應用接入專屬KMS標準版執行個體後,專屬KMS標準版將使用租戶獨享的密碼資源集區(密碼機叢集),實現資源隔離和密碼學隔離,為您的業務資料提供可靠、安全、合規的資料加密保護能力。本文介紹如何啟用專屬KMS標準版執行個體、如何建立密鑰、以及如何讓應用接入執行個體。
前提條件
已購買專屬KMS標準版執行個體。具體操作,請參見開通Key Management Service。
專屬KMS標準版執行個體需關聯同一阿里雲帳號下Data Encryption Service的密碼機叢集,且密碼機叢集需完成如下配置。具體操作,請參見非中國內地密碼機快速入門。
已經建立密碼機叢集,叢集中已經添加密碼機執行個體。
已經完成密碼機叢集的初始化並啟用叢集。密碼機叢集中應包含兩個及以上不同可用性區域的密碼機執行個體。當前叢集狀態為已啟用。初始化時您設定的ClusterOwnerCertificate將作為KMS訪問密碼機叢集的安全域認證。
已建立一個使用者名稱為
kmsuser
的加密使用者,並為kmsuser
設定口令。KMS將使用該使用者身份訪問您的密碼機叢集,進行密鑰建立和密碼運算。
操作流程
步驟一:啟用專屬KMS標準版執行個體
在專屬KMS頁面,找到目標專屬KMS標準版執行個體,在操作列單擊啟用。
在串連密碼機對話方塊,指定密碼機叢集。
說明一個密碼機叢集只能綁定一個專屬KMS標準版執行個體。
配置訪問憑據。
使用者名稱:加密使用者名稱稱(固定為
kmsuser
)。口令:加密使用者訪問口令。該口令是您在建立加密使用者時設定的口令。
安全域認證:PEM格式CA認證。您可以在Data Encryption Service控制台叢集詳情頁面下載ClusterOwnerCertificate。
單擊串連密碼機。
請等待幾分鐘,然後重新整理頁面,當狀態變更為已啟用時,專屬KMS標準版執行個體啟用成功。
步驟二:為專屬KMS標準版執行個體建立密鑰
在專屬KMS頁面,找到目標專屬KMS標準版執行個體,單擊操作列的管理。
在使用者主要金鑰地區,單擊建立密鑰,在建立密鑰對話方塊,設定以下參數。
配置項
說明
密鑰類型
取值:
對稱金鑰的類型:
Aliyun_AES_256
Aliyun_AES_128
Aliyun_AES_192
非對稱金鑰的類型:
RSA_2048
RSA_3072
RSA_4096
EC_P256
EC_P256K
HMAC_SHA256
HMAC_SHA512
密鑰用途
取值:
Encrypt/Decrypt:資料加密和解密。
Sign/Verify:產生和驗證數位簽章。
別名
使用者主要金鑰的標識符。支援英文字母、數字、底線(_)、短劃線(-)和正斜線(/)。
描述
密鑰的說明資訊。
進階選項
密鑰材料來源
阿里雲KMS:密鑰材料將由專屬KMS產生。
外部:專屬KMS將不會產生密鑰材料,您需要將自己的密鑰材料匯入專屬KMS。更多資訊,請參見匯入對稱金鑰材料。
說明請認真閱讀並勾選我瞭解使用外部金鑰材料的方法和意義。
附加密鑰用途:當密鑰類型為非對稱金鑰時,支援設定附加密鑰用途,讓一個密鑰具有多個用途。
單擊確定。
步驟三:應用接入專屬KMS標準版執行個體
建立應用存取點AAP(Application Access Point),控制應用正常訪問專屬KMS標準版執行個體。
在專屬KMS頁面,找到目標專屬KMS標準版執行個體,在操作列單擊詳情。
在應用接入指南地區,單擊快速建立應用存取點。
在快速配置應用身份憑證和許可權面板,設定應用存取點資訊後單擊建立。
輸入應用存取點名稱。
設定存取控制策略。
允許訪問資源:預設填寫
Key/*
,表示允許訪問當前專屬KMS執行個體的全部密鑰。允許網路來源:允許訪問的網路類型和IP地址。您可以設定私網IP地址或者私網網段,多個IP地址之間用半形逗號(,)分隔。
在應用身份憑證對話方塊,擷取憑證口令和應用身份憑證內容(Client Key)。
憑證口令:單擊複製口令,擷取憑證口令。
應用身份憑證內容:單擊下載應用身份憑證,儲存應用身份憑證資訊。
應用身份憑證資訊包含憑證ID(KeyId)和憑證內容(PrivateKeyData),憑證內容為PKCS12格式Base64編碼。樣本如下:
{ "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****", "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw==" }
說明KMS不會儲存Client Key的憑證口令和應用身份憑證內容,您只能在建立Client Key時擷取到該資訊,請妥善保管。
單擊關閉。
擷取CA認證,以便驗證專屬KMS標準版執行個體。
在應用接入指南地區,單擊擷取執行個體CA認證下方的下載,下載.pem格式的CA認證檔案。
後續步驟
您可以使用專屬KMS SDK,通過訪問專屬KMS API調用Key Management Service。具體操作,請參見專屬KMS Java SDK、專屬KMS PHP SDK、專屬KMS Go SDK和專屬KMS Python SDK。