本文為您介紹如何使用託管密碼機建立並使用密鑰。
背景資訊
您需要在當前已經支援的地區使用託管密碼機。更多資訊,請參見支援的地區。通過Key Management Service控制台建立密鑰
- 登入Key Management Service控制台。
- 在頁面左上方的地區下拉式清單,選擇密鑰所在的地區。
- 在左側導覽列,單擊使用者主要金鑰。
- 單擊建立密鑰。
- 在建立密鑰對話方塊,設定KMS執行個體、密鑰類型、密鑰用途、別名、保護層級、描述、輪轉周期和進階選項。說明
- 請將保護層級設定為Hsm。
- 關於參數的更多資訊, 請參見建立密鑰。
- 單擊確定。建立完成後,您可以在密鑰列表的保護層級列查看密鑰保護層級。
通過阿里雲CLI建立密鑰
- 調用CreateKey,建立使用者主要金鑰。
aliyun kms CreateKey --ProtectionLevel HSM --Description "Key1 in Managed HSM"
- 調用DescribeKey,查看密鑰的保護層級。
aliyun kms DescribeKey --KeyId 1234abcd-12ab-34cd-56ef-12345678****
預期輸出:
{ "KeyMetadata": { "CreationDate": "2019-07-04T13:14:15Z", "Description": "Key1 in Managed HSM", "KeyId": "1234abcd-12ab-34cd-56ef-12345678****", "KeyState": "Enabled", "KeyUsage": "ENCRYPT/DECRYPT", "DeleteDate": "", "Creator": "151266687691****", "Arn": "acs:kms:cn-hongkong:151266687691****:key/1234abcd-12ab-34cd-56ef-12345678****", "Origin": "Aliyun_KMS", "MaterialExpireTime": "", "ProtectionLevel": "HSM" }, "RequestId": "8eaeaa8b-4491-4f1e-a51e-f95a4e54620c" }
將外部金鑰匯入託管密碼機
如果您需要將自建密鑰基礎設施中的密鑰匯入到託管密碼機中,您只需要在建立外部金鑰時,指定保護層級為Hsm。關於如何建立外部金鑰,請參見通過控制台匯入密鑰材料。
將外部金鑰匯入託管密碼機時,阿里雲會進行如下操作:
- 當您調用GetParametersForImport時:阿里雲將根據您指定的保護層級Hsm,在託管密碼機中產生一個用於匯入外部金鑰的金鑰組,並把金鑰組的公開金鑰返回給您。
- 當您調用ImportKeyMaterial時:阿里雲將加密的外部金鑰材料匯入到託管密碼機的內部,並通過HSM的密鑰反打包(Unwrap)機制擷取密鑰材料本身,而匯入的密鑰材料明文不能被任何人匯出。
管理和使用密鑰
Key Management Service支援的所有管理類功能和密碼運算功能都適用於您在託管密碼機中建立的密鑰,具體功能如下:
- 密鑰狀態的開啟和禁用
- 密鑰的生命週期管理
- 密鑰的別名管理
- 密鑰的雲標籤管理
- 密碼運算介面的調用
和其他雲產品的整合
託管密碼機中的密鑰,可以通過Key Management Service的標準介面和ECS、RDS、OSS等其它雲產品實現無縫整合,用於對阿里雲上的原生資料進行保護。雲產品需要支援對使用者自選密鑰進行服務端加密的能力。您只需在雲產品中配置用於服務端加密的CMK,選擇一個建立在託管密碼機中的密鑰即可。