Key Management Service：管理密鑰

預設密鑰

預設密鑰包含服務密鑰、主要金鑰，服務密鑰由雲產品建立及管理生命週期，主要金鑰由您建立及管理生命週期。您可以參考如下步驟建立主要金鑰。

1. 登入Key Management Service控制台，在頂部功能表列選擇地區後，在左側導覽列單擊资源 > 密钥管理。

2. 在密钥管理頁面，單擊默认密钥頁簽。

3. 單擊主要金鑰操作列的启用，完成配置項設定，然後單擊確定。

   配置項	說明
   密钥别名	密鑰的別名標識符。支援英文字母、數字、底線（_）、短劃線（-）和正斜線（/）。
   描述信息	自訂密鑰的說明資訊。
   高级设置	密钥材料来源 阿里云KMS：密鑰材料將由KMS產生。 外部：KMS不會產生密鑰材料，您需要自行匯入密鑰材料。更多資訊，請參見匯入對稱金鑰材料。 說明 請仔細閱讀並選中我瞭解使用外部金鑰材料的方法和意義。

軟體密鑰

建立軟體密鑰前，請確保已購買並啟用KMS執行個體。具體操作，請參見購買和啟用KMS執行個體。

1. 登入Key Management Service控制台，在頂部功能表列選擇地區後，在左側導覽列單擊资源 > 密钥管理。

2. 在密钥管理頁面，單擊用户主密钥頁簽，实例ID選擇軟體密鑰管理執行個體，單擊创建密钥。

3. 在创建密钥面板，完成配置項設定，然後單擊確定。

   配置項	說明
   密钥类型	選擇密鑰是對稱金鑰還是非對稱金鑰。 重要 如果您建立的密鑰用於加密憑據值，請選擇對稱金鑰。
   密钥规格	密鑰的規格。關於密鑰規格遵循的標準、密鑰演算法等詳細介紹，請參見密鑰管理類型和密鑰規格。 對稱金鑰規格：Aliyun_AES_256 非對稱金鑰規格：RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P256K
   密钥用途	密鑰的用途。取值： Encrypt/Decrypt：資料加密和解密。 Sign/Verify：產生和驗證數位簽章。
   密钥别名	密鑰的別名標識符。支援英文字母、數字、底線（_）、短劃線（-）和正斜線（/）。
   標籤	密鑰的標籤，方便您對密鑰進行分類管理。每個標籤由一個索引值對（Key:Value）組成，包含標籤鍵（Key）、標籤值（Value）。 說明 標籤鍵和標籤值的格式：最多支援128個字元，可以包含英文大小寫字母、數字、正斜線（/）、反斜線（\）、底線（_）、短劃線（-）、半形句號（.）、加號（+）、等號（=）、半形冒號（:）、字元at（@）、空格。 標籤鍵不能以aliyun或acs:開頭。 每個密鑰最多可以設定20個標籤索引值對。
   自动轮转	僅對稱金鑰支援設定自動輪轉，開關預設開啟。詳細內容，請參見密鑰輪轉。
   轮转周期	支援設定為7~365天。
   描述信息	密鑰的說明資訊。
   高级设置	策略配置 預設策略：如果密鑰由當前主帳號使用，或者資源共用單元中的主帳號使用，請選擇預設策略。 執行個體未共用給其他帳號：僅當前主帳號能管理及使用密鑰。 執行個體已共用給其他帳號：以主帳號1將KMS執行個體A共用給主帳號2為例介紹。 主帳號1建立的密鑰：僅主帳號1能管理及使用密鑰。 主帳號2建立的密鑰：主帳號1和主帳號2，都能管理及使用密鑰。 自訂策略：如果密鑰需要授權給RAM使用者、RAM角色，或授權給其他帳號使用，請選擇自訂策略。 重要 選擇管理員、使用者時不消耗訪問管理數量配額。