全部產品
Search
文件中心

Key Management Service:憑據管理常見問題

更新時間:Nov 26, 2024

本文介紹您在使用憑據的過程中可能遇到的問題。包括如何保障憑據的安全性,憑據是如何加密的,憑據一直提示在輪轉中,憑據狀態為不可用,在控制台找不到憑據。

問題列表

KMS如何保障憑據的安全性

您在建立憑據時,需要指定同一個執行個體下的對稱金鑰用來加密憑據。KMS對憑據值使用該密鑰經信封加密後儲存在您專屬的儲存空間。

說明

KMS不會對憑據名稱、版本號碼、版本的標記狀態等中繼資料進行加密。

當您的應用程式請求憑據時,KMS通過RAM或應用存取點進行身份認證和存取權限控制;在認證和許可權檢查通過後,KMS解密憑據並通過TLS V1.2協議將其安全地傳輸給您的應用程式。

憑據是如何加密的

KMS通過信封加密的方式加密憑據值,信封加密中的密鑰即您在建立憑據時指定的密鑰。關於信封加密的詳細資料,請參見使用KMS密鑰進行信封加密

設定輪轉策略或立即輪轉時,提示“您的憑據在輪轉中,請稍後再試”

憑據類型

可能原因

RAM憑據

RAM憑據正在輪轉中。

RAM憑據輪轉需要一段時間(輪轉視窗)來完成,周期性自動輪轉的輪轉視窗約為48小時,立即輪轉的輪轉視窗為您設定的時間長度。

如果沒有在輪轉視窗內完成輪轉,請在存取控制(RAM)中檢查RAM使用者是否仍存在。

RDS憑據

正常情況下,RDS憑據輪轉即時完成。 如果輪轉超過2分鐘沒有完成,請檢查RDS執行個體狀態及RDS帳號是否正常。

ECS憑據

正常情況下,ECS憑據輪轉即時完成。 如果輪轉超過2分鐘沒有完成,請檢查ECS執行個體狀態及ECS帳號是否正常。

憑據狀態為不可用或調用憑據相關API時返回“Rejected.Unavailable”

憑據所在的KMS執行個體已超期。

請在超期15個自然日內對KMS執行個體進行續約,否則KMS執行個體將被釋放。具體操作,請參見續約說明

如果您暫時不使用KMS執行個體,但以後可能會用到該執行個體中的密鑰或憑據,建議您提前備份。具體操作,請參見備份管理

在新版控制台找不到已建立的憑據

說明

新版控制台僅展示KMS執行個體中管理的憑據。

對於部分使用舊版本KMS的使用者,不購買KMS執行個體也可以建立憑據,但建立的憑據不支援在新版控制台查看,請返回舊版控制台查看您建立的憑據。

image.png

檢驗RDS憑據的帳號,檢測結果為不成功

通常是RDS憑據關聯的RDS帳號或者RDS執行個體被刪除。建議您在RDS中查看相關帳號、執行個體是否存在。

建立RAM憑據,授權KMS訪問AK許可權時,提示“沒有許可權進行這個操作”

授權KMS訪問AK許可權時出現如下圖提示,說明當前登入的RAM帳號無許可權操作雲資源。請將授權連結發送至Resource Access Management員(有資源系統管理權限的RAM使用者或者主帳號),由Resource Access Management員完成授權操作。Resource Access Management員授權完畢後,返回RAM憑據建立頁,單擊重新整理按鈕或退出重新進入。其他動作資訊可參考步驟一:授予KMS管理RAM使用者AccessKey的許可權

image