全部產品
Search

搜尋本產品

    Key Management Service:跨地區遷移憑據

    文件中心

    Key Management Service:跨地區遷移憑據

    更新時間:Jul 06, 2024

    為便於更高效地為您提供優質服務,部分老舊地區和可用性區域的基礎設定需要升級改造,如果您收到了部分地區升級遷移通知,請您及時遷移KMS的密鑰和憑據。本文為您介紹如何跨地區遷移KMS中的憑據。

    通用憑據

    如果是KMS執行個體中的憑據,請在目標地區購買KMS執行個體後,將憑據通過備份恢複的方式遷移過去。具體操作,請參見備份管理。如果是非KMS執行個體中的憑據,請在源地區查詢憑據的資訊,然後在目標地區建立憑據資訊相同的憑據,本文操作即該情境。

    說明

    在舊版本KMS中,支援使用者不購買KMS執行個體也能建立憑據,該憑據即非KMS執行個體中的憑據。新版本KMS(KMS 3.0)已不支援,您必須要先購買KMS執行個體,才能建立憑據。

    注意事項

    • 遷移啟動後,至遷移完成您在源地區刪除憑據的這段時間內,請勿在源地區對憑據進行任何操作,包括修改憑據中繼資料、建立憑據版本(PutSecretValue)等。

    • 遷移完成後,憑據的建立時間、憑據版本的建立時間與源地區不同,但不影響您的業務正常使用。

    操作步驟

    1. 在源地區查詢並儲存憑據的詳細資料。

      調用API查詢並儲存憑據的中繼資料、所有憑據版本、各憑據版本對應的憑據值等資訊。

      API介面

      說明

      DescribeSecret

      說明

      入參FetchTags請設定為true。

      傳回值為憑據的中繼資料資訊。

      ListSecretVersionIds

      說明

      入參IncludeDeprecated請設定為true。

      傳回值為憑據的所有憑據版本。

      返回結果中的VersionIds不是按建立時間排序的,請在本地按建立時間對VersionIds排序。例如有3個憑據版本:

      1. 版本v1,建立時間2023-01-01(即初始版本),版本狀態為001。

      2. 版本v2,建立時間2023-05-01,版本狀態為ACSPrevious。

      3. 版本v3,建立時間2023-11-01,版本狀態為ACSCurrent。

      GetSecretValue

      每個憑據版本對應一個憑據值,您需要查詢每個憑據版本的憑據值、憑據實值型別。

    2. 將應用遷移到目標地區,並完成適配。

      1. 將應用遷移到目標地區。

      2. 為應用建立身份憑證。

        1. 如果源地區使用RAM使用者的AccessKey、RAM角色,請在目標地區重新建立並授予權限原則AliyunKMSSecretAdminAccess。具體操作,請參見建立RAM使用者並授權建立RAM角色並授權

        2. 如果源地區使用應用存取點AAP的ClientKey,請在目標地區重新建立。具體操作,請參見建立應用存取點

          說明

          您需要先購買KMS執行個體,才能建立應用存取點。

      3. 修改應用中的Endpoint和身份憑證。

        說明

        KMS根據使用的SDK不同,有KMS服務Endpoint和KMS執行個體Endpoint,修改時請注意。詳細資料,關於Endpoint的詳細介紹,請參見SDK參考

    3. 在目標地區建立憑據。

      1. 購買KMS執行個體。具體操作,請參見產品選型購買和啟用KMS執行個體

      2. 在KMS執行個體中建立一個密鑰,該密鑰用於加密憑據。具體操作,請參見密鑰管理快速入門

      3. 通過調用API建立憑據,中繼資料、所有憑據版本、各憑據版本對應的憑據值需要和源地區一致。

        API

        說明

        CreateSecret

        建立一個通用憑據。

        • secretName、secretType、Tags、Description、ExtendedConfig:填寫您在源地區通過DescribeSecret查詢的中繼資料。

        • VersionId:填寫您在源地區通過ListSecretVersionIds查詢的初始版本。即樣本中的版本v1。

        • SecretData、SecretDataType:填寫您在源地區通過GetSecretValue查詢的初始版本(即樣本中的版本v1)的憑據值以及憑據實值型別。

        PutSecretValue

        將所有的憑據版本存入憑據。

        在建立憑據的時候,已把初始版本存入憑據,此時僅需要將剩餘的憑據版本存入。即樣本中的版本v2、版本v3。

        UpdateSecretVersionStage

        為所有的憑據版本設定版本狀態。

        在本文樣本中,即將版本v1的版本狀態設定為001,版本v2的版本狀態設定為ACSPrevious,版本v3的版本狀態設定為ACSCurrent。

      4. 調用DescribeSecret查看憑據的資訊與源地區是否一致。

    4. 觀察應用整合憑據後,是否可以正常運行。

    5. 確認不再需要使用源地區對應憑據後,建議在源地區刪除憑據。具體操作,請參見刪除通用憑據

      說明

      您可通過Action Trail查看憑據近期被調用情況。具體操作,請參見使用Action Trail查詢Key Management Service的操作事件。瞭解完整的支援審計的操作事件,請參見Key Management Service支援被審計的事件說明。其中憑據相關的事件有:GetSecretValue, DescribeSecret,ListSecretVersionIds,PutSecretValue,UpdateSecret,UpdateSecretVersionStage,UpdateSecretRotationPolicy,RestoreSecret。

    RAM憑據

    不支援遷移。

    一個RAM使用者只能在KMS中建立一個憑據,因此您需要先在源地區刪除該RAM憑據,再在目標地區建立一個RAM憑據。

    警告

    • 在KMS刪除RAM憑據前,請確保您的業務應用不依賴從KMS擷取該憑據。

    • 在KMS刪除RAM憑據,不會刪除您的AccessKey。

    RDS憑據

    不需要遷移。

    RDS執行個體是地區化資源,因此不需遷移對應的憑據。

    ECS憑據

    不需要遷移。

    ECS執行個體是地區化資源,因此不需遷移對應的憑據。