全部產品
Search
文件中心

Key Management Service:快速入門

更新時間:Oct 22, 2024

應用接入專屬KMS標準版執行個體後,專屬KMS標準版將使用租戶獨享的密碼資源集區(密碼機叢集),實現資源隔離和密碼學隔離,為您的業務資料提供可靠、安全、合規的資料加密保護能力。本文介紹如何啟用專屬KMS標準版執行個體、如何建立密鑰、以及如何讓應用接入執行個體。

前提條件

  • 已購買專屬KMS標準版執行個體。具體操作,請參見開通Key Management Service

  • 專屬KMS標準版執行個體需關聯同一阿里雲帳號下Data Encryption Service的密碼機叢集,且密碼機叢集需完成如下配置。具體操作,請參見非中國內地密碼機快速入門

    • 已經建立密碼機叢集,叢集中已經添加密碼機執行個體。

    • 已經完成密碼機叢集的初始化並啟用叢集。密碼機叢集中應包含兩個及以上不同可用性區域的密碼機執行個體。當前叢集狀態為已啟用。初始化時您設定的ClusterOwnerCertificate將作為KMS訪問密碼機叢集的安全域認證。

    • 已建立一個使用者名稱為kmsuser的加密使用者,並為kmsuser設定口令。KMS將使用該使用者身份訪問您的密碼機叢集,進行密鑰建立和密碼運算。

操作流程

國際站快速入門操作流程

步驟一:啟用專屬KMS標準版執行個體

  1. 登入Key Management Service控制台

  2. 專屬KMS頁面,找到目標專屬KMS標準版執行個體,在操作列單擊啟用

  3. 串連密碼機對話方塊,指定密碼機叢集。

    說明

    一個密碼機叢集只能綁定一個專屬KMS標準版執行個體。

  4. 配置訪問憑據。

    • 使用者名稱:加密使用者名稱稱(固定為kmsuser)。

    • 口令:加密使用者訪問口令。該口令是您在建立加密使用者時設定的口令。

    • 安全域認證:PEM格式CA認證。您可以在Data Encryption Service控制台叢集詳情頁面下載ClusterOwnerCertificate

  5. 單擊串連密碼機

    請等待幾分鐘,然後重新整理頁面,當狀態變更為已啟用時,專屬KMS標準版執行個體啟用成功。

步驟二:為專屬KMS標準版執行個體建立密鑰

  1. 專屬KMS頁面,找到目標專屬KMS標準版執行個體,單擊操作列的管理

  2. 使用者主要金鑰地區,單擊建立密鑰,在建立密鑰對話方塊,設定以下參數。

    配置項

    說明

    密鑰類型

    取值:

    • 對稱金鑰的類型:

      • Aliyun_AES_256

      • Aliyun_AES_128

      • Aliyun_AES_192

    • 非對稱金鑰的類型:

      • RSA_2048

      • RSA_3072

      • RSA_4096

      • EC_P256

      • EC_P256K

      • HMAC_SHA256

      • HMAC_SHA512

    密鑰用途

    取值:

    • Encrypt/Decrypt:資料加密和解密。

    • Sign/Verify:產生和驗證數位簽章。

    別名

    使用者主要金鑰的標識符。支援英文字母、數字、底線(_)、短劃線(-)和正斜線(/)。

    描述

    密鑰的說明資訊。

    進階選項

    • 密鑰材料來源

      • 阿里雲KMS:密鑰材料將由專屬KMS產生。

      • 外部:專屬KMS將不會產生密鑰材料,您需要將自己的密鑰材料匯入專屬KMS。更多資訊,請參見匯入對稱金鑰材料

        說明

        請認真閱讀並勾選我瞭解使用外部金鑰材料的方法和意義

    • 附加密鑰用途:當密鑰類型為非對稱金鑰時,支援設定附加密鑰用途,讓一個密鑰具有多個用途。

  3. 單擊確定

步驟三:應用接入專屬KMS標準版執行個體

  1. 建立應用存取點AAP(Application Access Point),控制應用正常訪問專屬KMS標準版執行個體。

    1. 專屬KMS頁面,找到目標專屬KMS標準版執行個體,在操作列單擊詳情

    2. 應用接入指南地區,單擊快速建立應用存取點

    3. 快速配置應用身份憑證和許可權面板,設定應用存取點資訊後單擊建立

      1. 輸入應用存取點名稱

      2. 設定存取控制策略

        • 允許訪問資源:預設填寫Key/*,表示允許訪問當前專屬KMS執行個體的全部密鑰。

        • 允許網路來源:允許訪問的網路類型和IP地址。您可以設定私網IP地址或者私網網段,多個IP地址之間用半形逗號(,)分隔。

    4. 應用身份憑證對話方塊,擷取憑證口令應用身份憑證內容(Client Key)。

      • 憑證口令:單擊複製口令,擷取憑證口令。

      • 應用身份憑證內容:單擊下載應用身份憑證,儲存應用身份憑證資訊。

        應用身份憑證資訊包含憑證ID(KeyId)和憑證內容(PrivateKeyData),憑證內容為PKCS12格式Base64編碼。樣本如下:

        {
          "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
          "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
        }
        說明

        KMS不會儲存Client Key的憑證口令和應用身份憑證內容,您只能在建立Client Key時擷取到該資訊,請妥善保管。

    5. 單擊關閉

  2. 擷取CA認證,以便驗證專屬KMS標準版執行個體。

    應用接入指南地區,單擊擷取執行個體CA認證下方的下載,下載.pem格式的CA認證檔案。

後續步驟

您可以使用專屬KMS SDK,通過訪問專屬KMS API調用Key Management Service。具體操作,請參見專屬KMS Java SDK專屬KMS PHP SDK專屬KMS Go SDK專屬KMS Python SDK