選擇其他帳號使用者時，會消耗KMS執行個體的訪問管理數量配額，按主帳號個數計算消耗的配額，如果您取消了授權，請等待約5分鐘，再查看配額，配額會返還。 管理員：對密鑰進行管控類操作，不支援密碼運算操作。支援選擇當前主帳號下的RAM使用者和RAM角色。 管理員支援的許可權列表 { "Statement": [ { "Action": [ "kms:List*", "kms:Describe*", "kms:Create*", "kms:Enable*", "kms:Disable*", "kms:Get*", "kms:Set*", "kms:Update*", "kms:Delete*", "kms:Cancel*", "kms:TagResource", "kms:UntagResource", "kms:ImportKeyMaterial", "kms:ScheduleKeyDeletion" ] } ] } 使用者：僅支援使用密鑰進行密碼運算操作。支援選擇當前主帳號下的RAM使用者和RAM角色。 使用者支援的許可權列表 { "Statement": [ { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateAndExportDataKey", "kms:AsymmetricEncrypt", "kms:AsymmetricDecrypt", "kms:DescribeKey", "kms:DescribeKeyVersion", "kms:ListKeyVersions", "kms:ListAliasesByKeyId", "kms:TagResource" ] } ] } 其他帳號使用者：使用密鑰進行加解密，可以是其他阿里雲帳號的RAM使用者或RAM角色。 RAM使用者：格式為acs:ram::<userId>:user/<ramuser>，例如acs:ram::119285303511****:user/testpolicyuser。 RAM角色：格式為acs:ram::<userId>:role/<ramrole>，例如acs:ram::119285303511****:role/testpolicyrole。 說明 授權給RAM使用者、RAM角色後，您仍需在存取控制RAM側，使用該RAM使用者、RAM角色的主帳號為其授權使用該密鑰，RAM使用者、RAM角色才能使用該密鑰。 具體操作，請參見Key Management Service自訂權限原則參考、為RAM使用者授權、為RAM角色授權。 其他帳號使用者支援的許可權列表 { "Statement": [ { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateAndExportDataKey", "kms:AsymmetricEncrypt", "kms:AsymmetricDecrypt", "kms:DescribeKey", "kms:DescribeKeyVersion", "kms:ListKeyVersions", "kms:ListAliasesByKeyId", "kms:TagResource" ] } ] } 密鑰材料來源 阿里云KMS：密鑰材料將由KMS產生。 外部（导入密钥材料）：KMS不會產生密鑰材料，您需要自行匯入密鑰材料。更多資訊，請參見匯入對稱金鑰材料和匯入非對稱金鑰材料。 說明 請仔細閱讀並選中我瞭解使用外部金鑰材料的方法和意義。

