同步主实例中的资源_密钥管理服务(Key Management Service)-阿里云帮助中心

当业务应用在多地域进行主备或多活容灾部署时，为了保证容灾场景下的业务连续性，推荐您使用KMS的跨地域同步功能，即在多个地域分别购买KMS实例（其中1个作为主实例、其他为副本实例）并进行资源同步。本文介绍如何同步主实例中的资源。

重要

如果控制台提示“如果您需要使用软件密钥导入(BYOK)、跨地域同步、监控等高级功能，请通过提交工单确认实例镜像升级至最新版本的时间。”，请您联系我们。

原理介绍

KMS实例支持跨地域同步资源，可在分钟级完成资源同步。您在配置KMS实例跨地域同步资源后，使用KMS密钥进行加密的业务应用可更轻松地实现异地多活容灾。主地域下业务应用访问KMS主实例，完成密码运算操作。容灾场景下，副本地域下的业务应用访问KMS副本实例，完成密码运算操作。具体请参见下图。

说明

KMS专注于实现主实例与副本实例间的资源同步，对于您的业务数据层面的同步需求，超出了KMS产品的服务范畴，请您对此类业务数据同步问题作另行规划与处理。

支持的实例类型：仅预付费模式中的软件密钥管理实例，支持跨地域同步。
副本实例限制：
- 个数限制：每个主实例可以绑定3个副本实例。
- 地域限制：主实例、所有副本实例的地域均不能相同。
- 资源限制：副本实例下不允许有任何密钥、凭据资源，副本实例下有资源时，不支持绑定该副本实例。
- 配额限制：副本实例的密钥数量、凭据数量配额，需要大于等于主实例。
跨境限制：不支持跨境同步实例。即主实例在中国内地地域时，副本实例也必须是中国内地地域。

支持同步的资源：仅支持同步密钥，不支持同步凭据。
同步密钥的密钥ID、密钥版本、密钥材料、密钥状态、删除保护，不同步密钥策略、密钥别名、密钥标签。
重要
- 对配置了跨地域同步的密钥进行轮转时，KMS会先将创建的密钥版本同步到副本实例，然后再将主实例、副本实例的该密钥版本修改为主版本（Primary Key Version），从而确保在密钥自动轮转时您的加密数据均可被正常解密。
- 由于同步密钥时不会同步密钥策略，因此当业务应用通过阿里云SDK进行密码运算操作时，请先在主实例中查看密钥策略，如果设置了自定义策略，请在副本实例中设置相同的自定义策略，避免业务应用没有权限访问备份实例中的密钥。具体操作，请参见查看密钥策略、设置密钥策略。
同步周期：绑定副本实例后会同步一次，耗时约3~5分钟，后续每分钟同步一次。
同步策略：同步时如果副本实例中有相同ID的密钥，会跳过该密钥，继续同步其他密钥。您可以在同步结果中查询是否同步成功。

为主实例绑定副本实例。

选择资源同步类型，然后单击下一步。

同步类型	说明
①主实例全量同步	仅同步主实例中当前已创建的密钥，后续新增的密钥不会同步。例如，当前主实例中有10个密钥，仅同步这10个密钥，这些密钥后续发生变更也会同步。
②增量密钥同步	主实例中当前已创建的密钥不会同步，仅同步后续新增的密钥。
③手动选择同步资源	仅同步您选择的指定密钥，这些密钥后续发生变更也会同步。

支持您同时选择①②，或者②③，但不支持同时选择①③。

请您创建访问凭证，主地域、副本地域中的业务应用，分别使用主实例、副本实例中的密钥进行密码运算操作。详细信息，请参见SDK参考。

如果您使用阿里云SDK：仅需要创建一个访问凭证，且访问凭证仅支持可信实体为阿里云服务的RAM角色。
如果您使用KMS实例SDK：需要在主实例、副本实例分别创建访问凭证，且访问凭证仅支持应用接入点AAP中的ClientKey。具体操作，请参见创建应用接入点。