管理密钥
KMS为您提供密钥的全生命周期管理和安全存储能力,本文介绍如何创建密钥、禁用密钥、开启删除保护、计划删除密钥及为密钥设置标签。
创建密钥
默认密钥
默认密钥包含服务密钥、主密钥,服务密钥由云产品创建及管理生命周期,主密钥由您创建及管理生命周期。您可以参考如下步骤创建主密钥。
每个地域下,只支持您创建一个默认密钥(主密钥)。如您需要创建多个密钥,建议购买KMS实例。
登录密钥管理服务控制台,在顶部菜单栏选择地域信息后,在左侧导航栏单击密钥管理页面。
在密钥管理页面,单击默认密钥页签。
单击主密钥操作列的启用,完成配置项设置,然后单击确定。
配置项
说明
密钥别名
密钥的别名标识符。支持英文字母、数字、下划线(_)、短划线(-)和正斜线(/)。
描述信息
自定义密钥的说明信息。
高级选项
密钥材料来源:
阿里云KMS:密钥材料将由KMS生成。
外部:KMS不会生成密钥材料,您需要自行导入密钥材料。更多信息,请参见导入对称密钥材料。
说明请仔细阅读并选中我了解使用外部密钥材料的方法和意义。
软件密钥
创建软件密钥前,请确保已购买并启用KMS实例。具体操作,请参见购买和启用KMS实例。
登录密钥管理服务控制台,在顶部菜单栏选择地域信息后,在左侧导航栏单击密钥管理页面。
在密钥管理页面,单击用户主密钥页签,实例ID选择软件密钥管理实例,单击创建密钥。
在创建密钥面板,完成配置项设置,然后单击确定。
配置项
说明
密钥类型
选择密钥是对称密钥还是非对称密钥。
重要如果您创建的密钥用于加密凭据值,请选择对称密钥。
密钥规格
密钥的规格。
对称密钥规格:Aliyun_AES_256
非对称密钥规格:RSA_2048、RSA_3072、EC_P256、EC_P256K
密钥用途
密钥的用途。取值:
Encrypt/Decrypt:数据加密和解密。
Sign/Verify:产生和验证数字签名。
密钥别名
密钥的别名标识符。支持英文字母、数字、下划线(_)、短划线(-)和正斜线(/)。
标签
密钥的标签,方便您对密钥进行分类管理。每个标签由一个键值对(Key:Value)组成,包含标签键(Key)、标签值(Value)。
说明标签建和标签值的格式:最多支持128个字符,可以包含英文大小写字母、数字、正斜线(/)、反斜线(\)、下划线(_)、短划线(-)、半角句号(.)、加号(+)、等于号(=)、半角冒号(:)、字符at(@)。
标签键不能以aliyun或acs:开头。
每个密钥最多可以设置20个标签键值对。
自动轮转
仅对称密钥支持设置自动轮转,开关默认开启。详细内容,请参见密钥轮转。
轮转周期
支持设置为7~365天。
描述信息
密钥的说明信息。
硬件密钥
创建硬件密钥前,请确保已购买并启用KMS实例。具体操作,请参见购买和启用KMS实例。
登录密钥管理服务控制台,在顶部菜单栏选择地域信息后,在左侧导航栏单击密钥管理页面。
在密钥管理页面,单击用户主密钥页签,实例ID选择硬件密钥管理实例,单击创建密钥。
在创建密钥面板,完成配置项设置,然后单击确定。
配置项
说明
密钥类型
选择要创建的密钥是对称密钥还是非对称密钥。
重要如果您创建的密钥用于加密凭据值,请选择对称密钥。
密钥规格
密钥的规格。
对称密钥规格:Aliyun_AES_256、Aliyun_AES_192、Aliyun_AES_128、Aliyun_SM4
非对称密钥规格:RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P256K、EC_SM2
密钥用途
密钥的用途。取值:
Encrypt/Decrypt:数据加密和解密。
Sign/Verify:产生和验证数字签名。
密钥别名
密钥的别名标识符。支持英文字母、数字、下划线(_)、短划线(-)和正斜线(/)。
标签
密钥的标签,方便您对密钥进行分类管理。每个标签由一个键值对(Key:Value)组成,包含标签键(Key)、标签值(Value)。
说明标签建和标签值的格式:最多支持128个字符,可以包含英文大小写字母、数字、正斜线(/)、反斜线(\)、下划线(_)、短划线(-)、半角句号(.)、加号(+)、等于号(=)、半角冒号(:)、字符at(@)。
标签键不能以aliyun或acs:开头。
