Key Management Service：快速入門

操作流程

步驟一：啟用專屬KMS標準版執行個體

1. 登入Key Management Service控制台。

2. 在專屬KMS頁面，找到目標專屬KMS標準版執行個體，在操作列單擊啟用。

3. 在串連密碼機對話方塊，指定密碼機叢集。

   說明

   一個密碼機叢集只能綁定一個專屬KMS標準版執行個體。

4. 配置訪問憑據。

   • 使用者名稱：加密使用者名稱稱（固定為kmsuser）。

   • 口令：加密使用者訪問口令。該口令是您在建立加密使用者時設定的口令。

   • 安全域認證：PEM格式CA認證。您可以在Data Encryption Service控制台叢集詳情頁面下載ClusterOwnerCertificate。

5. 單擊串連密碼機。

   請等待幾分鐘，然後重新整理頁面，當狀態變更為已啟用時，專屬KMS標準版執行個體啟用成功。

步驟二：為專屬KMS標準版執行個體建立密鑰

1. 在專屬KMS頁面，找到目標專屬KMS標準版執行個體，單擊操作列的管理。

2. 在使用者主要金鑰地區，單擊建立密鑰，在建立密鑰對話方塊，設定以下參數。

   配置項	說明
   密鑰類型	取值： 對稱金鑰的類型： Aliyun_AES_256 Aliyun_AES_128 Aliyun_AES_192 非對稱金鑰的類型： RSA_2048 RSA_3072 RSA_4096 EC_P256 EC_P256K HMAC_SHA256 HMAC_SHA512
   密鑰用途	取值： Encrypt/Decrypt：資料加密和解密。 Sign/Verify：產生和驗證數位簽章。
   別名	使用者主要金鑰的標識符。支援英文字母、數字、底線（_）、短劃線（-）和正斜線（/）。
   描述	密鑰的說明資訊。
   進階選項	密鑰材料來源 阿里雲KMS：密鑰材料將由專屬KMS產生。 外部：專屬KMS將不會產生密鑰材料，您需要將自己的密鑰材料匯入專屬KMS。更多資訊，請參見匯入對稱金鑰材料。 說明 請認真閱讀並勾選我瞭解使用外部金鑰材料的方法和意義。 附加密鑰用途：當密鑰類型為非對稱金鑰時，支援設定附加密鑰用途，讓一個密鑰具有多個用途。

3. 單擊確定。

步驟三：應用接入專屬KMS標準版執行個體

1. 建立應用存取點AAP（Application Access Point），控制應用正常訪問專屬KMS標準版執行個體。

   1. 在專屬KMS頁面，找到目標專屬KMS標準版執行個體，在操作列單擊詳情。

   2. 在應用接入指南地區，單擊快速建立應用存取點。

   3. 在快速配置應用身份憑證和許可權面板，設定應用存取點資訊後單擊建立。

      1. 輸入應用存取點名稱。

      2. 設定存取控制策略。

         • 允許訪問資源：預設填寫Key/*，表示允許訪問當前專屬KMS執行個體的全部密鑰。

         • 允許網路來源：允許訪問的網路類型和IP地址。您可以設定私網IP地址或者私網網段，多個IP地址之間用半形逗號（,）分隔。

   4. 在應用身份憑證對話方塊，擷取憑證口令和應用身份憑證內容（Client Key）。

      • 憑證口令：單擊複製口令，擷取憑證口令。

      • 應用身份憑證內容：單擊下載應用身份憑證，儲存應用身份憑證資訊。

        應用身份憑證資訊包含憑證ID（KeyId）和憑證內容（PrivateKeyData），憑證內容為PKCS12格式Base64編碼。樣本如下：

        {
          "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
          "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
        }

        說明

        KMS不會儲存Client Key的憑證口令和應用身份憑證內容，您只能在建立Client Key時擷取到該資訊，請妥善保管。

   5. 單擊關閉。

2. 擷取CA認證，以便驗證專屬KMS標準版執行個體。

   在應用接入指南地區，單擊擷取執行個體CA認證下方的下載，下載.pem格式的CA認證檔案。