密钥管理服务KMS(Key Management Service)支持密钥和凭据数据备份管理功能,在误删除、容灾等场景下,可以帮助您快速恢复数据,避免数据丢失。本文介绍如何备份和恢复数据。
支持的实例类型
仅软件密钥管理实例支持。
硬件密钥管理实例不支持备份,但是硬件密钥可通过HSM的备份功能备份部分数据。硬件密钥包含密钥材料(加密机密钥)和密钥元数据两部分。
密钥材料是指硬件密钥映射在HSM上的密钥,可通过HSM的备份功能进行备份,详情请参考数据备份恢复管理。
密钥元数据是指密钥ID、密钥所属KMS实例、ARN、密钥策略等存储在KMS上的业务数据信息,不支持备份。
如果您的KMS软件密钥管理实例无法使用备份恢复功能,请通过工单联系技术支持人员进行授权升级。
适用场景
KMS软件密钥管理实例被释放后,需要恢复实例。
密钥或凭据被误删除,需要恢复密钥或凭据。
用户业务分布在多个地域,需要将密钥或凭据复制到其他地域,进行容灾或业务的就近调用。
功能介绍
KMS通过备份实例来备份数据,每个备份实例可以备份一个软件密钥管理实例的数据。KMS支持两种备份方式:自动备份和手动备份。
自动备份:2024年04月26日00:00之后新创建的软件密钥管理实例,启用软件密钥管理实例后,KMS会自动创建一个备份实例,用于备份该软件密钥管理实例的数据。更多信息,请参见【公告】KMS软件密钥管理实例支持免费自动备份功能。
手动备份:包含默认备份实例(KMS在每个地域下免费提供一个默认备份实例)和购买的备份实例,您需要启用备份实例后,KMS才开始备份数据。
对比项 | 说明 | 自动备份实例 | 手动备份实例 | |
默认备份实例 | 购买的备份实例 | |||
可查看天数 | 可以查看多少天内的备份数据。 在备份实例到期前KMS不会删除已经备份的数据,但您可以查看的数据依赖于可查看天数。 | 90天,且不支持扩展。 | 7天,且不支持扩展。 | 购买时可以选择7~600天。 购买后也支持扩展,但不支持降配。 |
到期时间 | 备份数据被删除的时间。 | 软件密钥管理实例释放90天后。 | 长期有效。 | 由备份实例的购买时长决定。 重要 备份实例到期后不再支持任何操作。到期15天后,备份实例将被释放。您在实例释放前均可通过续费重新激活备份实例并使用,重新激活的收费与新购同一规格备份实例相同。 |
费用 | 您是否需要支付费用。 | 免费。 | 免费。 | 付费。 |
备份时间点 | 每日备份数据的时间点。 | 首次备份时会全量备份,之后每日的00:00进行一次全量备份,全量备份结束后每隔5分钟进行增量备份。 |
您可以在备份管理页面,通过备份类型快速区分是哪类备份实例。系统创建表示自动备份实例,默认表示默认备份实例,购买表示购买的备份实例。
备份数据
自动备份
启用软件密钥管理实例后,KMS会自动备份该实例的数据。如何启用实例,请参见购买和启用KMS实例。
实例启用成功后,KMS会自动生成一个备份实例,您可以在备份管理页面查看,备份类型为系统创建且备份对象为您的软件密钥管理实例,即KMS创建的备份实例。
手动备份
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击 。
(可选)购买备份实例。
说明如果您使用默认备份实例,请跳过本步骤。
在备份管理页面,单击创建备份,根据业务需要完成配置项设置,然后单击立即购买。
配置项
说明
密钥管理类型
选择密钥增值服务。
密钥增值服务
选择实例备份。
地域
与您要备份的软件密钥管理实例地域一致。
可查看天数
可以查看几天内的备份数据。
购买数量
备份实例的数量。
说明每个备份实例可以备份一个软件密钥管理实例的数据。
购买时长
备份实例的购买时长。
在确认订单页面,仔细阅读并选中服务协议,单击去支付完成购买。
启用备份实例。
在备份管理页面,定位到目标备份实例,单击操作列的启用。
在启用备份对话框中完成各项配置,然后单击确认。
配置项
说明
备份数据规格
默认取值软件密钥管理,不支持修改。
备份KMS实例
选择您需要备份的软件密钥管理实例。
备份数据类型
默认取值密钥、凭据,不支持修改。
备份别名
自定义备份实例的别名。
首次启用备份实例时会全量备份,之后每日的00:00进行一次全量备份,全量备份结束后每隔5分钟进行增量备份。
(可选)查看备份数据。
定位到目标备份实例,单击操作列的查看数据,选择日期后查看当日的备份数据。
