密钥管理服务：快速入门

操作流程

步骤一：启用专属KMS标准版实例

1. 登录密钥管理服务控制台。

2. 在专属KMS页面，找到目标专属KMS标准版实例，在操作列单击启用。

3. 在连接密码机对话框，指定密码机集群。

   说明

   一个密码机集群只能绑定一个专属KMS标准版实例。

4. 配置访问凭据。

   • 用户名：加密用户名称（固定为kmsuser）。

   • 口令：加密用户访问口令。该口令是您在创建加密用户时设置的口令。

   • 安全域证书：PEM格式CA证书。您可以在加密服务控制台集群详情页面下载ClusterOwnerCertificate。

5. 单击连接密码机。

   请等待几分钟，然后刷新页面，当状态变更为已启用时，专属KMS标准版实例启用成功。

步骤二：为专属KMS标准版实例创建密钥

1. 在专属KMS页面，找到目标专属KMS标准版实例，单击操作列的管理。

2. 在用户主密钥区域，单击创建密钥，在创建密钥对话框，设置以下参数。

   配置项	说明
   密钥类型	取值： 对称密钥的类型： Aliyun_AES_256 Aliyun_AES_128 Aliyun_AES_192 非对称密钥的类型： RSA_2048 RSA_3072 RSA_4096 EC_P256 EC_P256K HMAC_SHA256 HMAC_SHA512
   密钥用途	取值： Encrypt/Decrypt：数据加密和解密。 Sign/Verify：产生和验证数字签名。
   别名	用户主密钥的标识符。支持英文字母、数字、下划线（_）、短划线（-）和正斜线（/）。
   描述	密钥的说明信息。
   高级选项	密钥材料来源 阿里云KMS：密钥材料将由专属KMS生成。 外部：专属KMS将不会生成密钥材料，您需要将自己的密钥材料导入专属KMS。更多信息，请参见导入对称密钥材料。 说明 请认真阅读并勾选我了解使用外部密钥材料的方法和意义。 附加密钥用途：当密钥类型为非对称密钥时，支持设置附加密钥用途，让一个密钥具有多个用途。

3. 单击确定。

步骤三：应用接入专属KMS标准版实例

1. 创建应用接入点AAP（Application Access Point），控制应用正常访问专属KMS标准版实例。

   1. 在专属KMS页面，找到目标专属KMS标准版实例，在操作列单击详情。

   2. 在应用接入指南区域，单击快速创建应用接入点。

   3. 在快速配置应用身份凭证和权限面板，设置应用接入点信息后单击创建。

      1. 输入应用接入点名称。

      2. 设置访问控制策略。

         • 允许访问资源：默认填写Key/*，表示允许访问当前专属KMS实例的全部密钥。

         • 允许网络来源：允许访问的网络类型和IP地址。您可以设置私网IP地址或者私网网段，多个IP地址之间用半角逗号（,）分隔。

   4. 在应用身份凭证对话框，获取凭证口令和应用身份凭证内容（Client Key）。

      • 凭证口令：单击复制口令，获取凭证口令。

      • 应用身份凭证内容：单击下载应用身份凭证，保存应用身份凭证信息。

        应用身份凭证信息包含凭证ID（KeyId）和凭证内容（PrivateKeyData），凭证内容为PKCS12格式Base64编码。示例如下：

        {
          "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
          "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
        }

        说明

        KMS不会保存Client Key的凭证口令和应用身份凭证内容，您只能在创建Client Key时获取到该信息，请妥善保管。

   5. 单击关闭。

2. 获取CA证书，以便验证专属KMS标准版实例。

   在应用接入指南区域，单击获取实例CA证书下方的下载，下载.pem格式的CA证书文件。