本文介绍KMS 1.0的资源迁移到KMS 3.0实例的整个流程。
仅支持同地域迁移,如果您在多个地域有资源,需要每个地域分别购买KMS 3.0实例,然后按地域迁移。
步骤一:判断是否有需要迁移的资源
该方式只显示支持迁移的密钥,对于不支持迁移的密钥,您可以在迁移后在旧版控制台查看还剩余哪些密钥,然后联系阿里云技术支持。
登录旧版密钥管理控制台,在左侧目录单击迁移工具。
当迁移按钮可操作时,表示该地域有需要迁移的密钥或凭据。
重要数据按照地域维度展示,请查看所有地域的数据,避免遗漏。
单击未迁移密钥数量、已迁移密钥数量、未迁移凭据数量、已迁移凭据数量这几列的数字,查看具体的密钥ID和凭据名称。
步骤二:迁移步骤
每次迁移最多可以迁移50个密钥和50个凭据,如果您的资源数量较多,推荐您分批次迁移。
单账号迁移场景
准备目标KMS实例。
未购买KMS实例的场景,请先购买和启用KMS实例。具体操作,请参见购买和启用KMS实例。
推荐您为KMS实例开启自动续费,避免实例到期后释放应用数据无法解密发生故障。
已有实例的场景,请确保实例的镜像版本满足迁移要求。
软件密钥管理实例:当镜像版本是2.9.0以下版本时,请升级镜像到最新版本。具体操作,请参见升级KMS实例的镜像版本。
硬件密钥管理实例:请联系阿里云技术支持升级镜像版本。
登录旧版密钥管理控制台,关闭密钥和凭据的轮转。
说明不支持批量关闭轮转功能,请您逐个对密钥关闭轮转。
在左侧目录单击迁移工具,找到待迁移的资源所在地域,单击操作列的迁移,在迁移资源页签完成各项配置。
配置项
说明
实例类型
目标KMS实例的类型。
实例
选择目标KMS实例。
迁移方式
自动迁移:选择迁移时间,到期后自动迁移。
立即手动迁移:配置后立即迁移。
迁移时间
选择自动迁移时,才需要设置。
迁移资源
重要迁移前请确保KMS实例中的额度充足,避免因为额度问题导致迁移失败。
手动选择迁移资源:手动选择资源,每次选择的密钥和凭据总数不超过50个。
待迁移密钥和凭据全量迁移:一次迁移所有的密钥和凭据。
请仔细阅读迁移须知后,单击确定,确认迁移清单后单击迁移。
您可以在任务状态列查看迁移进展,迁移结束后会提示迁移完成。
多账号迁移场景
如果您需要将多个阿里云账号下的资源迁移到一个KMS实例中,请参考如下步骤。
在其中一个账号下准备目标KMS实例。
未购买KMS实例的场景,请先购买和启用KMS实例。具体操作,请参见购买和启用KMS实例。
推荐您为KMS实例开启自动续费,避免实例到期后释放应用数据无法解密发生故障。
已有实例的场景,请确保实例的镜像版本满足迁移要求。
软件密钥管理实例:当镜像版本是2.9.0以下版本时,请升级镜像到最新版本。具体操作,请参见升级KMS实例的镜像版本。
硬件密钥管理实例:请联系阿里云技术支持升级镜像版本。
将KMS实例共享给其他阿里云账号。具体操作,请参见多账号共享KMS实例中的步骤一~步骤三。
重要仅支持资源目录内共享,且资源所有者和资源使用者是同一个企业实名认证主体。
登录每个阿里云账号,将该账号下的资源迁移到KMS实例,操作步骤与单账号迁移场景相同。
步骤三:迁移后操作
登录新版控制台,查看并确认迁移后的资源。
服务密钥
单击密钥管理页面,在顶部菜单栏选择地域。
单击默认密钥页签,确认密钥用法列为服务密钥的密钥是否包含您的服务密钥。
用户主密钥
单击密钥管理页面,在顶部菜单栏选择地域。
单击用户主密钥页签,确认是否包含迁移后的用户主密钥。
凭据
单击凭据管理页面,在顶部菜单栏选择地域。
选择KMS实例,确认是否包含迁移后的凭据。
如果您通过Terraform使用KMS,请务必修改Terraform配置。具体操作,请参见Terraform场景下迁移后修改配置。