硬體密鑰

建立硬體密鑰前，請確保已購買並啟用KMS執行個體。具體操作，請參見購買和啟用KMS執行個體。

1. 登入Key Management Service控制台，在頂部功能表列選擇地區後，在左側導覽列單擊资源 > 密钥管理。

2. 在密钥管理頁面，單擊用户主密钥頁簽，实例ID選擇硬體密鑰管理執行個體，單擊创建密钥。

3. 在创建密钥面板，完成配置項設定，然後單擊確定。

   配置項	說明
   密钥类型	選擇要建立的密鑰是對稱金鑰還是非對稱金鑰。 重要 如果您建立的密鑰用於加密憑據值，請選擇對稱金鑰。
   密钥规格	密鑰的規格。關於密鑰規格遵循的標準、密鑰演算法等詳細介紹，請參見密鑰管理類型和密鑰規格。 對稱金鑰規格：Aliyun_AES_256、Aliyun_AES_192、Aliyun_AES_128、 非對稱金鑰規格：RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P256K、
   密钥用途	密鑰的用途。取值： Encrypt/Decrypt：資料加密和解密。 Sign/Verify：產生和驗證數位簽章。
   密钥别名	密鑰的別名標識符。支援英文字母、數字、底線（_）、短劃線（-）和正斜線（/）。
   標籤	密鑰的標籤，方便您對密鑰進行分類管理。每個標籤由一個索引值對（Key:Value）組成，包含標籤鍵（Key）、標籤值（Value）。 說明 標籤鍵和標籤值的格式：最多支援128個字元，可以包含英文大小寫字母、數字、正斜線（/）、反斜線（\）、底線（_）、短劃線（-）、半形句號（.）、加號（+）、等號（=）、半形冒號（:）、字元at（@）、空格。 標籤鍵不能以aliyun或acs:開頭。 每個密鑰最多可以設定20個標籤索引值對。
   描述信息	密鑰的說明資訊。
   高级设置 > 策略配置	預設策略：如果密鑰由當前主帳號使用，或者資源共用單元中的主帳號使用，請選擇預設策略。 執行個體未共用給其他帳號：僅當前主帳號能管理及使用密鑰。 執行個體已共用給其他帳號：以主帳號1將KMS執行個體A共用給主帳號2為例介紹。 主帳號1建立的密鑰：僅主帳號1能管理及使用密鑰。 主帳號2建立的密鑰：主帳號1和主帳號2，都能管理及使用密鑰。 自訂策略：如果密鑰需要授權給RAM使用者、RAM角色，或授權給其他帳號使用，請選擇自訂策略。 重要 選擇管理員、使用者時不消耗訪問管理數量配額。選擇其他帳號使用者時，會消耗KMS執行個體的訪問管理數量配額，按主帳號個數計算消耗的配額，如果您取消了授權，請等待約5分鐘，再查看配額，配額會返還。 管理員：對密鑰進行管控類操作，不支援密碼運算操作。支援選擇當前主帳號下的RAM使用者和RAM角色。 管理員支援的許可權列表 { "Statement": [ { "Action": [ "kms:List*", "kms:Describe*", "kms:Create*", "kms:Enable*", "kms:Disable*", "kms:Get*", "kms:Set*", "kms:Update*", "kms:Delete*", "kms:Cancel*", "kms:TagResource", "kms:UntagResource", "kms:ImportKeyMaterial", "kms:ScheduleKeyDeletion" ] } ] } 使用者：僅支援使用密鑰進行密碼運算操作。支援選擇當前主帳號下的RAM使用者和RAM角色。 使用者支援的許可權列表 { "Statement": [ { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateAndExportDataKey", "kms:AsymmetricEncrypt", "kms:AsymmetricDecrypt", "kms:DescribeKey", "kms:DescribeKeyVersion", "kms:ListKeyVersions", "kms:ListAliasesByKeyId", "kms:TagResource" ] } ] } 其他帳號使用者：使用密鑰進行加解密，可以是其他阿里雲帳號的RAM使用者或RAM角色。 RAM使用者：格式為acs:ram::<userId>:user/<ramuser>，例如acs:ram::119285303511****:user/testpolicyuser。 RAM角色：格式為acs:ram::<userId>:role/<ramrole>，例如acs:ram::119285303511****:role/testpolicyrole。 說明 授權給RAM使用者、RAM角色後，您仍需在存取控制RAM側，使用該RAM使用者、RAM角色的主帳號為其授權使用該密鑰，RAM使用者、RAM角色才能使用該密鑰。 具體操作，請參見Key Management Service自訂權限原則參考、為RAM使用者授權、為RAM角色授權。 其他帳號使用者支援的許可權列表 { "Statement": [ { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateAndExportDataKey", "kms:AsymmetricEncrypt", "kms:AsymmetricDecrypt", "kms:DescribeKey", "kms:DescribeKeyVersion", "kms:ListKeyVersions", "kms:ListAliasesByKeyId", "kms:TagResource" ] } ] }
   高级设置 > 密钥材料来源	阿里云KMS：密鑰材料將由KMS產生。 外部（导入密钥材料）：KMS不會產生密鑰材料，您需要自行匯入密鑰材料。更多資訊，請參見匯入對稱金鑰材料和匯入非對稱金鑰材料。 說明 請仔細閱讀並選中我瞭解使用外部金鑰材料的方法和意義。
   高级设置 > 附加密钥用途:	僅密钥类型為非对称密钥時支援設定。 通過附加密鑰用途，您可以讓一個密鑰具有多個用途。但是附加密鑰用途對於雲產品加密不生效。

