加密服务提供了数据备份恢复功能,您可以在误操作后恢复本密码机实例的数据,也可以将数据恢复到其他密码机实例,达到密码机实例之间数据复制的目的。本文介绍如何使用数据备份恢复功能。
功能介绍
您手动为密码机实例开启数据备份恢复功能后,HSM会在每日的北京时间00:00,自动备份一次密码机数据。开启数据备份功能时,需要选择镜像数量,备份一次会生成一个镜像,如果所有镜像都被占用,新生成的镜像会覆盖时间点最早的镜像。
生成镜像前,HSM会将本次备份的密码机数据的摘要与上一个镜像的摘要进行对比,如果摘要一致说明密码机数据没有变更,该场景下不会新生成镜像,以节约您的镜像数量。
备份内容
备份数据 | 备份说明 |
用户信息 | 用户账号密码及身份类型 |
证书信息 | 集群证书,自签发证书 |
密钥 | 密钥及其属性(密钥标识符;密钥类型;密钥用途;密钥状态;密钥所属用户信息;KCV标识符;椭圆曲线类型(仅针对ECC密钥);CRT参数(仅针对RSA密钥))等。 |
KMS的硬件密钥是一种依赖于HSM的密钥,包含密钥材料(加密机密钥)和密钥元数据。HSM可对硬件密钥的密钥材料(加密机密钥)进行备份,硬件密钥元数据不支持备份。
密钥材料是指KMS硬件密钥映射在HSM上的密钥。
密钥元数据是指密钥ID、密钥所属KMS实例、ARN、密钥策略等存储在KMS上的业务数据信息。
费用说明
为密码机实例开启数据备份功能时,按照选择的镜像数量收费,每个镜像8.79美元。
备份删除说明
备份及备份中的镜像均不支持手动删除。在密码机实例释放90天后,备份会被自动删除,备份中的所有镜像数据将被释放。在备份被删除前,您均可执行跨地域复制或恢复实例操作。
备份密码机实例数据
T日开启数据备份恢复功能后,系统会在T+1日的北京时间00:00开启第一次备份,后续每日的00:00点备份一次。
新购密码机实例时,您可以在购买时选择开启数据备份恢复,购买成功即按照时间点自动备份数据。具体操作,请参见购买并启用密码机实例。本文介绍存量实例如何开启数据备份恢复。
登录加密服务管理控制台,在顶部菜单栏,选择目标地域。
在实例列表页面,定位到目标密码机,单击操作列的
> 升级。说明如果无法查看到升级,可能是因为该密码机已开启备份恢复功能。
在变配页面,开启数据备份恢复并选择镜像数量,仔细阅读并勾选服务协议后,单击立即购买,按照指引完成购买。
购买完成后,在数据备份恢复管理页面,您可以看到已经生成的备份的名称。
同地域恢复实例
支持如下两种场景:
将数据恢复到原来的密码机实例:请先将密码机停用,然后通过镜像恢复的方式,恢复密码机数据。
创建一个数据相同的密码机实例:请先购买密码机实例,然后通过镜像恢复的方式,创建数据相同的密码机实例。以下操作以该场景为例。
密码机需要满足如下条件:
密码机实例与备份的地域一致。
密码机不在集群中。
密码机状态为未启用或已停用。
密码机状态为未初始化。
密码机实例的类型与要复制的密码机一致。
跨地域复制镜像
仅支持在非中国内地跨地域复制镜像,复制完成后,您可以在目标地域使用该镜像创建相同的密码机实例。例如,您可以将新加坡地域下的一个镜像复制到马来西亚(吉隆坡),马来西亚(吉隆坡)会自动创建一个备份类型为跨地域复制的备份,您复制的镜像会在该备份下。
所有从其他地域复制的镜像会汇总到该备份,该备份没有过期时间。
登录加密服务管理控制台,在顶部菜单栏,选择目标地域。
在数据备份恢复管理页面,单击目标备份操作列的查看镜像。
定位到目标镜像ID,单击操作列的跨地域复制。
在复制镜像对话框,选择目标地域,然后单击确定。
切换到目标地域,在数据备份恢复管理页面查看镜像。
找到备份类型为跨地域复制的备份,单击操作列的查看镜像。
说明该备份中汇总了所有从其他地域备份来的镜像。
根据镜像复制时间,查看复制过来的镜像。
将光标放在镜像ID后的
图标,可以查看到原备份ID、原镜像ID、原实例ID、原镜像地区。
跨地域恢复实例
跨地域复制镜像后,在目标地域您可以购买密码机实例,然后通过镜像恢复的方式,创建数据相同的密码机实例。
密码机需要满足如下条件:
密码机实例与备份的地域一致。
密码机不在集群中。
密码机状态为未启用或已停用。
密码机状态为未初始化。
密码机实例的类型与要复制的密码机一致。