Key Management Service：快速入門

操作流程

步驟一：啟用專屬KMS標準版執行個體

1. 登入Key Management Service控制台。

2. 在專屬KMS頁面，找到目標專屬KMS標準版執行個體，在操作列單擊啟用。
3. 在串連密碼機對話方塊，指定密碼機叢集。
   說明 一個密碼機叢集只能綁定一個專屬KMS標準版執行個體。
4. 配置訪問憑據。
   • 使用者名稱：加密使用者名稱稱（固定為kmsuser）。
   • 口令：加密使用者訪問口令。該口令是您在建立加密使用者時設定的口令。
   • 安全域認證：PEM格式CA認證。您可以在Data Encryption Service控制台叢集詳情頁面下載ClusterOwnerCertificate。
5. 單擊串連密碼機。
   請等待幾分鐘，然後重新整理頁面，當狀態變更為已啟用時，專屬KMS標準版執行個體啟用成功。

步驟二：為專屬KMS標準版執行個體建立密鑰

1. 在專屬KMS頁面，找到目標專屬KMS標準版執行個體，單擊操作列的管理。
2. 在使用者主要金鑰地區，單擊建立密鑰，在建立密鑰對話方塊，設定以下參數。

   配置項	說明
   密鑰類型	取值： 對稱金鑰的類型： Aliyun_AES_256 Aliyun_AES_128 Aliyun_AES_192 非對稱金鑰的類型： RSA_2048 RSA_3072 RSA_4096 EC_P256 EC_P256K HMAC_SHA256 HMAC_SHA512
   密鑰用途	取值： Encrypt/Decrypt：資料加密和解密。 Sign/Verify：產生和驗證數位簽章。
   別名	使用者主要金鑰的標識符。支援英文字母、數字、底線（_）、短劃線（-）和正斜線（/）。
   描述	密鑰的說明資訊。
   進階選項	密鑰材料來源 阿里雲KMS：密鑰材料將由專屬KMS產生。 外部：專屬KMS將不會產生密鑰材料，您需要將自己的密鑰材料匯入專屬KMS。更多資訊，請參見匯入對稱金鑰材料。 說明 請認真閱讀並勾選我瞭解使用外部金鑰材料的方法和意義。 附加密鑰用途：當密鑰類型為非對稱金鑰時，支援設定附加密鑰用途，讓一個密鑰具有多個用途。

3. 單擊確定。

步驟三：應用接入專屬KMS標準版執行個體

1. 建立應用存取點AAP（Application Access Point），控制應用正常訪問專屬KMS標準版執行個體。
   1. 在專屬KMS頁面，找到目標專屬KMS標準版執行個體，在操作列單擊詳情。
   2. 在應用接入指南地區，單擊快速建立應用存取點。
   3. 在快速配置應用身份憑證和許可權面板，設定應用存取點資訊後單擊建立。
      1. 輸入應用存取點名稱。
      2. 設定存取控制策略。
         • 允許訪問資源：預設填寫Key/*，表示允許訪問當前專屬KMS執行個體的全部密鑰。
         • 允許網路來源：允許訪問的網路類型和IP地址。您可以設定私網IP地址或者私網網段，多個IP地址之間用半形逗號（,）分隔。
   4. 在應用身份憑證對話方塊，擷取憑證口令和應用身份憑證內容（Client Key）。
      • 憑證口令：單擊複製口令，擷取憑證口令。
      • 應用身份憑證內容：單擊下載應用身份憑證，儲存應用身份憑證資訊。

        應用身份憑證資訊包含憑證ID（KeyId）和憑證內容（PrivateKeyData），憑證內容為PKCS12格式Base64編碼。樣本如下：

        {
          "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
          "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
        }

        說明 KMS不會儲存Client Key的憑證口令和應用身份憑證內容，您只能在建立Client Key時擷取到該資訊，請妥善保管。
   5. 單擊關閉。
2. 擷取CA認證，以便驗證專屬KMS標準版執行個體。
   在應用接入指南地區，單擊擷取執行個體CA認證下方的下載，下載.pem格式的CA認證檔案。