本文介绍您在迁移密钥的过程中可能遇到的问题。
哪些密钥支持迁移?
密钥保护级别为软件(Software)
具体可以迁移到哪种实例中请参见下表。
重要BYOK:支持迁移,KMS会直接迁移密钥材料,无需您手动上传。
多版本密钥:支持迁移,KMS会迁移所有密钥版本。
如果密钥设置了自动轮转,为确保迁移前后版本保持一致,迁移前请手动关闭自动轮转。具体操作,请参见自动轮转密钥。
待迁移密钥规格
软件密钥管理实例
硬件密钥管理实例
Aliyun_AES_256(单版本)
√
√
Aliyun_AES_256(多版本)
√
×
RSA_2048(单版本)
√
√
EC_P256(单版本)
√
√
EC_P256K(单版本)
√
√
密钥保护级别为硬件(HSM)
具体可以迁移到哪种实例中请参见下表。
待迁移密钥规格
软件密钥管理实例
硬件密钥管理实例
Aliyun_AES_256(单版本)
√
√
Aliyun_AES_256(多版本)
√
×
Aliyun_SM4(单版本)
×
√
Aliyun_SM4(多版本)
×
×
RSA_2048(单版本)
√
√
EC_P256(单版本)
√
√
EC_P256K(单版本)
√
√
RSA_3072(单版本)
√
√
EC_SM2(单版本)
×
√
开启自动轮转的密钥是否支持迁移?
支持迁移。
迁移前您需要手动关闭自动轮转。
BYOK、多版本密钥是否支持迁移?
支持迁移。
BYOK密钥KMS会直接迁移密钥材料,无需您手动上传,多版本密钥KMS会迁移所有密钥版本。
迁移后密钥ID等数据是否发生变化?
不发生变化。
KMS会迁移用户主密钥的元数据以及密钥材料,元数据包含:密钥ID、密钥状态、删除保护、别名、标签等,迁移后这些数据不发生改变。
迁移过程中能否操作密钥?
不能。
迁移过程中管控和业务数据分离,迁移过程不影响您的业务,密码运算操作可正常使用,但为避免迁移过程中因为数据一致性问题导致迁移失败,您无法执行密钥相关管控操作,即修改密钥元数据、删除密钥等都不支持。
是否支持跨地域迁移密钥?
不支持。
但您可以先将密钥迁移到同地域的KMS 3.0实例,然后使用备份功能将密钥备份到另一个地域的KMS 3.0实例中。备份功能的详细介绍,请参见灾备管理。
是否支持跨账号迁移密钥?
支持,但这些账号需要属于同一个地域。
您需要先将KMS实例共享给其他账号,才能将这些账号中的密钥迁移到KMS实例中。具体操作,请参见步骤二:迁移步骤。
迁移完成后在哪里查看服务密钥?
单击密钥管理页面,在顶部菜单栏选择地域。
单击默认密钥页签,确认密钥用法列为服务密钥的密钥是否包含您的服务密钥。
