本文为您介绍如何使用托管密码机创建并使用密钥。
背景信息
通过密钥管理服务控制台创建密钥
通过阿里云CLI创建密钥
将外部密钥导入托管密码机
如果您需要将自建密钥基础设施中的密钥导入到托管密码机中,您只需要在创建外部密钥时,指定保护级别为Hsm。关于如何创建外部密钥,请参见通过控制台导入密钥材料。
将外部密钥导入托管密码机时,阿里云会进行如下操作:
- 当您调用GetParametersForImport时:阿里云将根据您指定的保护级别Hsm,在托管密码机中生成一个用于导入外部密钥的密钥对,并把密钥对的公钥返回给您。
- 当您调用ImportKeyMaterial时:阿里云将加密的外部密钥材料导入到托管密码机的内部,并通过HSM的密钥反打包(Unwrap)机制获取密钥材料本身,而导入的密钥材料明文不能被任何人导出。
管理和使用密钥
密钥管理服务支持的所有管理类功能和密码运算功能都适用于您在托管密码机中创建的密钥,具体功能如下:
- 密钥状态的开启和禁用
- 密钥的生命周期管理
- 密钥的别名管理
- 密钥的云标签管理
- 密码运算接口的调用
和其他云产品的集成
托管密码机中的密钥,可以通过密钥管理服务的标准接口和ECS、RDS、OSS等其它云产品实现无缝集成,用于对阿里云上的原生数据进行保护。云产品需要支持对用户自选密钥进行服务端加密的能力。您只需在云产品中配置用于服务端加密的CMK,选择一个创建在托管密码机中的密钥即可。