KMS執行個體提供密鑰和憑據相關功能,您可以使用金鑰組敏感性資料加解密,使用憑據減少在代碼中寫入程式碼憑據帶來的風險,增強業務資料的安全性。本文介紹如何購買和啟用KMS執行個體。
概述
選購前請您先瞭解KMS的規格和業務組件,基於您的業務情境、安全合規要求選擇合適的規格。詳細資料,請參見產品選型。
步驟一:購買KMS執行個體
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊 。
在实例管理頁面單擊创建实例,選擇付費類型,然後選擇要購買的KMS執行個體規格,單擊立即購買。
配置項
說明
網站
KMS執行個體所在地區所屬的網站。可選項:國際region、中國內地region。
密鑰管理類型
KMS執行個體類型。可選項:
地區
KMS執行個體所在地區。更多資訊,請參見支援的地區。
部署模式
KMS執行個體支援雙可用性區域或多可用性區域配置,從而實現高可用性、災備能力和負載平衡。
說明菲律賓(馬尼拉)、泰國(曼穀)僅提供一個可用性區域,則該KMS執行個體只能部署在單可用性區域,此時部署模式預設取值為單可用性區域。
選擇多可用性區域時,最多能配置3個可用性區域。
各地區的可用性區域數量,請參見地區和接入地址。
計算效能
KMS執行個體的計算效能。關於效能資料的詳細介紹,請參見效能資料。
如果軟體密鑰管理執行個體的計算效能不能滿足業務要求,請聯絡我們,為您申請計算效能為10,000或20,000的軟體密鑰管理執行個體。
密鑰數量
KMS執行個體允許建立的最大密鑰數量。
憑據數量
KMS執行個體允許建立的最大憑據數量。
訪問管理數量
一個KMS執行個體可以被多個VPC網路或多個資源共用帳號訪問。預設值為1個。
例如,您的KMS執行個體需要關聯3個VPC,並共用給2個阿里雲帳號,那麼訪問管理數量配額最少為5才能滿足業務需求。
日誌分析
是否開啟日誌分析功能。詳細內容,請參見Log Service概述。
日誌儲存容量
最小為1000 GB,以1000 GB為單位遞增。如何評估容量,請參見如何計算所需的日誌儲存容量。
購買數量
購買的KMS執行個體的數量。
重要通常您只需購買1個KMS執行個體,如需購買多個KMS執行個體,請聯絡我們。
購買時間長度
根據需要選擇購買時間長度。
說明您可以選中到期自動續約,當前KMS執行個體到期後將自動續約。
仔細閱讀並勾選服務合約,單擊去支付完成購買。
購買成功後,您需要等待1~5分鐘,即可在实例管理頁面看到您購買的KMS執行個體。
步驟二:啟用KMS執行個體
購買KMS執行個體後,您需要先啟用執行個體,才可以使用該KMS執行個體提供的密鑰管理、憑據管理功能。
啟用軟體密鑰管理執行個體
前提條件
確保有1個VPC和1個交換器。
建議您先登入專用網路管理主控台,查看已有的VPC、交換器以及交換器所在的可用性區域,然後再啟用KMS執行個體。也可以新建立VPC和交換器,具體操作,請參見建立專用網路和交換器或建立交換器。
使用阿里雲中國站帳號購買非中國內地的KMS執行個體,或者使用阿里雲國際站帳號購買中國內地的KMS執行個體,需要手動開通雲解析PrivateZone。具體操作,請參見開通PrivateZone。
說明使用阿里雲中國站帳號購買中國內地的KMS執行個體,或者使用阿里雲國際站帳號購買非中國內地的KMS執行個體時,阿里雲會自動開通PrivateZone,無需您手動開通。
KMS執行個體網域名稱解析產生的費用由KMS承擔,您無需向雲解析PrivateZone付費。
操作步驟
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊 。
在软件密钥管理頁簽,定位到目標KMS軟體密鑰管理執行個體,單擊操作列的启用。
在启用KMS实例面板,完成各項配置後單擊立即启用。
配置項
說明
实例名称
自訂KMS執行個體的名稱,支援字母、數字以及特殊字元
_/+=.@-
。VPC ID
選擇一個KMS執行個體綁定的VPC。
配置可用区
與購買執行個體時選擇的部署模式相關,支援雙可用性區域或多可用性區域。多可用性區域時最多可以配置3個可用性區域。
配置可用区&交换机:配置一個可用性區域和交換器,確保該交換器至少有1個可用IP。
其他可用区:支援隨機分配,也支援手動指定。
說明部分地區僅提供一個可用性區域,則該KMS執行個體只能部署在單可用性區域。
請等待約30分鐘,然後重新整理頁面,當狀態變更為已启用時,表示KMS軟體密鑰管理執行個體啟用成功。
啟用硬體密鑰管理執行個體
前提條件
已配置可供KMS執行個體串連的密碼機叢集。具體操作,請參見配置KMS硬體密鑰管理執行個體的密碼機叢集。
警告後續需要擴充密碼機叢集中的密碼機數量時,請先聯絡阿里雲支援人員修改叢集同步方式為自動同步,以避免叢集同步失敗。
請確保KMS執行個體配置的每個可用性區域下都有1個交換器,以部署雙可用性區域為例。
(推薦)使用密碼機執行個體綁定的2個交換器:您無需建立交換器,只需要確保每個交換器下預留4個可用IP。
不使用密碼機執行個體綁定的2個交換器:您需要建立2個交換器,2個交換器在不同可用性區域,每個交換器需要預留4個可用IP。具體操作,請參見建立交換器。
