本文介紹如何購買密碼機執行個體。
前提條件
由於密碼機執行個體僅支援通過同VPC下的ECS執行個體訪問,因此購買密碼機執行個體前請完成如下操作:
已建立Virtual Private Cloud(Virtual Private Cloud),並且已在VPC下建立交換器。具體操作,請參見搭建IPv4專用網路。
已建立ECS執行個體。具體操作,請參見自訂購買執行個體。
說明該ECS執行個體用於安裝密碼機管理工具,而非用於商務服務器。
管理中國內地密碼機時,ECS執行個體需要為Windows系統。
管理非中國內地密碼機時,ECS執行個體需要為Linux系統。
購買GVSM(國密)
Data Encryption Service僅支援雙可用性區域部署且需要構建叢集使用,在購買時請您配置叢集資訊,購買成功即自動完成叢集建立。
登入Data Encryption Service管理主控台,在頂部功能表列,選擇目標地區。
在虛擬密碼機執行個體頁面,單擊建立密碼機執行個體。
在Data Encryption Service購買頁面,參考下表配置資訊,單擊立即購買並完成支付。
配置項
說明
地區
密碼機執行個體的地區。支援的地區,請參見支援的地區地區和可用性區域。
說明密碼機只能在VPC中使用,且地區必須與您的ECS及VPC的地區相同。
密碼服務類型
密碼機類型。關於各類型密碼機的介紹,請參見虛擬密碼機效能資料。
部署模式
僅支援雙可用性區域部署,即最少配置2台密碼機位於不同可用性區域,實現跨可用性區域容災,方便建立叢集。具體可用性區域由Data Encryption Service指定,您無需設定。
說明只有處於同一地區的可用性區域之間才能實現網路互連。
Data Encryption Service和ECS執行個體可以在不同的可用性區域。
叢集名稱
長度為1~24個字元,以英文大小寫字母、中文或數字開頭,可包含數字、底線(_)或中劃線(-)。
專用網路
選擇密碼機所屬的VPC。
加入白名單
是(推薦):HSM會將VPC網段加入到叢集白名單中,該VPC下的IP均可訪問密碼機叢集。
說明如果您僅需要VPC中的部分IP訪問密碼機叢集時,支援您建立叢集後修改白名單。具體操作,請參見修改叢集名稱和訪問白名單。
否:不設定白名單,所有IP地址都能訪問密碼機叢集。
交換器
選擇2~4個交換器,交換器的可用性區域不能重複。
自動產生認證
是(推薦):自動產生用戶端認證、服務端認證和自簽名CA認證,用戶端和密碼機服務端叢集採用TLS雙向認證加密通道,確保傳輸安全。認證有效期間預設10年。
否:您需要手動產生用戶端認證、服務端認證和自簽名CA認證。
資料備份恢複
支援密碼機執行個體備份和恢複功能,確保資料安全持久性。每個備份可以備份一個密碼機資料。
備份鏡像在密碼機執行個體釋放後將保留90天,期滿自動刪除。此外,提供鏡像跨地區複製功能,以增強災難恢複能力。
鏡像擴充
備份中的鏡像數量,每個鏡像可以備份一次密碼機資料。
密碼機執行個體每日的北京時間00:00自動備份一次,產生一個鏡像。當鏡像數量達到上限時,系統將自動覆蓋最早產生的鏡像。
購買數量
選擇需要購買的密碼機執行個體數量,預設會購買2個密碼機執行個體。
購買時間長度
選擇購買的有效服務時間。
為了防止Data Encryption Service到期未及時續約而導致的密鑰永久性丟失,建議您購買時選擇到期自動續約。當您選擇到期自動續約後,阿里雲會在服務到期前9個自然日從您購買密碼機時使用的支付賬戶自動扣款,為了防止計費失敗,請確保您的支付賬戶餘額充足。
購買成功後,您可以在虛擬密碼機執行個體頁面查看密碼機執行個體,密碼機叢集將在約5分鐘後完成建立。
(可選)請根據您的業務需要,擷取密碼機的UKEY。
重要如果您的業務需要配置雙向TLS認證,為使認證到期前順利輪轉,請瞭解以下資訊再決定是否使用UKEY。
配套使用阿里雲KMS硬體密鑰管理執行個體的使用者:請勿通過密碼機管理工具註冊UKEY管理員,未註冊UKEY管理員時,認證到期前將由Data Encryption Service自動完成輪轉,您無需關注。
其他使用者:
註冊了UKEY管理員:不支援自動輪轉認證。認證到期前,請自行產生認證,並在用戶端SDK和服務端密碼機分別更新認證。
未註冊UKEY管理員:支援自動輪轉認證。認證到期前,Data Encryption Service將自動產生認證,您需要在控制台下載並自行更新用戶端認證,服務端認證由Data Encryption Service自動上傳密碼機。
購買GVSM(NIST FIPS)
Data Encryption Service僅支援雙可用性區域部署且需要構建叢集使用,請確保至少購買兩個密碼機,購買完成後,您需要手動建立密碼機叢集。
登入Data Encryption Service管理主控台,在頂部功能表列,選擇目標地區。
在虛擬密碼機執行個體頁面,單擊建立密碼機執行個體。
在Data Encryption Service購買頁面,參考下表配置資訊,單擊立即購買並完成支付。
配置項
說明
地區
密碼機執行個體的地區。支援的地區,請參見支援的地區地區和可用性區域。
說明密碼機只能在VPC中使用,且地區必須與您的ECS及VPC的地區相同。
密碼服務類型
密碼機類型。關於各類型密碼機的介紹,請參見虛擬密碼機效能資料。
部署模式
僅支援雙可用性區域部署,即最少配置2台密碼機位於不同可用性區域,實現跨可用性區域容災,方便建立叢集。具體可用性區域由Data Encryption Service指定,您無需設定。
說明只有處於同一地區的可用性區域之間才能實現網路互連。
Data Encryption Service和ECS執行個體可以在不同的可用性區域。
資料備份恢複
支援密碼機執行個體備份和恢複功能,確保資料安全持久性。每個備份可以備份一個密碼機資料。
備份鏡像在密碼機執行個體釋放後將保留90天,期滿自動刪除。此外,提供鏡像跨地區複製功能,以增強災難恢複能力。
鏡像擴充
備份中的鏡像數量,每個鏡像可以備份一次密碼機資料。
密碼機執行個體每日的北京時間00:00自動備份一次,產生一個鏡像。當鏡像數量達到上限時,系統將自動覆蓋最早產生的鏡像。
購買數量
選擇需要購買的密碼機執行個體數量,預設會購買2個密碼機執行個體。
購買時間長度
選擇購買的有效服務時間。
為了防止Data Encryption Service到期未及時續約而導致的密鑰永久性丟失,建議您購買時選擇到期自動續約。當您選擇到期自動續約後,阿里雲會在服務到期前9個自然日從您購買密碼機時使用的支付賬戶自動扣款,為了防止計費失敗,請確保您的支付賬戶餘額充足。
購買成功後,您可以在執行個體列表頁面查看密碼機執行個體,狀態為未啟用。
相關文檔
如果您需要購買並配置與KMS硬體密鑰管理執行個體關聯的密碼機,請參見配置KMS硬體密鑰管理執行個體的密碼機叢集。