本文介紹如何啟用、查看、升配、續約KMS執行個體,以及如何為KMS執行個體開啟安全審計。
請您關注KMS執行個體的剩餘時間長度,在執行個體到期前及時續約,避免執行個體到期後影響業務。更多資訊,請參見到期說明。
啟用KMS執行個體
購買KMS執行個體後,您需要先啟用執行個體,才可以使用該KMS執行個體提供的密鑰管理、憑據管理功能。
啟用軟體密鑰管理執行個體
前提條件
確保有1個VPC和1個交換器。
建議您先登入專用網路管理主控台,查看已有的VPC、交換器以及交換器所在的可用性區域,然後再啟用KMS執行個體。也可以新建立VPC和交換器,具體操作,請參見建立專用網路和交換器或建立交換器。
使用阿里雲中國站帳號購買非中國內地的KMS執行個體,或者使用阿里雲國際站帳號購買中國內地的KMS執行個體,需要手動開通雲解析PrivateZone。具體操作,請參見開通PrivateZone。
說明使用阿里雲中國站帳號購買中國內地的KMS執行個體,或者使用阿里雲國際站帳號購買非中國內地的KMS執行個體時,阿里雲會自動開通PrivateZone,無需您手動開通。
KMS執行個體網域名稱解析產生的費用由KMS承擔,您無需向雲解析PrivateZone付費。
操作步驟
啟用硬體密鑰管理執行個體
前提條件
已配置可供KMS執行個體串連的密碼機叢集。具體操作,請參見配置KMS硬體密鑰管理執行個體的密碼機叢集。
警告後續需要擴充密碼機叢集中的密碼機數量時,請先聯絡阿里雲支援人員修改叢集同步方式為自動同步,以避免叢集同步失敗。
請確保KMS執行個體配置的每個可用性區域下都有1個交換器,以部署雙可用性區域為例。
(推薦)使用密碼機執行個體綁定的2個交換器:您無需建立交換器,只需要確保每個交換器下預留4個可用IP。
不使用密碼機執行個體綁定的2個交換器:您需要建立2個交換器,2個交換器在不同可用性區域,每個交換器需要預留4個可用IP。具體操作,請參見建立交換器。
您可以登入專用網路管理主控台,在交換器頁面單擊目標交換器,在詳情頁面查看可用IP數。
使用阿里雲中國站帳號購買非中國內地的KMS執行個體,或者使用阿里雲國際站帳號購買中國內地的KMS執行個體,需要手動開通雲解析PrivateZone。具體操作,請參見開通PrivateZone。
說明使用阿里雲中國站帳號購買中國內地的KMS執行個體,或者使用阿里雲國際站帳號購買非中國內地的KMS執行個體時,阿里雲會自動開通PrivateZone,無需您手動開通。
KMS執行個體網域名稱解析產生的費用由KMS承擔,您無需向雲解析PrivateZone付費。
操作步驟
硬體密鑰管理執行個體僅支援通過控制台啟用,不支援通過KMS API以及Terraform啟用。
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
單擊硬件密钥管理頁簽,定位到目標KMS硬體密鑰管理執行個體,單擊操作列的启用。
在连接密码机面板,完成各項配置後,單擊连接密码机指定密碼機叢集。
配置項
說明
实例名称
自訂KMS執行個體的名稱,支援字母、數字以及特殊字元
_/+=.@-。选择集群
選擇您在Data Encryption Service中配置的密碼機叢集。
說明一個KMS硬體密鑰管理執行個體只能綁定一個密碼機叢集。
配置密码机访问凭据
中國內地密碼機叢集
KMS硬體密鑰管理執行個體與密碼機串連時採用雙向TLS認證,您可以在購買密碼機時選擇自動產生認證,則HSM會自動產生認證,您只需在用戶端SDK側配置認證,HSM會自動在服務端加密機內部署認證。如果未配置HSM自動產生認證,您需要配置用戶端認證(帶保護口令的PKCS12格式認證)和安全域認證(為密碼機叢集簽發TLS服務端認證的CA認證,為PEM格式)。關於認證如何產生,請參見為主密碼機執行個體配置雙向TLS認證。
