迁移FAQ_密钥管理服务(KMS)-阿里云帮助中心

本文介绍迁移前您可能遇到的问题。

为什么要迁移到KMS 3.0？

迁移到KMS实例有以下优势：

高安全性： KMS 3.0有先进的租户隔离与独享实例架构，在安全隔离性上远超KMS 1.0。
产品功能全面升级：支持多个账号共用一个KMS实例、支持备份实例中的资源，同时集成日志服务与告警管理功能，为您提供更强大、更完善的使用体验。
访问控制精细化：不仅支持基于身份的访问控制策略，也支持基于资源的访问控制策略，适用于资源类型多样且资源本身的属性差异较大的情况。
性能和可靠性更高：
- 高性能加解密处理：KMS实例拥有更高的性能，以加解密操作而言，KMS 1.0的QPS为1000，而KMS实例中的加解密QPS支持您选择1000，2000，4000等，充分满足多样化性能需求。
- 冗余和容错机制：KMS实例具备数据备份功能以及多可用区部署架构，稳定性达到99.95%，数据可用性达到99.9999%，有效应对各类潜在故障。通过持续保障密钥管理服务的不间断可用性，降低因系统故障引发的数据加密或解密失效风险。

阿里云为您提供软件密钥管理实例和硬件密钥管理实例，如何选择，请参见选择合适的KMS 3.0实例。通常情况下，大多数用户使用软件密钥管理实例即可，建议可以先购买1000 QPS，在迁移前后可在控制台观察实例监控，实时观察QPS 情况，随时支持扩容。

软件密钥管理实例：软件密钥管理实例为您提供密钥服务、凭据管理服务，将密钥和凭据安全地存储在您独享的KMS实例中，具备高度的可扩展性和安全性。
硬件密钥管理实例：硬件密钥管理实例通过连接您在阿里云加密服务中的密码机（HSM）集群提供密钥服务，同时支持凭据管理，将凭据安全地存储在您独享的KMS实例中，为您提供更高的安全与合规等级保证的密钥服务、凭据管理服务。启用硬件密钥管理实例前，您需要在阿里云加密服务购买密码机（HSM）和配置密码机集群，并在KMS中进行连接。
说明
加密服务中密码机（HSM）使用经国家密码管理局或FIPS 140-2 Level 3认证的硬件。

√ 表示支持该功能，× 表示不支持该功能。下表仅简要介绍，详细了解KMS 3.0支持的能力，请参见KMS 3.0产品选型。

不需要，但迁移前请将实例升级到最新版本。

不影响业务，但迁移过程中您无法进行管控类操作。

KMS迁移过程确保了管控和数据分离，整个迁移过程不影响业务，凭据的调用、云产品加密和应用加密均可正常使用。

重要

需要注意的是，在启动迁移到迁移完成的时间窗口内，密钥、凭据、KMS实例都无法执行管控类操作，例如创建、修改、删除资源。

不支持。

本次迁移不支持回滚，请确认无误后再执行，以免误操作影响您的业务。迁移后出现任何问题，请联系我们。

通常情况下，密钥和凭据的迁移会在几分钟内完成。

支持。

建议分批迁移，迁移时请手动选择要迁移的密钥和凭据，每次选择的密钥和凭据总数不超过50个。具体操作，请参见步骤二：迁移步骤。

问题原因

由于迁移后密钥、凭据都归属于特定的KMS实例，因此迁移后RAM用户或RAM角色需要具备读取KMS实例信息的操作权限kms:DescribeDKMSInstances。当您为RAM用户或者RAM角色设置的权限策略不包含kms:DescribeDKMSInstances时，则会出现该报错。

说明

如果您为RAM用户或者RAM角色设置的是精细化的自定义权限策略时，可能会出现该报错。如果设置的是系统权限策略，由于系统权限策略中通常会将操作设置为kms:Describe*或kms:*，已经包含了kms:DescribeDKMSInstances操作，一般不会出现该报错。

解决方案

请根据提示将kms:DescribeDKMSInstances操作添加到RAM用户或RAM角色的自定义权限策略中。如何添加，请参见修改自定义权限策略内容和备注。

问题原因

由于迁移后密钥、凭据都归属于特定的KMS实例，当迁移完成后新创建密钥或凭据时，如果您是通过KMS 1.0控制台创建或通过OpenAPI创建时未输入KMS实例ID，则密钥或凭据仍会创建在KMS 1.0中并显示需要迁移。

说明

如果您是通过KMS 3.0控制台创建或者通过API创建时输入了KMS实例ID，则不会出现该问题。

解决方案

请设置默认实例，当您通过KMS 1.0控制台创建或通过API创建未输入KMS实例ID时，会自动创建在该默认实例中。