每个密钥最多可以设置20个标签键值对。
描述信息
密钥的说明信息。
高级选项
禁用密钥
如果您不再需要使用密钥,推荐您先禁用密钥,确认不再使用后再删除密钥。密钥被禁用后无法用于密码运算。
登录密钥管理服务控制台,在顶部菜单栏选择地域信息后,在左侧导航栏单击密钥管理页面。
在密钥管理页面,在用户主密钥或默认密钥页签,定位到目标密钥,单击操作列的禁用。
在禁用密钥对话框,确认无误后,单击确定。
您可以单击密钥关联信息,检测该密钥是否被用于云产品服务端加密。详细内容,请参见密钥关联检测。
成功禁用密钥后,密钥状态由启用中变为已禁用。您也可以单击启用,再次启用密钥。
开启删除保护
为密钥开启删除保护后,您将无法通过控制台或API删除该密钥,从而避免误删除密钥。如果您确认需要删除密钥,要先关闭删除保护。
待删除状态的密钥无法开启删除保护。
登录密钥管理服务控制台,在顶部菜单栏选择地域信息后,在左侧导航栏单击密钥管理页面。
在密钥管理页面,在用户主密钥或默认密钥页签,定位到目标密钥,单击操作列的详情。
在密钥详情页面,打开删除保护开关。
在确认开启对话框,确认无误后,单击确定。
计划删除密钥
KMS不支持直接删除密钥,仅支持计划删除密钥,即通过设置预删除周期,在到期后删除密钥。计划删除密钥前请确保密钥已经关闭删除保护。
如果您不再使用密钥,推荐您先禁用密钥,确保不影响您的业务后再通过计划删除密钥来进行删除。
系统会在预删除周期后删除密钥,使用该密钥加密的内容及产生的数据密钥也将无法解密。删除密钥前,请确认该密钥已不再使用,否则会导致您的业务不可用。
登录密钥管理服务控制台,在顶部菜单栏选择地域信息后,在左侧导航栏单击密钥管理页面。
在用户主密钥或默认密钥页签,定位到目标密钥,单击操作列的
图标后,单击计划删除密钥。在计划删除密钥对话框,确认无误后,单击确定。
您可以单击密钥关联信息,检测该密钥是否被用于云产品服务端加密。详细内容,请参见密钥关联检测。
设置预删除周期后,密钥状态由启用中变为待删除。处于待删除状态的密钥无法用于加解密和产生数据密钥。在预删除周期结束前,您也可以取消删除密钥。
密钥关联检测
仅支持检测该密钥是否被ECS服务器用于服务端加密,不支持检测是否被其它云产品用于加密,也不支持检测是否被您的自建应用使用。
登录密钥管理服务控制台,在顶部菜单栏选择地域信息后,在左侧导航栏单击密钥管理页面。
在用户主密钥或默认密钥页签,定位到目标密钥,单击操作列的详情。
在密钥关联页签,单击关联检测,等待约1分钟后,单击右侧的
图标,查看检测结果。云产品:仅支持ECS。
最后一次调用时间:云产品向KMS访问该密钥的最近时间。
说明仅365天内的调用请求展示调用时间,对365天之前的调用,不展示最近一次调用时间。
检测状态:本次检测状态。如显示失败,请刷新后重试。
云产品查询入口:云产品提供的查询功能,查询KMS密钥用于加密云产品的哪个资源。
重要在ECS云盘密钥关联、ECS快照密钥关联查询界面,仅展示当前账号有权限访问的云盘或快照。
根据检测结果,如果密钥仍被使用,请您谨慎删除。
为密钥配置标签
密钥的标签,方便您对密钥进行分类管理。每个标签由一个键值对(Key:Value)组成,包含标签键(Key)、标签值(Value)。仅KMS实例中的密钥支持设置标签,默认密钥暂不支持设置标签。
标签建和标签值的格式:最多支持128个字符,可以包含英文大小写字母、数字、正斜线(/)、反斜线(\)、下划线(_)、短划线(-)、半角句号(.)、加号(+)、等于号(=)、半角冒号(:)、字符at(@)。
标签键不能以aliyun或acs:开头。
每个密钥最多可以设置20个标签键值对。
为单个密钥配置标签
方式 | 操作 |
方式一:在密钥管理页面配置标签 |
|
方式二:在密钥详情页面配置标签 |
|
图标。为多个密钥批量配置标签
登录密钥管理服务控制台,在顶部菜单栏选择地域信息后,在左侧导航栏单击密钥管理页面。
在密钥管理页面,选择实例ID,在密钥列表中勾选要操作的密钥。
增加标签:在密钥列表的最下方,单击增加标签,输入多个标签键和标签值后,单击确认,然后在变更提示对话框中单击关闭。
删除标签:在密钥列表的最下方,单击删除标签,在批量解绑标签对话框勾选要解绑的标签,单击解绑标签,然后在变更提示对话框中单击关闭。
