本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
密钥管理服务KMS(Key Management Service)支持密钥和凭据数据备份管理功能,在误删除、容灾等场景下,可以帮助您快速恢复数据,避免数据丢失。本文介绍如何备份和恢复数据。
如果您未对密钥和凭据进行备份,或者备份数据过期,密钥和凭据到期删除后将永久无法恢复。因此请务必重视备份,以免造成数据无法解密影响您的业务。
支持的实例类型
仅软件密钥管理实例支持备份。如果您无法使用备份功能,请先升级实例的镜像版本,具体操作,请参见升级KMS实例的镜像版本。
硬件密钥管理实例不支持备份,但是硬件密钥可通过HSM的备份功能备份部分数据。硬件密钥包含密钥材料(加密机密钥)和密钥元数据两部分。
密钥材料是指硬件密钥映射在HSM上的密钥,可通过HSM的备份功能进行备份,详情请参考数据备份恢复。
密钥元数据是指密钥ID、密钥所属KMS实例、ARN、密钥策略等存储在KMS上的业务数据信息,不支持备份。
适用场景
KMS软件密钥管理实例被释放后,需要恢复实例。
密钥或凭据被误删除,需要恢复密钥或凭据。
用户业务分布在多个地域,需要将密钥或凭据复制到其他地域,进行容灾或业务的就近调用。
功能介绍
KMS每个备份可以备份一个软件密钥管理实例的数据。KMS支持两种备份方式:自动备份和手动备份。
自动备份:2024年04月26日00:00之后新创建的软件密钥管理实例,启用软件密钥管理实例后,KMS会自动创建一个备份,用于备份该软件密钥管理实例的数据。更多信息,请参见【公告】KMS软件密钥管理实例支持免费自动备份功能。
说明建议您优先使用该备份,如不满足业务要求,再单独购买手动备份方式中的备份。
手动备份:包含默认备份(KMS在每个地域下免费提供一个默认备份)和购买的备份,您需要启用备份后,KMS才开始备份数据。
对比项 | 说明 | 自动备份 | 手动备份 | |
默认备份 | 购买的备份 | |||
费用 | 是否需要额外支付费用。 | 免费。 | 免费。 | 付费。 费用与购买时长以及设置的可查看天数相关。 |
备份删除时间 | 备份数据默认被删除的时间。 | 备份数据的生命周期依赖于其备份的KMS实例,KMS实例释放90天后,备份数据将被删除。 不支持手动删除备份数据。 | 长期有效,但您可以通过重置操作手动删除备份数据。 | 备份数据的生命周期依赖于备份的购买时长,备份到期15天后,备份将被释放,备份数据将被删除。 您也可以通过重置操作手动删除备份数据。 重要 备份到期后不支持任何操作,但在备份释放前您可以通过续费重新激活并使用备份,重新激活的收费与新购同一规格备份相同。 |
可查看天数 | 可以查看多少天内的备份数据。 以购买的备份为例,可查看天数设置为50。 假设启动备份后备份了80天的数据,由于可查看天数是50,您只能查看50天内的备份数据。如果您需要查看前30天的数据,需要扩展可查看天数。 说明 可查看天数的配置建议与密钥轮转以及业务容灾要求相结合。 | 90天,且不支持扩展。 | 7天,且不支持扩展。 | 购买时可以选择7~600天。 购买后也支持扩展,但不支持降配。 |
备份时间点 | 每日备份数据的时间点。 | 首次备份时会全量备份,之后每日的00:00进行一次全量备份,全量备份结束后每隔5分钟进行增量备份。 | ||
您可以在备份管理页面,通过备份类型快速区分是哪类备份。系统创建表示自动备份,默认表示默认备份,购买表示购买的备份。
备份数据
自动备份
启用软件密钥管理实例后,KMS会自动备份该实例的数据。如何启用实例,请参见购买和启用KMS实例。
实例启用成功后,KMS会自动生成一个备份,您可以在备份管理页面查看,备份类型为系统创建且备份对象为您的软件密钥管理实例,即KMS创建的备份。
手动备份
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
(可选)购买备份。
说明如果您使用默认备份,请跳过本步骤。
在备份管理页面,单击创建备份,根据业务需要完成配置项设置,然后单击立即购买。
配置项
说明
密钥管理类型
选择密钥增值服务。
密钥增值服务
选择实例备份。
地域
与您要备份的软件密钥管理实例地域一致。
可查看天数
可以查看几天内的备份数据。
购买数量
备份的数量。
说明每个备份可以备份一个软件密钥管理实例的数据。
购买时长
备份的购买时长。
在确认订单页面,仔细阅读并选中服务协议,单击去支付完成购买。
启用备份。
在备份管理页面,定位到目标备份,单击操作列的启用。
在启用备份对话框中完成各项配置,然后单击确认。
配置项
说明
备份数据规格
