文档

管理KMS实例

更新时间:

本文介绍如何启用、查看、升级、续费KMS实例,以及如何为KMS实例开启安全审计。

重要

请您关注KMS实例的剩余时长,在实例到期前及时续费,避免实例到期后影响业务。更多信息,请参见到期说明

启用KMS实例

购买KMS实例后,您需要先启用实例,才可以使用该KMS实例提供的密钥管理、凭据管理功能。

启用软件密钥管理实例

前提条件

  • 确保有1个VPC和1个交换机。

    建议您先登录专有网络管理控制台,查看已有的VPC、交换机以及交换机所在的可用区,然后再启用KMS实例。也可以新创建VPC和交换机,具体操作,请参见创建专有网络和交换机创建交换机

  • 使用阿里云中国站账号购买非中国内地的KMS实例,或者使用阿里云国际站账号购买中国内地的KMS实例,需要手动开通云解析PrivateZone。具体操作,请参见开通PrivateZone

    说明
    • 使用阿里云中国站账号购买中国内地的KMS实例,或者使用阿里云国际站账号购买非中国内地的KMS实例时,阿里云会自动开通PrivateZone,无需您手动开通。

    • KMS实例域名解析产生的费用由KMS承担,您无需向云解析PrivateZone付费。

操作步骤

通过控制台启用软件密钥管理实例

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源 > 实例管理

  2. 软件密钥管理页签,定位到目标KMS软件密钥管理实例,单击操作列的启用

  3. 启用KMS实例面板,完成各项配置后单击确定

    配置项

    说明

    双可用区

    选择两个可用区。通过双可用区负载均衡,提高服务可用性与容灾能力。

    专有网络

    KMS实例所在地域下的专有网络ID。

    交换机

    选择双可用区下的1个交换机,并且该交换机至少有1个可用IP。

    请等待约30分钟,然后刷新页面,当状态变更为已启用时,表示KMS软件密钥管理实例启用成功。

通过KMS API启用软件密钥管理实例

调用ConnectKmsInstance接口。

通过Terraform启用软件密钥管理实例

具体操作,请参见购买并启用软件密钥管理实例

启用硬件密钥管理实例

前提条件

  • 已配置可供实例连接的密码机集群。具体操作,请参见配置KMS硬件密钥管理实例的密码机集群

  • 使用阿里云中国站账号购买非中国内地的KMS实例,或者使用阿里云国际站账号购买中国内地的KMS实例,需要手动开通云解析PrivateZone。具体操作,请参见开通PrivateZone

    说明
    • 使用阿里云中国站账号购买中国内地的KMS实例,或者使用阿里云国际站账号购买非中国内地的KMS实例时,阿里云会自动开通PrivateZone,无需您手动开通。

    • KMS实例域名解析产生的费用由KMS承担,您无需向云解析PrivateZone付费。

  • 确保KMS实例所属的VPC下有2个交换机。

    • (推荐)使用密码机实例绑定的2个交换机:您无需创建交换机,只需要确保每个交换机下预留4个可用IP。

    • 不使用密码机实例绑定的2个交换机:您需要创建2个交换机,2个交换机在不同可用区,每个交换机需要预留4个可用IP。具体操作,请参见创建交换机

    您可以登录专有网络管理控制台,在交换机页面单击目标交换机,在详情页面查看可用IP数。

操作步骤

说明

硬件密钥管理实例仅支持通过控制台启用,不支持通过KMS API以及Terraform启用。

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源 > 实例管理

  2. 单击硬件密钥管理页签,定位到目标KMS硬件密钥管理实例,单击操作列的启用

  3. 连接密码机面板,完成各项配置后,单击连接密码机指定密码机集群。

    配置项

    说明

    指定密码机集群

    选择您在加密服务中配置的密码机集群。

    说明

    一个KMS硬件密钥管理实例只能绑定一个密码机集群。

    配置密码机访问凭据

    KMS硬件密钥管理实例与密码机连接时采用双向TLS认证,需要配置客户端证书(带保护口令的PKCS12格式证书)和安全域证书(为密码机集群签发TLS服务端证书的CA证书,为PEM格式)。关于证书如何生成,请参见为密码机实例创建双向TLS认证

    • 客户端保护口令:您在生成客户端证书client.p12时设置的保护口令。如果是使用证书文件生成工具(hsm_certificate_generate)生成,默认为12345678

    • 客户端证书:PKCS12格式证书。单击选择文件,选择已生成的client.p12文件进行上传。

    • 安全域证书:PEM格式CA证书。单击选择文件,选择已生成的rootca.pem文件进行上传。

    双可用区

    选择两个可用区。通过双可用区负载均衡,提高服务可用性与容灾能力。

    专有网络

    KMS实例所在地域下的专有网络ID。

    交换机

    选择交换机ID,交换机下需要预留4个可用IP。

    交换机

    选择交换机ID,交换机下需要预留4个可用IP。

    如果购买实例时选择了凭据数量,请等待约30分钟,然后刷新页面。如果未选择凭据数量,请等待约10分钟,然后刷新页面。当状态变更为已启用时,表示KMS硬件密钥管理实例启用成功。

