本文介绍迁移前您可能遇到的问题。
为什么要迁移到KMS 3.0?
迁移到KMS实例有以下优势:
KMS 1.0 迁移到KMS 3.0,KMS实例版本应该怎么选择?
阿里云为您提供软件密钥管理实例和硬件密钥管理实例, 如何选择,请参见选择合适的KMS 3.0实例。通常情况下,大多数用户使用软件密钥管理实例即可,建议可以先购买1000 QPS,在迁移前后可在控制台观察实例监控,实时观察QPS 情况,随时支持扩容。
软件密钥管理实例:软件密钥管理实例为您提供密钥服务、凭据管理服务,通过使用您独享的容器服务实例,将密钥和凭据安全地存储在您独享的数据库中,具备高度的可扩展性和安全性。
硬件密钥管理实例:硬件密钥管理实例通过连接您在阿里云加密服务中的密码机(HSM)集群提供密钥服务,同时使用您独享的容器服务实例,将凭据安全地存储在您独享的数据库中,为您提供更高的安全与合规等级保证的密钥服务、凭据管理服务。启用硬件密钥管理实例前,您需要在阿里云加密服务购买密码机(HSM)和配置密码机集群,并在KMS中进行连接。
说明加密服务中密码机(HSM)使用经国家密码管理局或FIPS 140-2 3级认证的硬件。
KMS 1.0和KMS 3.0功能有什么区别?
√ 表示支持该功能,× 表示不支持该功能。下表仅简要介绍,详细了解KMS 3.0支持的能力,请参见KMS 3.0产品选型。
功能 | KMS 1.0 | KMS 3.0 | KMS 3.0参考文档 |
用户主密钥(CMK) | √ | √ | |
BYOK | √ | √ | |
HYOK | × | √ | |
密钥轮转 | √ | √ | |
凭据轮转 | √ | √ | |
多账号管理 | × | √ | |
多VPC管理 | × | √ | |
⽇志审计 | × | √ | |
备份和恢复 | × | √ | |
资源监控 | × | √ | |
密钥策略、凭据策略 | × | √ |
已有KMS实例,是否需要重新购买KMS 3.0实例?
不需要,但迁移前请将实例升级到最新版本。
KMS软件密钥管理实例(原KMS基础版实例):升级操作,请参见升级KMS实例的镜像版本。
KMS硬件密钥管理实例(原KMS标准版实例):升级实例版本,请联系我们。
KMS 1.0迁移到KMS 3.0是否会影响业务?
不影响业务,但迁移过程中您无法进行管控类操作。
KMS迁移过确保了管控和数据分离,整个迁移过程不影响业务,凭据的调用、云产品加密和应用加密均可正常使用。
需要注意的是,在启动迁移到迁移完成的时间窗口内,密钥、凭据、KMS实例都无法执行管控类操作,例如创建、修改、删除资源。
迁移工具是否支持回滚?
不支持。
本次迁移不支持回滚,请确认无误后再执行,以免误操作影响您的业务。迁移后出现任何问题,请联系我们。
迁移需要多长时间?
通常情况下,密钥和凭据的迁移会在几分钟内完成。
是否支持分批迁移?
支持。
建议分批迁移,迁移时请手动选择要迁移的密钥和凭据,每次选择的密钥和凭据总数不超过50个。具体操作,请参见步骤二:迁移步骤。