客户端保护口令:您在產生用戶端認證
client.p12時設定的保護口令。如果是使用認證檔案產生工具(hsm_certificate_generate)產生,預設為12345678。客户端证书:PKCS12格式認證。單擊选择文件,選擇已產生的
client.p12檔案進行上傳。安全域证书:PEM格式CA認證。單擊选择文件,選擇已產生的
rootca.pem檔案進行上傳。
非中國內地密碼機叢集
用户名:密碼機操作員的使用者名稱(固定為
kmsuser)。口令:密碼機操作員的訪問口令。該口令是您在建立密碼機操作員時設定的口令。
安全域证书:PEM格式CA認證。登入Data Encryption Service控制台,單擊叢集中任一密碼機執行個體ID,在執行個體詳情頁簽下方,找到ClusterOwnerCertificate,即安全域認證,請直接複製內容或者儲存為PEM格式檔案再上傳。
VPC ID
預設為密碼機綁定的VPC ID,不支援修改。
配置可用区&交换机
與購買執行個體時選擇的部署模式相關,支援雙可用性區域或多可用性區域,每個可用性區域下的交換器需要預留4個可用IP。
多可用性區域時最多可以配置3個可用性區域。
說明雙可用性區域或多可用性區域部署是為了實現KMS的高可用、災備能力和負載平衡,選擇業務所在可用性區域,還是非業務所在可用性區域,在時延和效能上的差異可以忽略不計,您可以自主選擇。
如果購買執行個體時選擇了憑據數量,請等待約30分鐘,然後重新整理頁面。如果未選擇憑據數量,請等待約10分鐘,然後重新整理頁面。當狀態變更為已启用時,表示KMS硬體密鑰管理執行個體啟用成功。
啟用外部金鑰管理執行個體
前提條件
已購買了雲外密碼機,並配置了XKI Proxy外部代理。具體操作,請諮詢您的密碼機服務商。
說明XKI Proxy伺服器的詳細資料,請參見XKI Proxy伺服器。
KMS支援通過公網或VPC終端節點與XKI Proxy外部代理建立串連。如果通過VPC終端節點建立串連,請先建立終端節點服務。具體操作,請參見建立和管理終端節點服務。建立終端節點時需要注意以下幾點:
終端節點服務的兩個可用性區域,需要與啟動KMS執行個體所選擇的可用性區域保持一致。
需要將當前阿里雲帳號,添加到終端節點服務的白名單中。
終端節點服務的是否自動接受串連需要設定為是。
使用阿里雲中國站帳號購買非中國內地的KMS執行個體,或者使用阿里雲國際站帳號購買中國內地的KMS執行個體,需要手動開通雲解析PrivateZone。具體操作,請參見開通PrivateZone。
說明使用阿里雲中國站帳號購買中國內地的KMS執行個體,或者使用阿里雲國際站帳號購買非中國內地的KMS執行個體時,阿里雲會自動開通PrivateZone,無需您手動開通。
KMS執行個體網域名稱解析產生的費用由KMS承擔,您無需向雲解析PrivateZone付費。
操作步驟
外部金鑰管理執行個體僅支援通過控制台啟用,不支援通過KMS API以及Terraform啟用。
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
單擊外部密钥管理頁簽,定位到目標執行個體,單擊操作列的启用。
在连接密码机面板,完成各項配置後,單擊连接密码机指定密碼機叢集。
配置項
說明
实例名称
自訂KMS執行個體的名稱,支援字母、數字以及特殊字元
_/+=.@-。VPC ID
選擇一個KMS執行個體綁定的VPC。
配置可用区
與購買執行個體時選擇的部署模式相關,支援雙可用性區域或多可用性區域。多可用性區域時最多可以配置3個可用性區域。
配置可用区&交换机:配置一個可用性區域和交換器,確保該交換器至少有1個可用IP。
其他可用区:支援隨機分配,也支援手動指定。
說明部分地區僅提供一個可用性區域,則該KMS執行個體只能部署在單可用性區域。
