用外部密钥材料的方法和意义。

步骤二：使用密钥

硬件密钥可被云产品集成用于服务端加密，也可被您的应用集成用于构建应用层密码技术方案。

• 云产品集成KMS密钥用于服务端加密

  更多信息，请参见云产品集成KMS加密概述、支持集成KMS加密的云产品。关于云产品服务端加密集成KMS支持的密钥类型，请参考对应云产品的相关文档。

• 应用集成KMS密钥进行数据加密和解密

  KMS提供了KMS实例SDK，帮助您轻松使用密码运算API，实现使用密钥对数据进行加密、解密、签名、验签等功能。具体信息，请参见KMS实例SDK。

  此外，根据使用场景KMS提供了详细的指导文档，便于您使用密钥。如果您使用KMS密钥在线加密和解密数据，请参见使用KMS密钥在线加密和解密数据。如果您使用KMS密钥进行信封加密，请参见使用KMS密钥进行信封加密。

相关文档

• 密钥服务概述

• 阿里云SDK for Java

• 使用KMS密钥在线加密和解密数据

• 使用KMS密钥进行信封加密