迁移KMS1.0实例_密钥管理服务(KMS)-阿里云帮助中心

如果您使用的是阿里云KMS 1.0版本，为了获得更高的产品性能及体验，建议您将资源迁移到同地域下的KMS 3.0软件密钥管理实例或者硬件密钥管理实例。迁移后密钥和凭据在KMS实例中存储，密钥在该地域内具有唯一性，凭据在该地域下的阿里云账号、KMS实例内都具有唯一性。本文介绍如何将KMS 1.0的资源迁移到KMS 3.0实例。

为什么需要迁移

为了给您提供更好的产品体验，阿里云计划将KMS 1.0于2025年03月30日00:00:00 （GMT+8 ）起进入EOSF阶段，2025年09月30日00:00:00（GMT+8 ）起进入EOS阶段。为避免对您的业务产生影响，请尽快将KMS 1.0资源迁移到KMS 3.0实例。迁移到KMS实例有以下优势：

高安全性： KMS 3.0有先进的租户隔离与独享实例架构，在安全隔离性上远超KMS 1.0。
产品功能全面升级：支持多个账号共用一个KMS实例、支持备份实例中的资源，同时集成日志服务与告警管理功能，为您提供更强大、更完善的使用体验。
访问控制精细化：不仅支持基于身份的访问控制策略，也支持基于资源的访问控制策略，适用于资源类型多样且资源本身的属性差异较大的情况。
性能和可靠性更高：
- 高性能加解密处理：KMS实例拥有更高的性能，以加解密操作而言，KMS 1.0的QPS为750，而KMS实例中的加解密QPS支持您选择1000，2000，4000等，充分满足多样化性能需求。
- 冗余和容错机制：KMS实例具备数据备份功能以及多可用区部署架构，稳定性达到99.95%，数据可⽤性达到99.9999%，有效应对各类潜在故障。通过持续保障密钥管理服务的不间断可用性，降低因系统故障引发的数据加密或解密失效风险。

迁移影响

业务影响

迁移对业务的以下方面有影响：

服务可用性：KMS迁移过确保了管控和数据分离，整个迁移过程不影响业务，凭据的调用、云产品加密和应用加密均可正常使用，期间可能会导致业务中断几秒钟，迁移结束后会自动恢复正常。
重要
在启动迁移到迁移完成的时间窗口内，为避免迁移过程中因为数据一致性问题导致迁移失败，密钥、凭据、KMS实例都无法执行管控类操作，例如创建、修改、删除资源，建议您在业务低峰期进行迁移。
Terraform兼容性：通过Terraform使用KMS的业务，由于迁移完成后资源会增加实例ID属性，为了避免执行管控操作时资源被释放，请务必在迁移完成后修改Terraform配置。详细内容，请参见Terraform场景下迁移后修改配置。

迁移对业务以下方面无影响：

SDK兼容性：迁移完成后，自建应用能够无缝沿用原有 SDK，完全无需对代码或应用程序进行任何更改，使用函数计算等其他产品SDK进行业务加解密时也无需修改SDK，确保迁移过程高效便捷且零障碍。
性能影响：如果您迁移前使用公网访问密钥凭据，迁移完成后可以选择沿用原有SDK，性能迁移前后无变化。如果您希望提升性能，可以将公网访问改为使用VPC网络访问，更改后性能以实例规格为准。
访问控制策略：迁移后无需进行重新适配可继续使用。

成本影响

KMS 3.0实例的计费逻辑与KMS 1.0不同，迁移前请您先了解KMS实例的费用。详细信息，请参见包年包月计费。

密钥迁移注意事项

哪些密钥支持迁移

KMS会迁移用户主密钥的元数据以及密钥材料，元数据包含：密钥ID、密钥状态、删除保护、别名、标签等。迁移后这些数据不发生改变。

服务密钥

不需要迁移，继续正常使用即可，您登录新版控制台可直接查看到服务密钥。服务密钥是云产品配置服务端加密时，云产品自动创建的密钥，别名为固定格式alias/acs/<云产品>。

用户主密钥

需要迁移，同时满足如下两个条件的密钥支持迁移。

密钥保护级别为软件（Software）。

仅支持迁移如下规格的密钥。具体可以迁移到哪种实例中请参见下表。

待迁移密钥规格	软件密钥管理实例	硬件密钥管理实例
Aliyun_AES_256（单版本）	√	√
Aliyun_AES_256（多版本）	√	×
RSA_2048（单版本）	√	√
EC_P256（单版本）	√	√
EC_P256K（单版本）	√	√

重要

BYOK：支持迁移，KMS会直接迁移密钥材料，无需您手动上传。
多版本密钥：支持迁移，KMS会迁移所有密钥版本。
如果密钥设置了自动轮转，为确保迁移前后版本保持一致，迁移前请手动关闭自动轮转。具体操作，请参见自动轮转密钥。

不支持迁移的密钥如何处理

满足如下条件之一即不支持迁移：

密钥规格：RSA_3072、EC_SM2、Aliyun_SM4。
保护级别：HSM。

即除了支持迁移的密钥外，其余规格的密钥均不支持迁移。如何处理，请联系我们。

凭据迁移注意事项

所有类型的凭据都支持迁移。

重要

KMS 3.0中凭据在单个地域内的阿里云账号、KMS实例内都具有唯一性，如果您要迁移的凭据在KMS 1.0中存在多个同名称的凭据，或者目标KMS 3.0实例中已存在同名凭据时，不支持迁移。

KMS会迁移凭据的元数据以及所有凭据版本，元数据包含：凭据名称、凭据状态、标签等，迁移后这些数据不发生改变。

开启自动轮转的凭据支持迁移，为确保迁移前后版本保持一致，迁移前请手动关闭自动轮转。
迁移凭据需同步迁移加密该凭据的主密钥。
使用系统托管密钥加密的凭据，支持迁移，但迁移后不支持使用备份功能。备份功能详细介绍，请参见灾备管理。

快速判断是否有需要迁移的资源

说明

该方式只显示支持迁移的密钥，对于不支持迁移的密钥，您可以在迁移后在旧版控制台查看还剩余哪些密钥，然后联系阿里云技术支持。

登录旧版密钥管理控制台，在左侧目录单击迁移工具。
当迁移按钮可操作时，表示该地域有需要迁移的密钥或凭据。
重要
数据按照地域维度展示，请查看所有地域的数据，避免遗漏。
单击未迁移密钥数量、已迁移密钥数量、未迁移凭据数量、已迁移凭据数量这几列的数字，查看具体的密钥ID和凭据名称。

选择合适的KMS 3.0实例

您可以从以下几方面评估，选择合适的KMS 3.0实例。

评估业务需求：根据需要迁移的密钥，支持迁移到哪种KMS实例中，选择合适的KMS实例。
评估性能需求：考虑业务中对数据加解密的操作频率。如果您的业务是一个高流量的电商平台，每天需要处理大量的订单信息，包括用户支付信息（如银行卡号、支付密码等）加密、订单数据加密等操作，您可能需要一个具有较高每秒查询率（QPS）的KMS实例，这时就需要选择QPS为2000或4000的KMS实例，以确保加密和解密操作能够及时完成，避免出现交易延迟或失败的情况。
评估合规性需求：如果您的业务需要满足国密要求以及FIPS认证，需要选购硬件密钥管理实例。