全部产品
Search
文档中心

密钥管理服务:将共享版KMS的资源迁移到KMS实例

更新时间:Nov 13, 2024

如果您使用的是阿里云共享版KMS,为了获得更高的产品性能及体验建议您使用KMS实例。本文介绍如何将共享版KMS的资源迁移到KMS实例。

重要
  • 资源支持迁移到同地域下的KMS软件密钥管理实例或者硬件密钥管理实例。在一个地域内,密钥在该地域内具有唯一性,凭据在该地域下的阿里云账号内具有唯一性,迁移后仅在KMS实例中存储。

  • 迁移后自建应用可以继续使用原有SDK,无须变更代码或应用程序。

  • 提交迁移任务后,在迁移完成前,密钥、凭据、KMS实例都无法执行管控类操作,例如创建、修改、删除资源。

  • Terraform场景下,由于迁移完成后资源会增加实例ID属性,为了避免执行管控操作时资源被释放,请务必在迁移完成后修改Terraform配置。详细内容,请参见Terraform场景下迁移后如何修改配置

快速判断是否有需要迁移的资源

  1. 登录旧版密钥管理控制台,在左侧目录单击迁移工具

  2. 选取如下方式之一,判断是否有需要迁移的资源。

    重要

    数据按照地域维度展示,请查看所有地域的数据,避免遗漏。

    • 方式一:查看下图红框处数据,数据大于0,表示该地域有需要迁移的密钥或凭据。

    • 方式二:当迁移按钮可操作时,表示该地域有需要迁移的密钥或凭据。

    image

迁移前

  1. 明确迁移资源。

    类型

    子项

    是否需要迁移

    说明

    密钥

    服务密钥

    不需要

    服务密钥是云产品配置服务端加密时,云产品自动创建的密钥。别名为固定格式alias/acs/<云产品>

    用户主密钥

    需要

    • 仅支持迁移保护级别为软件(Software)的密钥,且仅支持迁移如下规格:Aliyun_AES_256(单版本)、Aliyun_AES_256(多版本)、RSA_2048(单版本)、EC_P256(单版本)、EC_P256K(单版本),迁移其他规格密钥请联系阿里云技术支持。

    • KMS会迁移用户主密钥的元数据以及密钥材料,元数据包含:密钥ID、密钥状态、删除保护、别名、标签等。迁移后这些数据不发生改变。

    • BYOK、多版本密钥均支持迁移,BYOK密钥KMS会直接迁移密钥材料,无需您手动上传,多版本密钥KMS会迁移所有密钥版本。

    凭据

    需要

    • 通用凭据、RAM凭据、RDS凭据、ECS凭据均需要迁移。

    • 开启自动轮转的凭据支持迁移。

    • KMS会迁移凭据的元数据以及所有凭据版本,元数据包含:凭据名称、凭据状态、标签等。迁移后这些数据不发生改变。

    • 迁移凭据时,请同步迁移加密该凭据的主密钥。

  2. 确定目标KMS实例类型,并规划实例中的密钥数量、凭据数量。

    请根据下表中待迁移的密钥规格,以及KMS实例支持的功能特性,选择购买哪类KMS实例。关于KMS实例的功能特性介绍,请参见产品选型。√表示支持迁移到该类型实例中,×表示不支持迁移到该类型实例中。

    待迁移密钥规格

    软件密钥管理实例

    硬件密钥管理实例

    Aliyun_AES_256(单版本)

    Aliyun_AES_256(多版本)

    ×

    RSA_2048(单版本)

    ×

    EC_P256(单版本)

    ×

    EC_P256K(单版本)

    ×

  3. 如果密钥和凭据设置了自动轮转,为确保迁移前后版本保持一致,迁移前请手动关闭自动轮转。具体操作,请参见自动轮转密钥管理动态RDS凭据管理动态RAM凭据管理动态ECS凭据

迁移步骤

单个阿里云账号内迁移资源

  1. 购买和启用KMS实例。具体操作,请参见购买和启用KMS实例

    推荐您为KMS实例开启自动续费,避免实例到期后释放应用数据无法解密发生故障。

  2. 登录旧版密钥管理控制台,在左侧目录单击迁移工具

  3. 找到待迁移的资源所在地域,单击操作列的迁移,在迁移资源页签完成各项配置。

    配置项

    说明

    实例类型

    目标KMS实例的类型。

    实例

    选择目标KMS实例。

    迁移方式

    • 自动迁移:选择迁移时间,到期后自动迁移。

    • 立即手动迁移:配置后立即迁移。

    迁移时间

    选择自动迁移时,才需要设置。

    迁移资源

    • 手动选择迁移资源:手动选择资源,每次选择的密钥和凭据总数不超过50个。

    • 待迁移密钥和凭据全量迁移:迁移所有的密钥和凭据。

  4. 请仔细阅读迁移须知后,单击确定,确认迁移清单后单击迁移

    您可以在任务状态列查看迁移进展,迁移结束后会提示迁移完成

  5. 如果迁移前密钥和凭据设置了自动轮转,迁移后请重新设置轮转。具体操作,请参见密钥轮转凭据管理概述

将多个账号下的资源迁移到一个KMS实例

  1. 在一个阿里云账号下,购买和启用KMS实例。具体操作,请参见购买和启用KMS实例

    推荐您为KMS实例开启自动续费,避免实例到期后释放应用数据无法解密发生故障。

  2. 将KMS实例共享给其他阿里云账号。具体操作,请参见多账号共享KMS实例中的步骤一~步骤三。

    重要

    仅支持资源目录内共享,且资源所有者和资源使用者是同一个企业实名认证主体。

  3. 将各账号下的资源迁移到该KMS实例。

    登录对应阿里云账号,操作步骤与迁移单个阿里云账号内资源相同。

迁移后

说明

迁移后KMS会为密钥、凭据设置默认策略。详细介绍,请参见密钥策略概述凭据策略概述

请登录新版控制台,查看并确认迁移后的资源。

  • 服务密钥

    单击密钥管理页面,在顶部菜单栏选择地域后,单击默认密钥页签,密钥用法列为服务密钥的,即为服务密钥。image.png

  • 用户主密钥

    单击密钥管理页面,在顶部菜单栏选择地域后,单击用户主密钥页签,该页签下即用户主密钥。image.png

  • 凭据

    单击凭据管理页面,在顶部菜单栏选择地域后,选择KMS实例,展示的即该实例下的凭据。image