默认取值软件密钥管理,不支持修改。
备份KMS实例
选择您需要备份的软件密钥管理实例。
备份数据类型
默认取值密钥、凭据,不支持修改。
备份别名
自定义备份的别名。
首次启用备份时会全量备份,之后每日的00:00进行一次全量备份,全量备份结束后每隔5分钟进行增量备份。
(可选)查看备份数据。
定位到目标备份,单击操作列的查看数据,选择日期后查看当日的备份数据。
备份数据类型
说明
全量密钥
当日00:00备份的全量密钥。
增量密钥
当日新增的密钥。
轮转密钥
当日轮转的密钥。
全量凭据
当日00:00备份的全量凭据。
增量凭据
当日新增的凭据。
轮转凭据
当日轮转的凭据。
恢复数据
恢复数据时,KMS仅支持将数据恢复到同个阿里云账号中的软件密钥管理实例,且目标实例需要符合以下要求:
目标实例有对应的密钥或凭据额度。
目标实例所在的地域不存在该密钥或凭据,否则会恢复失败。如果您确认仍要恢复,请在目标地域先删除密钥或凭据后再进行恢复。
恢复凭据时,目标实例需要存在加密该凭据的密钥。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
定位到目标备份,单击操作列的查看数据,选择要恢复到哪一天的数据。
重要当备份为购买的备份时,如果您要恢复的数据日期不在可查看天数的范围内,可以先扩展备份的可查看天数,然后再恢复数据。但您无法通过扩展可查看天数来恢复启用备份前的数据。
例如,您在2024年05月01日启用备份,可查看天数为10天,在2024年05月20日想恢复2024年05月05日的数据,您可以将可查看天数扩展到16天。
恢复数据。
数据类型
操作步骤
密钥
单击密钥所在的页签(例如全量密钥),定位到目标密钥,单击操作列的数据恢复。
在恢复备份数据对话框,选择要恢复的地域及实例信息,然后单击确定。
凭据
恢复加密凭据的密钥。
说明恢复凭据时,目标实例需要存在加密该凭据的密钥。如果您确定目标实例存在该密钥,可以跳过本步骤直接恢复凭据。
单击密钥所在的页签(例如,全量密钥),定位到目标密钥,单击操作列的数据恢复。
在恢复备份数据对话框,选择要恢复的地域及实例信息,然后单击确定。
恢复凭据。
单击凭据所在的页签(例如,全量凭据),定位到目标凭据,单击操作列的数据恢复。
在恢复备份数据对话框,选择要恢复的地域及实例信息,然后单击确定。
更多操作
扩展可查看天数
仅购买的备份支持扩展可查看天数,且仅支持升配不支持降配。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
定位到目标备份,单击操作列的查看数据。
在备份详情页,单击扩展可查看天数,选择扩展后的可查看天数,单击立即购买并完成支付。
重置备份
仅默认备份、购买的备份支持重置。您可以通过重置备份操作删除已备份数据,并解除备份与软件密钥管理实例的绑定。
重置会将该备份已经备份的所有数据删除,请谨慎操作。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
定位到目标备份,单击操作列的重置。
请阅读重置对话框中的提示,确认无误后单击确定。
备份重置后状态为未启用,您可以重新绑定软件密钥管理实例。
续费备份
仅购买的备份支持续费。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
定位到目标备份,单击操作列的续费。
在续费页面,选择购买时长,请仔细阅读并选中服务协议,单击立即购买并完成支付。
下载备份数据文件
下载备份数据文件后,请您妥善保管。该备份数据文件仅支持在KMS控制台恢复数据。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
定位到目标备份,单击操作列的下载。
在下载对话框,选择备份日期后,单击确定。
说明可查看天数范围外的备份数据,您需要先扩展可查看天数再进行下载。
保存备份数据。
单击数据加密KEY后的
图标复制,然后保存到本地。单击备份数据后的点击下载,下载备份数据文件并妥善保存。
重要数据加密KEY用于解密下载的备份数据文件,KMS不会保存数据加密KEY和备份数据文件,因此请您妥善保存,避免泄露。
上传备份数据文件
请您知悉,如您跨境上传备份数据文件,您需要确保已遵守数据出境的相关法律法规要求。
在备份管理页面,单击上传备份。
在导入数据备份对话框,输入数据解密KEY和备份名称,然后单击确定。
在弹出的文件选择对话框,选择备份数据文件,然后单击打开。
上传成功后,您可以在备份管理页面看到上传的数据,备份类型为上传。
常见问题
如何查看备份的可查看天数?
在备份管理页面,查看可查看天数。