启用外部密钥管理实例

前提条件

  • 已购买了云外密码机,并配置了XKI Proxy外部代理。具体操作,请咨询您的密码机服务商。

    说明

    XKI Proxy服务器的详细信息,请参见XKI Proxy服务器

  • KMS支持通过公网或VPC终端节点与XKI Proxy外部代理建立连接。如果通过VPC终端节点建立连接,请先创建终端节点服务。具体操作,请参见创建和管理终端节点服务。创建终端节点时需要注意以下几点:

    • 终端节点服务的两个可用区,需要与启动KMS实例所选择的可用区保持一致。

    • 需要将当前阿里云账号,添加到终端节点服务的白名单中。

    • 终端节点服务的是否自动接受连接需要设置为

操作步骤

说明

外部密钥管理实例仅支持通过控制台启用,不支持通过KMS API以及Terraform启用。

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源 > 实例管理

  2. 单击外部密钥管理页签,定位到目标实例,单击操作列的启用

  3. 连接密码机面板,完成各项配置后,单击连接密码机指定密码机集群。

    配置项

    说明

    双可用区

    选择两个可用区。通过双可用区负载均衡,提高服务可用性与容灾能力。

    专有网络

    KMS实例所在地域下的专有网络ID。

    交换机

    选择交换机ID,交换机下需要预留1个可用IP。

    外部代理连接

    • 公网接入:KMS实例使用公网与XKI Proxy外部代理连接。

    • VPC终端节点服务:KMS实例使用VPC终端节点服务与XKI Proxy外部代理连接。

    外部代理域名地址

    仅当外部代理连接选择公网接入时,需要输入XKI Proxy外部代理的域名地址。

    终端节点服务

    仅当外部代理连接选择VPC终端节点服务时,需要选择终端节点服务。

    启动KMS实例所选择可用区务必与终端节点服务可用区保持一致。

    配置外部代理

    • 手动配置:手动配置外部代理路径业务服务证书指纹、XKI Proxy代理的AccessKey ID、AccessKey Secret。

    • 上传配置文件:通过上传文件进行配置。

    如果购买实例时选择了凭据数量,请等待约30分钟,然后刷新页面。如果未选择凭据数量,请等待约10分钟,然后刷新页面。当状态变更为已启用时,表示KMS外部密钥管理实例启用成功。

为KMS实例设置别名

KMS实例别名为1~128个字符,字符只能是大小写字母、数字以及特殊符号/_+=.@-

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源 > 实例管理

  2. 单击对应的实例页签,在目标实例ID下方单击image图标,修改别名。

查看KMS实例详情

启用KMS实例后,您可以查询实例ID、实例VPC地址、专有网络等信息。

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源 > 实例管理

  2. 实例管理页面,单击对应的实例页签。

  3. 定位到目标KMS实例,单击操作列的管理,在实例详情页查看信息。

升级KMS实例

如果当前KMS实例规格不满足业务要求,您可以升级KMS实例规格,例如计算性能、凭据数量、密钥数量等。

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源 > 实例管理

  2. 实例管理页面,单击对应的实例页签。

  3. 定位到目标KMS实例,单击操作列的升配,在变配页面选择升级后的规格。

  4. 仔细阅读并勾选服务协议,然后单击立即购买并完成支付

为KMS实例开启安全审计

访问KMS实例的过程会产生审计日志。审计日志中记录了实例的访问数据,包括调用实例时的请求信息、用户信息、被访问资源信息,以及访问结果等。日志文件示例如下:

2021-10-19T212021-10-19T21:40:01     [INFO]  - - 3dd60a7a-4587-4c57-8197-d749c3578974 CreateKey - TMP.3KfAHseF5DVULM2s8YUhdB8YvwM4nZA1wXr8AcAAhR7YhdyosXG2eSpsRFPMjYbvUArPRtsCWKzxEo88bC5w5LBfyp**** 111760096384**** 111760096384**** - kst-phzz6108e50c15333w**** - 37 - -40:01     [INFO]  - - 3dd60a7a-4587-4c57-8197-d749c3578974 CreateKey - TMP.3KfAHseF5DVULM2s8YUhdB8YvwM4nZA1wXr8AcAAhR7YhdyosXG2eSpsRFPMjYbvUArPRtsCWKzxEo88bC5w5LBfyp**** 111760096384**** 111760096384**** - kst-phzz6108e50c15333w**** - 37 - -

启用安全审计后,KMS会将审计日志以小时为单位投递到您指定的OSS存储空间,以满足监管要求和业务需求。启用安全审计前请确保您已经创建OSS存储空间。具体操作,请参见创建存储空间

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源 > 实例管理

  2. 实例管理页面,单击对应的实例页签。

  3. 定位到目标KMS实例,单击操作列的管理,在实例详情页开启安全审计

  4. 配置安全审计对话框,选择日志存储位置,然后单击确定

    启用安全审计后,将在1小时内生成并投递审计日志。

续费KMS实例

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源 > 实例管理

  2. 单击软件密钥管理页签或硬件密钥管理页签,定位到要续费的实例,单击操作列的续费

  3. 续费页面,设置购买时长,仔细阅读协议后选中服务协议

  4. 单击立即购买并完成支付

您也可以在费用与成本续费,具体操作,请参见续费管理/资源续订使用介绍

常见问题