本文介绍您在使用密钥的过程中可能遇到的问题。
问题列表
KMS是否支持删除密钥
除服务密钥外,其他的密钥支持删除。仅支持通过计划删除的方式删除。
您可以设置7~366天的预删除周期,在预删除周期内验证删除密钥对应用程序和依赖它的用户的影响,在预删除周期内您将无法使用该密钥,如果确认仍需使用,您可以在预删除周期内取消计划删除密钥。在预删除周期后,KMS会删除该密钥且无法恢复。关于如何计划删除密钥,请参见计划删除密钥。
在实际业务中,建议您先禁用密钥,并再次确认没有需要使用该密钥进行解密的数据后,再通过计划删除密钥的方式来删除。关于如何禁用密钥,请参见禁用密钥。
服务密钥是否支持删除
不支持。
针对每个阿里云账号,阿里云KMS在每个地域下为每一类云产品免费提供一个服务密钥。服务密钥由云产品管理生命周期,不再使用该服务密钥时无需任何操作,保留即可,保留服务密钥不会收取您的任何费用。
KMS密钥删除后,使用该密钥加密的用户数据及产生的数据密钥是否还可以解密
不可以。
KMS只支持通过计划删除密钥的方式删除密钥,在您设置的预删除周期后,密钥会被删除且无法恢复。在预删除周期内,您可以取消删除。
针对自行导入密钥材料的密钥,密钥删除后,即使您创建新密钥并导入了同一个密钥材料,使用原密钥加密的数据也无法解密。
如果您仅删除了自行导入的密钥材料,没有删除密钥,可以再次为该密钥导入同一个密钥材料,使得该密钥可用,使用原密钥加密的数据仍可被解密。
在实际业务中,建议您先禁用密钥,确认没有使用该密钥进行解密的数据后,再通过计划删除密钥的方式来删除。
KMS如何保障密钥的安全性
针对软件密钥,KMS构建专属您的数据库,并使用安全可靠的加密算法对密钥进行安全存储。
针对硬件密钥,您需要先购买加密服务HSM,然后配置密码机集群,密钥存储和密码运算均通过您独享的密码机集群进行。
KMS是否支持导入密钥材料
支持。
创建密钥时,您可以选择由KMS生成密钥材料,也可以选择外部来源的密钥材料。如果选择了外部来源的密钥材料,您需要将外部密钥材料导入到密钥中。具体操作,请参见导入对称密钥材料和导入非对称密钥材料。
密钥状态为不可用或调用密钥相关API时返回“Rejected.Unavailable”
密钥所在的KMS实例已超期。
请在超期15个自然日内对KMS实例进行续费,否则KMS实例将被释放。具体操作,请参见续费说明。
如果您暂时不使用KMS实例,但以后可能会用到该实例中的密钥或凭据,建议您提前备份。具体操作,请参见备份管理。
为什么主密钥在控制台无法操作
问题说明
默认密钥页签下的主密钥,只能查看详情,无法执行禁用等其他操作。
解决方案
该部分密钥为您在KMS共享版(KMS 1.0)中创建的密钥,在KMS 3.0控制台仅支持查看,不支持其他操作,请切换到KMS 1.0控制台进行操作。
为了给您提供更好的产品体验,阿里云计划将KMS 1.0于2025年03月30日00:00:00 (GMT+8 )起进入EOSF阶段,2025年09月30日00:00:00(GMT+8 ) 起进入EOS阶段。为避免对您的业务产生影响,请尽快将KMS 1.0资源迁移到KMS 3.0实例。具体操作,请参见将KMS 1.0的资源迁移到KMS 3.0实例。