全部产品
Search
文档中心

密钥管理服务:购买并启用密码机实例

更新时间:May 23, 2024

本文介绍如何购买并启用密码机实例。

前提条件

由于密码机实例仅支持通过同VPC下的ECS实例访问,因此购买密码机实例前请完成如下操作:

  • 已创建专有网络VPC(Virtual Private Cloud),并且已在VPC下创建交换机。具体操作,请参见搭建IPv4专有网络

  • 已创建ECS实例。具体操作,请参见自定义购买实例

    说明
    • 使用中国内地密码机(通用服务器密码机GVSM、金融数据密码机EVSM、签名验证服务器SVSM)时,ECS实例需要为Windows系统。

    • 使用非中国内地密码机(通用服务器密码机GVSM(NIST FIPS))时,ECS实例需要为Linux系统。

购买密码机实例

  1. 登录加密服务管理控制台,在顶部菜单栏,选择目标地域。

  2. 实例列表页面,单击创建密码机实例

  3. 在加密服务购买页面,参考下表配置信息,单击立即购买并完成支付。

    配置项

    说明

    区域

    密码机实例的地域。支持的地域,请参见支持的地域和可用区

    说明

    密码机只能在VPC中使用,且地域必须与您的ECS及VPC的地域相同。

    密码服务类型

    密码机类型。关于各类型密码机的介绍,请参见密码机类型

    部署模式

    • 双可用区:指最少配置2台密码机位于不同可用区,实现跨可用区容灾,方便创建集群。具体可用区由加密服务指定,您无需设置。

    • 单可用区:指密码机位于一个可用区。

    建议您将密码机部署在不同的可用区,保障您的业务不会因可用区内某一机房发生事故而受影响。

    说明
    • 只有处于同一地域的可用区之间才能实现网络互通。

    • 加密服务和ECS实例可以在不同的可用区。

    数据备份恢复

    支持密码机实例备份和恢复功能,确保数据安全持久性。

    备份镜像在密码机实例释放后将保留90天,期满自动删除。此外,提供镜像跨地域复制功能,以增强灾难恢复能力。

    镜像扩展

    备份中的镜像数量。

    密码机实例每日的北京时间00:00自动备份一次,生成一个镜像。当镜像数量达到上限时,系统将自动覆盖最早生成的镜像。

    购买数量

    选择需要购买的密码机实例数量。

    为了保证加密服务的高可用性,建议您至少购买2个密码机实例。当选择双可用区时,默认会购买2个密码机实例。

    购买时长

    选择购买的有效服务时间。

    为了防止加密服务到期未及时续费而导致的密钥永久性丢失,建议您购买时选择到期自动续费。当您选择到期自动续费后,阿里云会在服务到期前9个自然日从您购买密码机时使用的支付账户自动扣款,为了防止扣费失败,请确保您的支付账户余额充足。

    购买成功后,您可以在实例列表页面查看密码机实例,状态未启用

启用密码机实例

注意事项

  • 创建密码机集群:您需要启用主密码机实例,无需启用子密码机实例。

  • 通过镜像创建密码机:无需启用该密码机实例。详细内容,请参见数据备份恢复

操作步骤

  1. 实例列表页面,定位到已创建的密码机实例,单击操作列的启用

  2. 密码机实例配置对话框,配置密码机实例,然后单击确定

    配置项

    说明

    所属的VPC网络ID

    选择密码机实例需要绑定的VPC。

    重要

    需要与您的ECS实例绑定的VPC是同一个。

    所属的VPC子网

    选择密码机实例所属的VPC子网网段。

    分配私网IP地址

    为密码机实例分配一个私网IP地址。

    重要
    • 私网IP地址必须是所属的VPC子网网段中的IP地址,否则配置将会失败。

    • 末位为253、254、255的IP地址为系统保留地址,请勿使用。

    设置密码机实例白名单

    设置访问该密码机实例的白名单。您可以输入单个IP地址或网段地址,每行输入1条数据,最多可以输入10条数据。

    • 未设置白名单:所有IP地址都能访问密码机实例。

    • 设置了白名单:仅支持白名单内的访问请求,不在白名单内的访问请求将被拒绝。

    重要
    • 如果您创建了集群并设置了集群的白名单,那么集群的白名单优先级高于集群中密码机实例的白名单。

      例如,集群中密码机实例的白名单为10.10.10.10,集群的白名单为172.16.0.1,则您只能通过172.16.0.1访问集群中的密码机实例。

    • 不支持配置为0.0.0.0/0(放行所有来源IP)。

      基于安全考虑,不推荐您放行所有来源IP。如果因临时测试等原因确实需要放行所有来源IP,不配置白名单即可。

    配置成功后,密码机实例的状态变为已启用

相关文档

如果您购买密钥管理服务KMS的硬件密钥管理实例关联的密码机,如何购买及配置,请参见配置KMS硬件密钥管理实例的密码机集群