雙可用性區域或多可用性區域部署是為了實現KMS的高可用、災備能力和負載平衡,選擇業務所在可用性區域,還是非業務所在可用性區域,在時延和效能上的差異可以忽略不計,您可以自主選擇。
外部代理连接
公网接入:KMS執行個體使用公網與XKI Proxy外部代理串連。
VPC终端节点服务:KMS執行個體使用VPC終端節點服務與XKI Proxy外部代理串連。
外部代理域名地址
僅當外部代理连接選擇公网接入時,需要輸入XKI Proxy外部代理的網域名稱地址。
终端节点服务
僅當外部代理连接選擇VPC终端节点服务時,需要選擇終端節點服務。
啟動KMS執行個體所選擇可用性區域務必與終端節點服務可用性區域保持一致。
配置外部代理
手动配置:手動設定外部代理路径、业务服务证书指纹、XKI Proxy代理的AccessKey ID、AccessKey Secret。
上传配置文件:通過上傳檔案進行配置。
如果購買執行個體時選擇了憑據數量,請等待約30分鐘,然後重新整理頁面。如果未選擇憑據數量,請等待約10分鐘,然後重新整理頁面。當狀態變更為已启用時,表示KMS外部金鑰管理執行個體啟用成功。
為KMS執行個體設定別名
KMS執行個體別名為1~128個字元,字元只能是大小寫字母、數字以及特殊符號/_+=.@-。
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
單擊對應的執行個體頁簽,在目標執行個體ID下方單擊
表徵圖,修改別名。
查看KMS執行個體詳情
啟用KMS執行個體後,您可以查詢執行個體ID、執行個體VPC地址、專用網路等資訊。
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
在实例管理頁面,單擊對應的執行個體頁簽。
定位到目標KMS執行個體,單擊操作列的详情,在執行個體詳情頁查看資訊。
升配KMS執行個體
如果當前KMS執行個體規格不滿足業務要求,您可以升配KMS執行個體規格,例如計算效能、憑據數量、密鑰數量等。升配過程不會影響您的業務。
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
在实例管理頁面,單擊對應的執行個體頁簽。
定位到目標KMS執行個體,單擊操作列的升配,在變更配置頁面選擇升配後的規格。
仔細閱讀服務合約,然後單擊立即購買並完成支付。
釋放KMS執行個體
僅KMS隨用隨付執行個體支援手動釋放。訂用帳戶執行個體不支援手動釋放,僅支援滿足條件退訂,詳細介紹,請參見退訂說明。
釋放後該執行個體中的資源將全部釋放,使用該執行個體中的所有祕密金鑰加密的資源將無法解密,憑據將無法擷取。釋放前請您確認已無資料使用祕密金鑰加密,憑據沒有業務調用,避免影響您的業務。
如果您的執行個體是KMS軟體密鑰管理執行個體,建議您在釋放前對執行個體資源進行備份,備份後的資源可進行恢複。具體操作,請參見備份管理。
釋放隨用隨付執行個體後,由於計費周期為按天計費,次日12:00前會推送前一天賬單。
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
在实例管理頁面,單擊對應的執行個體頁簽。
定位到目標KMS執行個體,單擊操作列的释放,確認無誤後單擊确认释放。
說明如果释放按鈕不支援操作,可能是因為該KMS執行個體開啟了刪除保護,請先關閉刪除保護再進行釋放。
為KMS執行個體開啟刪除保護
為了避免KMS執行個體被誤操作進行釋放或者退訂,建議您為KMS執行個體開啟刪除保護。開啟後,您將無法通過控制台、API或命令列等方式手動釋放或退訂該執行個體。
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
