如果您使用的是阿里云共享版KMS,为了获得更高的产品性能及体验建议您使用KMS实例。本文介绍如何将共享版KMS的资源迁移到KMS实例。
资源支持迁移到同地域下的KMS软件密钥管理实例或者硬件密钥管理实例。在一个地域内,密钥在该地域内具有唯一性,凭据在该地域下的阿里云账号内具有唯一性,迁移后仅在KMS实例中存储。
迁移后自建应用可以继续使用原有SDK,无须变更代码或应用程序。
提交迁移任务后,在迁移完成前,密钥、凭据、KMS实例都无法执行管控类操作,例如创建、修改、删除资源。
Terraform场景下,由于迁移完成后资源会增加实例ID属性,为了避免执行管控操作时资源被释放,请务必在迁移完成后修改Terraform配置。详细内容,请参见Terraform场景下迁移后如何修改配置。
快速判断是否有需要迁移的资源
登录旧版密钥管理控制台,在左侧目录单击迁移工具。
选取如下方式之一,判断是否有需要迁移的资源。
重要数据按照地域维度展示,请查看所有地域的数据,避免遗漏。
方式一:查看下图红框处数据,数据大于0,表示该地域有需要迁移的密钥或凭据。
方式二:当迁移按钮可操作时,表示该地域有需要迁移的密钥或凭据。
迁移前
明确迁移资源。
类型
子项
是否需要迁移
说明
密钥
服务密钥
不需要
服务密钥是云产品配置服务端加密时,云产品自动创建的密钥。别名为固定格式
alias/acs/<云产品>
。用户主密钥
需要
仅支持迁移保护级别为软件(Software)的密钥,且仅支持迁移如下规格:Aliyun_AES_256(单版本)、Aliyun_AES_256(多版本)、RSA_2048(单版本)、EC_P256(单版本)、EC_P256K(单版本),迁移其他规格密钥请联系阿里云技术支持。
KMS会迁移用户主密钥的元数据以及密钥材料,元数据包含:密钥ID、密钥状态、删除保护、别名、标签等。迁移后这些数据不发生改变。
BYOK、多版本密钥均支持迁移,BYOK密钥KMS会直接迁移密钥材料,无需您手动上传,多版本密钥KMS会迁移所有密钥版本。
凭据
需要
通用凭据、RAM凭据、RDS凭据、ECS凭据均需要迁移。
开启自动轮转的凭据支持迁移。
KMS会迁移凭据的元数据以及所有凭据版本,元数据包含:凭据名称、凭据状态、标签等。迁移后这些数据不发生改变。
迁移凭据时,请同步迁移加密该凭据的主密钥。
确定目标KMS实例类型,并规划实例中的密钥数量、凭据数量。
请根据下表中待迁移的密钥规格,以及KMS实例支持的功能特性,选择购买哪类KMS实例。关于KMS实例的功能特性介绍,请参见产品选型。√表示支持迁移到该类型实例中,×表示不支持迁移到该类型实例中。
待迁移密钥规格
软件密钥管理实例
硬件密钥管理实例
Aliyun_AES_256(单版本)
√
√
Aliyun_AES_256(多版本)
√
×
RSA_2048(单版本)
√
×
EC_P256(单版本)
√
×
EC_P256K(单版本)
√
×
如果密钥和凭据设置了自动轮转,为确保迁移前后版本保持一致,迁移前请手动关闭自动轮转。具体操作,请参见自动轮转密钥、管理动态RDS凭据、管理动态RAM凭据或管理动态ECS凭据。
迁移步骤
单个阿里云账号内迁移资源
购买和启用KMS实例。具体操作,请参见购买和启用KMS实例。
推荐您为KMS实例开启自动续费,避免实例到期后释放应用数据无法解密发生故障。
登录旧版密钥管理控制台,在左侧目录单击迁移工具。
找到待迁移的资源所在地域,单击操作列的迁移,在迁移资源页签完成各项配置。
配置项
说明
实例类型
目标KMS实例的类型。
实例
选择目标KMS实例。
迁移方式
自动迁移:选择迁移时间,到期后自动迁移。
立即手动迁移:配置后立即迁移。
迁移时间
选择自动迁移时,才需要设置。
迁移资源
手动选择迁移资源:手动选择资源,每次选择的密钥和凭据总数不超过50个。
待迁移密钥和凭据全量迁移:迁移所有的密钥和凭据。
请仔细阅读迁移须知后,单击确定,确认迁移清单后单击迁移。
您可以在任务状态列查看迁移进展,迁移结束后会提示迁移完成。
将多个账号下的资源迁移到一个KMS实例
在一个阿里云账号下,购买和启用KMS实例。具体操作,请参见购买和启用KMS实例。
推荐您为KMS实例开启自动续费,避免实例到期后释放应用数据无法解密发生故障。
将KMS实例共享给其他阿里云账号。具体操作,请参见多账号共享KMS实例中的步骤一~步骤三。
重要仅支持资源目录内共享,且资源所有者和资源使用者是同一个企业实名认证主体。
将各账号下的资源迁移到该KMS实例。
登录对应阿里云账号,操作步骤与迁移单个阿里云账号内资源相同。
迁移后
请登录新版控制台,查看并确认迁移后的资源。
服务密钥
单击密钥管理页面,在顶部菜单栏选择地域后,单击默认密钥页签,密钥用法列为服务密钥的,即为服务密钥。
用户主密钥
单击密钥管理页面,在顶部菜单栏选择地域后,单击用户主密钥页签,该页签下即用户主密钥。
凭据
单击凭据管理页面,在顶部菜单栏选择地域后,选择KMS实例,展示的即该实例下的凭据。