备份数据类型
说明
全量密钥
当日00:00备份的全量密钥。
增量密钥
当日新增的密钥。
轮转密钥
当日轮转的密钥。
全量凭据
当日00:00备份的全量凭据。
增量凭据
当日新增的凭据。
轮转凭据
当日轮转的凭据。
恢复数据
恢复数据时,KMS仅支持将数据恢复到同个阿里云账号中的软件密钥管理实例,且目标实例需要符合以下要求:
目标实例有对应的密钥或凭据额度。
目标实例所在的地域不存在该密钥或凭据,否则会恢复失败。如果您确认仍要恢复,请在目标地域先删除密钥或凭据后再进行恢复。
恢复凭据时,目标实例需要存在加密该凭据的密钥。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击 。
定位到目标备份实例,单击操作列的查看数据,选择要恢复到哪一天的数据。
重要当备份实例为购买的备份实例时,如果您要恢复的数据日期不在可查看天数的范围内,可以先扩展备份实例的可查看天数,然后再恢复数据。但您无法通过扩展可查看天数来恢复启用备份实例前的数据。
例如,您在2024年05月01日启用备份实例,可查看天数为10天,在2024年05月20日想恢复2024年05月05日的数据,您可以将可查看天数扩展到16天。
恢复数据。
数据类型
操作步骤
密钥
单击密钥所在的页签(例如全量密钥),定位到目标密钥,单击操作列的数据恢复。
在恢复备份数据对话框,选择要恢复的地域及实例信息,然后单击确定。
凭据
恢复加密凭据的密钥。
说明恢复凭据时,目标实例需要存在加密该凭据的密钥。如果您确定目标实例存在该密钥,可以跳过本步骤直接恢复凭据。
单击密钥所在的页签(例如,全量密钥),定位到目标密钥,单击操作列的数据恢复。
在恢复备份数据对话框,选择要恢复的地域及实例信息,然后单击确定。
恢复凭据。
单击凭据所在的页签(例如,全量凭据),定位到目标凭据,单击操作列的数据恢复。
在恢复备份数据对话框,选择要恢复的地域及实例信息,然后单击确定。
更多操作
扩展可查看天数
仅购买的备份实例支持扩展可查看天数,且仅支持升配不支持降配。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击 。
定位到目标备份实例,单击操作列的查看数据。
在备份实例详情页,单击扩展可查看天数,选择扩展后的可查看天数,单击立即购买并完成支付。
重置备份实例
仅默认备份实例、购买的备份实例支持重置。您可以通过重置备份实例操作删除已备份数据,并解除备份实例与软件密钥管理实例的绑定。
重置会将该备份实例已经备份的所有数据删除,请谨慎操作。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击 。
定位到目标备份实例,单击操作列的重置。
请阅读重置对话框中的提示,确认无误后单击确定。
备份实例重置后状态为未启用,您可以重新绑定软件密钥管理实例。
续费备份实例
仅购买的备份实例支持续费。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击 。
定位到目标备份实例,单击操作列的续费。
在续费页面,选择购买时长,请仔细阅读并选中服务协议,单击立即购买并完成支付。
下载备份数据文件
下载备份数据文件后,请您妥善保管。该备份数据文件仅支持在KMS控制台恢复数据。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击 。
定位到目标备份实例,单击操作列的下载。
在导出数据备份对话框,选择备份日期后,单击确定。
说明可查看天数范围外的备份数据,您需要先扩展可查看天数再进行下载。
保存备份数据。
单击数据加密KEY后的图标复制,然后保存到本地。
单击备份数据后的点击下载,下载备份数据文件并妥善保存。
重要数据加密KEY用于解密下载的备份数据文件,KMS不会保存数据加密KEY和备份数据文件,因此请您妥善保存,避免泄露。
上传备份数据文件
请您知悉,如您跨境上传备份数据文件,您需要确保已遵守数据出境的相关法律法规要求。
在备份管理页面,单击上传备份。
在导入数据备份对话框,输入数据解密KEY和备份名称,然后单击确定。
在弹出的文件选择对话框,选择备份数据文件,然后单击打开。
上传成功后,您可以在备份管理页面看到上传的数据,备份类型为上传。
常见问题
如何查看备份实例的可查看天数?
在备份管理页面,查看可查看天数。