在实例管理頁面,單擊對應的執行個體頁簽。
定位到目標KMS執行個體,單擊操作列的开启删除保护,確認無誤後單擊开启。
為KMS執行個體開啟安全審計
訪問KMS執行個體的過程會產生審計日誌。審計日誌中記錄了執行個體的訪問資料,包括調用執行個體時的請求資訊、使用者資訊、被訪問資源資訊,以及訪問結果等。記錄檔樣本如下:
2021-10-19T212021-10-19T21:40:01 [INFO] - - 3dd60a7a-4587-4c57-8197-d749c3578974 CreateKey - TMP.3KfAHseF5DVULM2s8YUhdB8YvwM4nZA1wXr8AcAAhR7YhdyosXG2eSpsRFPMjYbvUArPRtsCWKzxEo88bC5w5LBfyp**** 111760096384**** 111760096384**** - kst-phzz6108e50c15333w**** - 37 - -40:01 [INFO] - - 3dd60a7a-4587-4c57-8197-d749c3578974 CreateKey - TMP.3KfAHseF5DVULM2s8YUhdB8YvwM4nZA1wXr8AcAAhR7YhdyosXG2eSpsRFPMjYbvUArPRtsCWKzxEo88bC5w5LBfyp**** 111760096384**** 111760096384**** - kst-phzz6108e50c15333w**** - 37 - -啟用安全審計後,KMS會將審計日誌以小時為單位投遞到您指定的OSS儲存空間,以滿足監管要求和業務需求。啟用安全審計前請確保您已經建立OSS儲存空間。具體操作,請參見建立儲存空間。
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
在实例管理頁面,單擊對應的執行個體頁簽。
定位到目標KMS執行個體,單擊操作列的管理,在執行個體詳情頁開啟安全审计。
在配置安全审计對話方塊,選擇日志存储位置,然後單擊确定。
啟用安全審計後,將在1小時內產生並投遞審計日誌。
續約KMS執行個體
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
單擊软件密钥管理頁簽或硬件密钥管理頁簽,定位到要續約的執行個體,單擊操作列的续费。
在續約頁面,設定購買時間長度,仔細閱讀協議後選中服務合約。
單擊立即購買並完成支付。
您也可以在費用與成本續約,具體操作,請參見續約到期資源。
設定預設執行個體
該功能僅適用於從舊版KMS 1.0向新版KMS 3.0遷移的使用者,其他使用者無需設定預設執行個體。
關於遷移的詳細介紹,請參見將KMS 1.0的資源遷移到KMS 3.0執行個體。
設定執行個體共用模式
KMS執行個體的所有者帳號(執行個體擁有者)可以將KMS執行個體共用給其他阿里雲帳號(執行個體使用者),具體操作參見多帳號共用KMS執行個體。KMS支援兩種共用模式:
新購執行個體預設為联合所有权模式。
無論哪種模式,執行個體使用者都無法使用和管理執行個體擁有者的密鑰和憑據。
特性 | 獨立所有權 | 聯合所有權 |
適用情境 | 存在跨帳號同名憑據,或需要進行許可權隔離。 | 需要由中心化團隊(如IT、安全部門)對所有密鑰和憑據進行統一管理和審計的內部協作情境。 |
核心特性 | 資料主權獨立:執行個體擁有者無權管理或使用執行個體使用者建立的密鑰和憑據。 | 資料主權共用:執行個體擁有者可以管理和使用執行個體使用者建立的密鑰和憑據。 |
跨帳號同名 | 允許。執行個體使用者和執行個體擁有者可以在執行個體內建立同名的憑據。 | 不允許。執行個體內所有密鑰/憑據名稱必須唯一。 |
模式變更 | 無法變更為联合所有权。 | 可變更為独立所有权。 |