密钥管理服务KMS(Key Management Service)支持密钥和凭据数据备份管理功能,在误删除、容灾等场景下,可以帮助您快速恢复数据,避免数据丢失。本文介绍如何备份和恢复数据。
支持的实例类型
仅软件密钥管理实例支持。
硬件密钥管理实例不支持备份,但是硬件密钥可通过HSM的备份功能备份部分数据。硬件密钥包含密钥材料(加密机密钥)和密钥元数据两部分。
密钥材料是指硬件密钥映射在HSM上的密钥,可通过HSM的备份功能进行备份,详情请参考数据备份恢复管理。
密钥元数据是指密钥ID、密钥所属KMS实例、ARN、密钥策略等存储在KMS上的业务数据信息,不支持备份。
如果您的KMS软件密钥管理实例无法使用备份恢复功能,请通过工单联系技术支持人员进行授权升级。
适用场景
KMS软件密钥管理实例被释放后,需要恢复实例。
密钥或凭据被误删除,需要恢复密钥或凭据。
用户业务分布在多个地域,需要将密钥或凭据复制到其他地域,进行容灾或业务的就近调用。
功能介绍
KMS通过备份实例来备份数据,每个备份实例可以备份一个软件密钥管理实例的数据。KMS支持两种备份方式:自动备份和手动备份。
自动备份:2024年04月26日00:00之后新创建的软件密钥管理实例,启用软件密钥管理实例后,KMS会自动创建一个备份实例,用于备份该软件密钥管理实例的数据。更多信息,请参见【公告】KMS软件密钥管理实例支持免费自动备份功能。
手动备份:包含默认备份实例(KMS在每个地域下免费提供一个默认备份实例)和购买的备份实例,您需要启用备份实例后,KMS才开始备份数据。
对比项 | 说明 | 自动备份实例 | 手动备份实例 | |
默认备份实例 | 购买的备份实例 | |||
可查看天数 | 可以查看多少天内的备份数据。 在备份实例到期前KMS不会删除已经备份的数据,但您可以查看的数据依赖于可查看天数。 | 90天,且不支持扩展。 | 7天,且不支持扩展。 | 购买时可以选择7~600天。 购买后也支持扩展,但不支持降配。 |
到期时间 | 备份数据被删除的时间。 | 软件密钥管理实例释放90天后。 | 长期有效。 | 由备份实例的购买时长决定。 重要 备份实例到期后不再支持任何操作。到期15天后,备份实例将被释放。您在实例释放前均可通过续费重新激活备份实例并使用,重新激活的收费与新购同一规格备份实例相同。 |
费用 | 您是否需要支付费用。 | 免费。 | 免费。 | 付费。 |
备份时间点 | 每日备份数据的时间点。 | 首次备份时会全量备份,之后每日的00:00进行一次全量备份,全量备份结束后每隔5分钟进行增量备份。 | ||
您可以在备份管理页面,通过备份类型快速区分是哪类备份实例。系统创建表示自动备份实例,默认表示默认备份实例,购买表示购买的备份实例。
备份数据
自动备份
启用软件密钥管理实例后,KMS会自动备份该实例的数据。如何启用实例,请参见购买和启用KMS实例。
实例启用成功后,KMS会自动生成一个备份实例,您可以在备份管理页面查看,备份类型为系统创建且备份对象为您的软件密钥管理实例,即KMS创建的备份实例。
手动备份
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
(可选)购买备份实例。
说明如果您使用默认备份实例,请跳过本步骤。
在备份管理页面,单击创建备份,根据业务需要完成配置项设置,然后单击立即购买。
配置项
说明
密钥管理类型
选择密钥增值服务。
密钥增值服务
选择实例备份。
地域
与您要备份的软件密钥管理实例地域一致。
可查看天数
可以查看几天内的备份数据。
购买数量
备份实例的数量。
说明每个备份实例可以备份一个软件密钥管理实例的数据。
购买时长
备份实例的购买时长。
在确认订单页面,仔细阅读并选中服务协议,单击去支付完成购买。
启用备份实例。
在备份管理页面,定位到目标备份实例,单击操作列的启用。
在启用备份对话框中完成各项配置,然后单击确认。
配置项
说明
备份数据规格
默认取值软件密钥管理,不支持修改。
备份KMS实例
选择您需要备份的软件密钥管理实例。
备份数据类型
默认取值密钥、凭据,不支持修改。
备份别名
自定义备份实例的别名。
首次启用备份实例时会全量备份,之后每日的00:00进行一次全量备份,全量备份结束后每隔5分钟进行增量备份。
(可选)查看备份数据。
定位到目标备份实例,单击操作列的查看数据,选择日期后查看当日的备份数据。
