本文介绍如何启用、查看、升级、续费KMS实例,以及如何为KMS实例开启安全审计。
请您关注KMS实例的剩余时长,在实例到期前及时续费,避免实例到期后影响业务。更多信息,请参见到期说明。
启用KMS实例
购买KMS实例后,您需要先启用实例,才可以使用该KMS实例提供的密钥管理、凭据管理功能。
启用软件密钥管理实例
前提条件
确保有1个VPC和1个交换机。
建议您先登录专有网络管理控制台,查看已有的VPC、交换机以及交换机所在的可用区,然后再启用KMS实例。也可以新创建VPC和交换机,具体操作,请参见创建专有网络和交换机或创建交换机。
使用阿里云中国站账号购买非中国内地的KMS实例,或者使用阿里云国际站账号购买中国内地的KMS实例,需要手动开通云解析PrivateZone。具体操作,请参见开通PrivateZone。
说明使用阿里云中国站账号购买中国内地的KMS实例,或者使用阿里云国际站账号购买非中国内地的KMS实例时,阿里云会自动开通PrivateZone,无需您手动开通。
KMS实例域名解析产生的费用由KMS承担,您无需向云解析PrivateZone付费。
操作步骤
启用硬件密钥管理实例
前提条件
已配置可供实例连接的密码机集群。具体操作,请参见配置KMS硬件密钥管理实例的密码机集群。
使用阿里云中国站账号购买非中国内地的KMS实例,或者使用阿里云国际站账号购买中国内地的KMS实例,需要手动开通云解析PrivateZone。具体操作,请参见开通PrivateZone。
说明使用阿里云中国站账号购买中国内地的KMS实例,或者使用阿里云国际站账号购买非中国内地的KMS实例时,阿里云会自动开通PrivateZone,无需您手动开通。
KMS实例域名解析产生的费用由KMS承担,您无需向云解析PrivateZone付费。
确保KMS实例所属的VPC下有2个交换机。
(推荐)使用密码机实例绑定的2个交换机:您无需创建交换机,只需要确保每个交换机下预留4个可用IP。
不使用密码机实例绑定的2个交换机:您需要创建2个交换机,2个交换机在不同可用区,每个交换机需要预留4个可用IP。具体操作,请参见创建交换机。
您可以登录专有网络管理控制台,在交换机页面单击目标交换机,在详情页面查看可用IP数。
操作步骤
硬件密钥管理实例仅支持通过控制台启用,不支持通过KMS API以及Terraform启用。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
单击硬件密钥管理页签,定位到目标KMS硬件密钥管理实例,单击操作列的启用。
在连接密码机面板,完成各项配置后,单击连接密码机指定密码机集群。
配置项
说明
指定密码机集群
选择您在加密服务中配置的密码机集群。
说明一个KMS硬件密钥管理实例只能绑定一个密码机集群。
配置密码机访问凭据
KMS硬件密钥管理实例与密码机连接时采用双向TLS认证,需要配置客户端证书(带保护口令的PKCS12格式证书)和安全域证书(为密码机集群签发TLS服务端证书的CA证书,为PEM格式)。关于证书如何生成,请参见为密码机实例创建双向TLS认证。
客户端保护口令:您在生成客户端证书
client.p12时设置的保护口令。如果是使用证书文件生成工具(hsm_certificate_generate)生成,默认为12345678。客户端证书:PKCS12格式证书。单击选择文件,选择已生成的
client.p12文件进行上传。安全域证书:PEM格式CA证书。单击选择文件,选择已生成的
rootca.pem文件进行上传。
双可用区
选择两个可用区。通过双可用区负载均衡,提高服务可用性与容灾能力。
专有网络
KMS实例所在地域下的专有网络ID。
交换机
选择交换机ID,交换机下需要预留4个可用IP。
交换机
选择交换机ID,交换机下需要预留4个可用IP。
如果购买实例时选择了凭据数量,请等待约30分钟,然后刷新页面。如果未选择凭据数量,请等待约10分钟,然后刷新页面。当状态变更为已启用时,表示KMS硬件密钥管理实例启用成功。
启用外部密钥管理实例
前提条件
已购买了云外密码机,并配置了XKI Proxy外部代理。具体操作,请咨询您的密码机服务商。
说明XKI Proxy服务器的详细信息,请参见XKI Proxy服务器。
KMS支持通过公网或VPC终端节点与XKI Proxy外部代理建立连接。如果通过VPC终端节点建立连接,请先创建终端节点服务。具体操作,请参见创建和管理终端节点服务。创建终端节点时需要注意以下几点:
终端节点服务的两个可用区,需要与启动KMS实例所选择的可用区保持一致。
需要将当前阿里云账号,添加到终端节点服务的白名单中。
终端节点服务的是否自动接受连接需要设置为是。
操作步骤
外部密钥管理实例仅支持通过控制台启用,不支持通过KMS API以及Terraform启用。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
