本文介绍您在迁移密钥的过程中可能遇到的问题。
哪些密钥支持迁移?
同时满足如下两个条件的密钥支持迁移。
密钥保护级别为软件(Software)。
仅支持迁移如下规格的密钥。具体可以迁移到哪种实例中请参见下表。
待迁移密钥规格
软件密钥管理实例
硬件密钥管理实例
Aliyun_AES_256(单版本)
√
√
Aliyun_AES_256(多版本)
√
×
RSA_2048(单版本)
√
√
EC_P256(单版本)
√
√
EC_P256K(单版本)
√
√
哪些密钥不支持迁移?
满足任一如下条件的密钥均不支持迁移:
密钥规格:RSA_3072、EC_SM2、Aliyun_SM4。
保护级别:HSM。
开启自动轮转的密钥是否支持迁移?
支持迁移。
迁移前您需要手动关闭自动轮转。
BYOK、多版本密钥是否支持迁移?
支持迁移。
BYOK密钥KMS会直接迁移密钥材料,无需您手动上传,多版本密钥KMS会迁移所有密钥版本。
迁移后密钥ID等数据是否发生变化?
不发生变化。
KMS会迁移用户主密钥的元数据以及密钥材料,元数据包含:密钥ID、密钥状态、删除保护、别名、标签等,迁移后这些数据不发生改变。
迁移过程中能否操作密钥?
不能。
迁移过程中管控和业务数据分离,迁移过程不影响您的业务,密码运算操作可正常使用,但为避免迁移过程中因为数据一致性问题导致迁移失败,您无法执行密钥相关管控操作,即修改密钥元数据、删除密钥等都不支持。
是否支持跨地域迁移密钥?
不支持。
但您可以先将密钥迁移到同地域的KMS 3.0实例,然后使用备份功能将密钥备份到另一个地域的KMS 3.0实例中。备份功能的详细介绍,请参见灾备管理。
是否支持跨账号迁移密钥?
支持,但这些账号需要属于同一个地域。
您需要先将KMS实例共享给其他账号,才能将这些账号中的密钥迁移到KMS实例中。具体操作,请参见步骤二:迁移步骤。
迁移完成后在哪里查看服务密钥?
单击密钥管理页面,在顶部菜单栏选择地域。
单击默认密钥页签,确认密钥用法列为服务密钥的密钥是否包含您的服务密钥。
文档内容是否对您有帮助?