本文介绍您在使用密钥的过程中可能遇到的问题。
问题列表
KMS是否支持删除密钥
除服务密钥外,其他的密钥支持删除。仅支持通过计划删除的方式删除。
您可以设置7~366天的预删除周期,在预删除周期内验证删除密钥对应用程序和依赖它的用户的影响,在预删除周期内您将无法使用该密钥,如果确认仍需使用,您可以在预删除周期内取消计划删除密钥。在预删除周期后,KMS会删除该密钥且无法恢复。关于如何计划删除密钥,请参见计划删除密钥。
在实际业务中,建议您先禁用密钥,并再次确认没有需要使用该密钥进行解密的数据后,再通过计划删除密钥的方式来删除。关于如何禁用密钥,请参见禁用密钥。
KMS密钥删除后,使用该密钥加密的用户数据及产生的数据密钥是否还可以解密
不可以。
KMS只支持通过计划删除密钥的方式删除密钥,在您设置的预删除周期后,密钥会被删除且无法恢复。在预删除周期内,您可以取消删除。
针对自行导入密钥材料的密钥,密钥删除后,即使您创建新密钥并导入了同一个密钥材料,使用原密钥加密的数据也无法解密。
如果您仅删除了自行导入的密钥材料,没有删除密钥,可以再次为该密钥导入同一个密钥材料,使得该密钥可用,使用原密钥加密的数据仍可被解密。
在实际业务中,建议您先禁用密钥,确认没有使用该密钥进行解密的数据后,再通过计划删除密钥的方式来删除。
KMS如何保障密钥的安全性
针对软件密钥,KMS构建专属您的数据库,并使用安全可靠的加密算法对密钥进行安全存储。
针对硬件密钥,您需要先购买加密服务HSM,然后配置密码机集群,密钥存储和密码运算均通过您独享的密码机集群进行。
KMS是否支持导入密钥材料
支持。
创建密钥时,您可以选择由KMS生成密钥材料,也可以选择外部来源的密钥材料。如果选择了外部来源的密钥材料,您需要将外部密钥材料导入到密钥中。具体操作,请参见导入对称密钥材料和导入非对称密钥材料。
密钥状态为不可用或调用密钥相关API时返回“Rejected.Unavailable”
密钥所在的KMS实例已超期。
请在超期15个自然日内对KMS实例进行续费,否则KMS实例将被释放。具体操作,请参见续费说明。
如果您暂时不使用KMS实例,但以后可能会用到该实例中的密钥或凭据,建议您提前备份。具体操作,请参见备份管理。