单击外部密钥管理页签,定位到目标实例,单击操作列的启用。
在连接密码机面板,完成各项配置后,单击连接密码机指定密码机集群。
配置项
说明
双可用区
选择两个可用区。通过双可用区负载均衡,提高服务可用性与容灾能力。
专有网络
KMS实例所在地域下的专有网络ID。
交换机
选择交换机ID,交换机下需要预留1个可用IP。
外部代理连接
公网接入:KMS实例使用公网与XKI Proxy外部代理连接。
VPC终端节点服务:KMS实例使用VPC终端节点服务与XKI Proxy外部代理连接。
外部代理域名地址
仅当外部代理连接选择公网接入时,需要输入XKI Proxy外部代理的域名地址。
终端节点服务
仅当外部代理连接选择VPC终端节点服务时,需要选择终端节点服务。
启动KMS实例所选择可用区务必与终端节点服务可用区保持一致。
配置外部代理
手动配置:手动配置外部代理路径、业务服务证书指纹、XKI Proxy代理的AccessKey ID、AccessKey Secret。
上传配置文件:通过上传文件进行配置。
如果购买实例时选择了凭据数量,请等待约30分钟,然后刷新页面。如果未选择凭据数量,请等待约10分钟,然后刷新页面。当状态变更为已启用时,表示KMS外部密钥管理实例启用成功。
为KMS实例设置别名
KMS实例别名为1~128个字符,字符只能是大小写字母、数字以及特殊符号/_+=.@-。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
单击对应的实例页签,在目标实例ID下方单击
图标,修改别名。
查看KMS实例详情
启用KMS实例后,您可以查询实例ID、实例VPC地址、专有网络等信息。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
在实例管理页面,单击对应的实例页签。
定位到目标KMS实例,单击操作列的管理,在实例详情页查看信息。
升级KMS实例
如果当前KMS实例规格不满足业务要求,您可以升级KMS实例规格,例如计算性能、凭据数量、密钥数量等。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
在实例管理页面,单击对应的实例页签。
定位到目标KMS实例,单击操作列的升配,在变配页面选择升级后的规格。
仔细阅读并勾选服务协议,然后单击立即购买并完成支付。
为KMS实例开启安全审计
访问KMS实例的过程会产生审计日志。审计日志中记录了实例的访问数据,包括调用实例时的请求信息、用户信息、被访问资源信息,以及访问结果等。日志文件示例如下:
2021-10-19T212021-10-19T21:40:01 [INFO] - - 3dd60a7a-4587-4c57-8197-d749c3578974 CreateKey - TMP.3KfAHseF5DVULM2s8YUhdB8YvwM4nZA1wXr8AcAAhR7YhdyosXG2eSpsRFPMjYbvUArPRtsCWKzxEo88bC5w5LBfyp**** 111760096384**** 111760096384**** - kst-phzz6108e50c15333w**** - 37 - -40:01 [INFO] - - 3dd60a7a-4587-4c57-8197-d749c3578974 CreateKey - TMP.3KfAHseF5DVULM2s8YUhdB8YvwM4nZA1wXr8AcAAhR7YhdyosXG2eSpsRFPMjYbvUArPRtsCWKzxEo88bC5w5LBfyp**** 111760096384**** 111760096384**** - kst-phzz6108e50c15333w**** - 37 - -启用安全审计后,KMS会将审计日志以小时为单位投递到您指定的OSS存储空间,以满足监管要求和业务需求。启用安全审计前请确保您已经创建OSS存储空间。具体操作,请参见创建存储空间。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
在实例管理页面,单击对应的实例页签。
定位到目标KMS实例,单击操作列的管理,在实例详情页开启安全审计。
在配置安全审计对话框,选择日志存储位置,然后单击确定。
启用安全审计后,将在1小时内生成并投递审计日志。
续费KMS实例
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
单击软件密钥管理页签或硬件密钥管理页签,定位到要续费的实例,单击操作列的续费。
在续费页面,设置购买时长,仔细阅读协议后选中服务协议。
单击立即购买并完成支付。
您也可以在费用与成本续费,具体操作,请参见续费管理/资源续订使用介绍。