外部金鑰

• 請確保已購買並啟用KMS外部金鑰管理執行個體。具體操作，請參見購買和啟用KMS執行個體。

• 請提前通過XKI Proxy代理服務，在密鑰管理設施中建立密鑰，並記錄密鑰ID。具體操作，請參見密鑰管理設施相關文檔。

1. 登入Key Management Service控制台，在頂部功能表列選擇地區後，在左側導覽列單擊资源 > 密钥管理。

2. 在密钥管理頁面，單擊用户主密钥頁簽，实例ID選擇外部金鑰管理執行個體，單擊创建密钥。

3. 在创建密钥面板，完成配置項設定，然後單擊確定。

   配置項	說明
   外部密钥ID	通過XKI管理服務產生的密鑰的密鑰ID。 說明 支援使用同一個外部金鑰ID建立一個或多個KMS密鑰。
   密钥规格	密鑰的規格。關於密鑰規格遵循的標準、密鑰演算法等詳細介紹，請參見密鑰管理類型和密鑰規格。 Aliyun_AES_256
   密钥用途	密鑰的用途。 Encrypt/Decrypt：資料加密和解密。
   密钥别名	密鑰的別名標識符。支援英文字母、數字、底線（_）、短劃線（-）和正斜線（/）。
   標籤	密鑰的標籤，方便您對密鑰進行分類管理。每個標籤由一個索引值對（Key:Value）組成，包含標籤鍵（Key）、標籤值（Value）。 說明 標籤鍵和標籤值的格式：最多支援128個字元，可以包含英文大小寫字母、數字、正斜線（/）、反斜線（\）、底線（_）、短劃線（-）、半形句號（.）、加號（+）、等號（=）、半形冒號（:）、字元at（@）、空格。 標籤鍵不能以aliyun或acs:開頭。 每個密鑰最多可以設定20個標籤索引值對。
   描述信息	密鑰的說明資訊。
   高级设置	預設策略：如果密鑰由當前主帳號使用，或者資源共用單元中的主帳號使用，請選擇預設策略。 執行個體未共用給其他帳號：僅當前主帳號能管理及使用密鑰。 執行個體已共用給其他帳號：以主帳號1將KMS執行個體A共用給主帳號2為例介紹。 主帳號1建立的密鑰：僅主帳號1能管理及使用密鑰。 主帳號2建立的密鑰：主帳號1和主帳號2，都能管理及使用密鑰。 自訂策略：如果密鑰需要授權給RAM使用者、RAM角色，或授權給其他帳號使用，請選擇自訂策略。 重要 選擇管理員、使用者時不消耗訪問管理數量配額。選擇其他帳號使用者時，會消耗KMS執行個體的訪問管理數量配額，按主帳號個數計算消耗的配額，如果您取消了授權，請等待約5分鐘，再查看配額，配額會返還。 管理員：對密鑰進行管控類操作，不支援密碼運算操作。支援選擇當前主帳號下的RAM使用者和RAM角色。 管理員支援的許可權列表 { "Statement": [ { "Action": [ "kms:List*", "kms:Describe*", "kms:Create*", "kms:Enable*", "kms:Disable*", "kms:Get*", "kms:Set*", "kms:Update*", "kms:Delete*", "kms:Cancel*", "kms:TagResource", "kms:UntagResource", "kms:ImportKeyMaterial", "kms:ScheduleKeyDeletion" ] } ] } 使用者：僅支援使用密鑰進行密碼運算操作。支援選擇當前主帳號下的RAM使用者和RAM角色。 使用者支援的許可權列表 { "Statement": [ { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateAndExportDataKey", "kms:AsymmetricEncrypt", "kms:AsymmetricDecrypt", "kms:DescribeKey", "kms:DescribeKeyVersion", "kms:ListKeyVersions", "kms:ListAliasesByKeyId", "kms:TagResource" ] } ] } 其他帳號使用者：使用密鑰進行加解密，可以是其他阿里雲帳號的RAM使用者或RAM角色。 RAM使用者：格式為acs:ram::<userId>:user/<ramuser>，例如acs:ram::119285303511****:user/testpolicyuser。 RAM角色：格式為acs:ram::<userId>:role/<ramrole>，例如acs:ram::119285303511****:role/testpolicyrole。 說明 授權給RAM使用者、RAM角色後，您仍需在存取控制RAM側，使用該RAM使用者、RAM角色的主帳號為其授權使用該密鑰，RAM使用者、RAM角色才能使用該密鑰。 具體操作，請參見Key Management Service自訂權限原則參考、為RAM使用者授權、為RAM角色授權。 其他帳號使用者支援的許可權列表 { "Statement": [ { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateAndExportDataKey", "kms:AsymmetricEncrypt", "kms:AsymmetricDecrypt", "kms:DescribeKey", "kms:DescribeKeyVersion", "kms:ListKeyVersions", "kms:ListAliasesByKeyId", "kms:TagResource" ] } ] }