备份数据类型
说明
全量密钥
当日00:00备份的全量密钥。
增量密钥
当日新增的密钥。
轮转密钥
当日轮转的密钥。
全量凭据
当日00:00备份的全量凭据。
增量凭据
当日新增的凭据。
轮转凭据
当日轮转的凭据。
恢复数据
恢复数据时,KMS仅支持将数据恢复到同个阿里云账号中的软件密钥管理实例,且目标实例需要符合以下要求:
目标实例有对应的密钥或凭据额度。
目标实例所在的地域不存在该密钥或凭据,否则会恢复失败。如果您确认仍要恢复,请在目标地域先删除密钥或凭据后再进行恢复。
恢复凭据时,目标实例需要存在加密该凭据的密钥。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
定位到目标备份实例,单击操作列的查看数据,选择要恢复到哪一天的数据。
重要当备份实例为购买的备份实例时,如果您要恢复的数据日期不在可查看天数的范围内,可以先扩展备份实例的可查看天数,然后再恢复数据。但您无法通过扩展可查看天数来恢复启用备份实例前的数据。
例如,您在2024年05月01日启用备份实例,可查看天数为10天,在2024年05月20日想恢复2024年05月05日的数据,您可以将可查看天数扩展到16天。
恢复数据。
数据类型
操作步骤
密钥
单击密钥所在的页签(例如全量密钥),定位到目标密钥,单击操作列的数据恢复。
在恢复备份数据对话框,选择要恢复的地域及实例信息,然后单击确定。
凭据
恢复加密凭据的密钥。
说明恢复凭据时,目标实例需要存在加密该凭据的密钥。如果您确定目标实例存在该密钥,可以跳过本步骤直接恢复凭据。
单击密钥所在的页签(例如,全量密钥),定位到目标密钥,单击操作列的数据恢复。
在恢复备份数据对话框,选择要恢复的地域及实例信息,然后单击确定。
恢复凭据。
单击凭据所在的页签(例如,全量凭据),定位到目标凭据,单击操作列的数据恢复。
在恢复备份数据对话框,选择要恢复的地域及实例信息,然后单击确定。
更多操作
扩展可查看天数
仅购买的备份实例支持扩展可查看天数,且仅支持升配不支持降配。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
定位到目标备份实例,单击操作列的查看数据。
在备份实例详情页,单击扩展可查看天数,选择扩展后的可查看天数,单击立即购买并完成支付。
重置备份实例
仅默认备份实例、购买的备份实例支持重置。您可以通过重置备份实例操作删除已备份数据,并解除备份实例与软件密钥管理实例的绑定。
重置会将该备份实例已经备份的所有数据删除,请谨慎操作。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
定位到目标备份实例,单击操作列的重置。
请阅读重置对话框中的提示,确认无误后单击确定。
备份实例重置后状态为未启用,您可以重新绑定软件密钥管理实例。
续费备份实例
仅购买的备份实例支持续费。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
定位到目标备份实例,单击操作列的续费。
在续费页面,选择购买时长,请仔细阅读并选中服务协议,单击立即购买并完成支付。
下载备份数据文件
下载备份数据文件后,请您妥善保管。该备份数据文件仅支持在KMS控制台恢复数据。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
定位到目标备份实例,单击操作列的下载。
在导出数据备份对话框,选择备份日期后,单击确定。
说明可查看天数范围外的备份数据,您需要先扩展可查看天数再进行下载。
保存备份数据。
单击数据加密KEY后的
图标复制,然后保存到本地。单击备份数据后的点击下载,下载备份数据文件并妥善保存。
重要数据加密KEY用于解密下载的备份数据文件,KMS不会保存数据加密KEY和备份数据文件,因此请您妥善保存,避免泄露。
上传备份数据文件
请您知悉,如您跨境上传备份数据文件,您需要确保已遵守数据出境的相关法律法规要求。
在备份管理页面,单击上传备份。
在导入数据备份对话框,输入数据解密KEY和备份名称,然后单击确定。
在弹出的文件选择对话框,选择备份数据文件,然后单击打开。
上传成功后,您可以在备份管理页面看到上传的数据,备份类型为上传。
常见问题
如何查看备份实例的可查看天数?
在备份管理页面,查看可查看天数。