您可以登入專用網路管理主控台,在交換器頁面單擊目標交換器,在詳情頁面查看可用IP數。
使用阿里雲中國站帳號購買非中國內地的KMS執行個體,或者使用阿里雲國際站帳號購買中國內地的KMS執行個體,需要手動開通雲解析PrivateZone。具體操作,請參見開通PrivateZone。
說明使用阿里雲中國站帳號購買中國內地的KMS執行個體,或者使用阿里雲國際站帳號購買非中國內地的KMS執行個體時,阿里雲會自動開通PrivateZone,無需您手動開通。
KMS執行個體網域名稱解析產生的費用由KMS承擔,您無需向雲解析PrivateZone付費。
操作步驟
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊 。
單擊硬件密钥管理頁簽,定位到目標KMS硬體密鑰管理執行個體,單擊操作列的启用。
在连接密码机面板,完成各項配置後,單擊连接密码机指定密碼機叢集。
配置項
說明
实例名称
自訂KMS執行個體的名稱,支援字母、數字以及特殊字元
_/+=.@-
。选择集群
選擇您在Data Encryption Service中配置的密碼機叢集。
說明一個KMS硬體密鑰管理執行個體只能綁定一個密碼機叢集。
配置密码机访问凭据
用户名:密碼機操作員的使用者名稱(固定為
kmsuser
)。口令:密碼機操作員的訪問口令。該口令是您在建立密碼機操作員時設定的口令。
安全域证书:PEM格式CA認證。登入Data Encryption Service控制台,單擊叢集中任一密碼機執行個體ID,在執行個體詳情頁簽下方,找到ClusterOwnerCertificate,即安全域認證,請直接複製內容或者儲存為PEM格式檔案再上傳。
VPC ID
預設為密碼機綁定的VPC ID,不支援修改。
配置可用区&交换机
與購買執行個體時選擇的部署模式相關,支援雙可用性區域或多可用性區域,每個可用性區域下的交換器需要預留4個可用IP。
多可用性區域時最多可以配置3個可用性區域。
如果購買執行個體時選擇了憑據數量,請等待約30分鐘,然後重新整理頁面。如果未選擇憑據數量,請等待約10分鐘,然後重新整理頁面。當狀態變更為已启用時,表示KMS硬體密鑰管理執行個體啟用成功。
啟用外部金鑰管理執行個體
前提條件
已購買了雲外密碼機,並配置了XKI Proxy外部代理。具體操作,請諮詢您的密碼機服務商。
說明XKI Proxy伺服器的詳細資料,請參見XKI Proxy伺服器。
KMS支援通過公網或VPC終端節點與XKI Proxy外部代理建立串連。如果通過VPC終端節點建立串連,請先建立終端節點服務。具體操作,請參見建立和管理終端節點服務。建立終端節點時需要注意以下幾點:
終端節點服務的兩個可用性區域,需要與啟動KMS執行個體所選擇的可用性區域保持一致。
需要將當前阿里雲帳號,添加到終端節點服務的白名單中。
終端節點服務的是否自動接受串連需要設定為是。
使用阿里雲中國站帳號購買非中國內地的KMS執行個體,或者使用阿里雲國際站帳號購買中國內地的KMS執行個體,需要手動開通雲解析PrivateZone。具體操作,請參見開通PrivateZone。
說明使用阿里雲中國站帳號購買中國內地的KMS執行個體,或者使用阿里雲國際站帳號購買非中國內地的KMS執行個體時,阿里雲會自動開通PrivateZone,無需您手動開通。
KMS執行個體網域名稱解析產生的費用由KMS承擔,您無需向雲解析PrivateZone付費。
操作步驟
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊 。
單擊外部密钥管理頁簽,定位到目標執行個體,單擊操作列的启用。
在连接密码机面板,完成各項配置後,單擊连接密码机指定密碼機叢集。
配置項
說明
实例名称
自訂KMS執行個體的名稱,支援字母、數字以及特殊字元
_/+=.@-
。VPC ID
選擇一個KMS執行個體綁定的VPC。
配置可用区
與購買執行個體時選擇的部署模式相關,支援雙可用性區域或多可用性區域。多可用性區域時最多可以配置3個可用性區域。
配置可用区&交换机:配置一個可用性區域和交換器,確保該交換器至少有1個可用IP。
其他可用区:支援隨機分配,也支援手動指定。
說明部分地區僅提供一個可用性區域,則該KMS執行個體只能部署在單可用性區域。
外部代理连接
公网接入:KMS執行個體使用公網與XKI Proxy外部代理串連。
VPC终端节点服务:KMS執行個體使用VPC終端節點服務與XKI Proxy外部代理串連。
外部代理域名地址
僅當外部代理连接選擇公网接入時,需要輸入XKI Proxy外部代理的網域名稱地址。
终端节点服务
僅當外部代理连接選擇VPC终端节点服务時,需要選擇終端節點服務。
啟動KMS執行個體所選擇可用性區域務必與終端節點服務可用性區域保持一致。
配置外部代理
手动配置:手動設定外部代理路径、业务服务证书指纹、XKI Proxy代理的AccessKey ID、AccessKey Secret。
上传配置文件:通過上傳檔案進行配置。
如果購買執行個體時選擇了憑據數量,請等待約30分鐘,然後重新整理頁面。如果未選擇憑據數量,請等待約10分鐘,然後重新整理頁面。當狀態變更為已启用時,表示KMS外部金鑰管理執行個體啟用成功。