本文介紹您在使用憑據的過程中可能遇到的問題。包括如何保障憑據的安全性,憑據是如何加密的,憑據一直提示在輪轉中,憑據狀態為不可用,在控制台找不到憑據。
問題列表
KMS如何保障憑據的安全性
您在建立憑據時,需要指定同一個執行個體下的對稱金鑰用來加密憑據。KMS對憑據值使用該密鑰經信封加密後儲存在您專屬的儲存空間。
KMS不會對憑據名稱、版本號碼、版本的標記狀態等中繼資料進行加密。
當您的應用程式請求憑據時,KMS通過RAM或應用存取點進行身份認證和存取權限控制;在認證和許可權檢查通過後,KMS解密憑據並通過TLS V1.2協議將其安全地傳輸給您的應用程式。
憑據是如何加密的
KMS通過信封加密的方式加密憑據值,信封加密中的密鑰即您在建立憑據時指定的密鑰。關於信封加密的詳細資料,請參見使用KMS密鑰進行信封加密。
設定輪轉策略或立即輪轉時,提示“您的憑據在輪轉中,請稍後再試”
憑據類型 | 可能原因 |
RAM憑據 | RAM憑據正在輪轉中。 RAM憑據輪轉需要一段時間(輪轉視窗)來完成,周期性自動輪轉的輪轉視窗約為48小時,立即輪轉的輪轉視窗為您設定的時間長度。 如果沒有在輪轉視窗內完成輪轉,請在存取控制(RAM)中檢查RAM使用者是否仍存在。 |
RDS憑據 | 正常情況下,RDS憑據輪轉即時完成。 如果輪轉超過2分鐘沒有完成,請檢查RDS執行個體狀態及RDS帳號是否正常。 |
ECS憑據 | 正常情況下,ECS憑據輪轉即時完成。 如果輪轉超過2分鐘沒有完成,請檢查ECS執行個體狀態及ECS帳號是否正常。 |
憑據狀態為不可用或調用憑據相關API時返回“Rejected.Unavailable”
憑據所在的KMS執行個體已超期。
請在超期15個自然日內對KMS執行個體進行續約,否則KMS執行個體將被釋放。具體操作,請參見續約說明。
如果您暫時不使用KMS執行個體,但以後可能會用到該執行個體中的密鑰或憑據,建議您提前備份。具體操作,請參見備份管理。
在新版控制台找不到已建立的憑據
新版控制台僅展示KMS執行個體中管理的憑據。
對於部分使用舊版本KMS的使用者,不購買KMS執行個體也可以建立憑據,但建立的憑據不支援在新版控制台查看,請返回舊版控制台查看您建立的憑據。
檢驗RDS憑據的帳號,檢測結果為不成功
通常是RDS憑據關聯的RDS帳號或者RDS執行個體被刪除。建議您在RDS中查看相關帳號、執行個體是否存在。