使用Key Management Service(Key Management Service)的硬體密鑰管理執行個體時,需要串連Data Encryption Service密碼機叢集,由密碼機叢集實現資料自動同步、負載平衡以及資料高可用性。本文介紹如何配置KMS硬體密鑰管理執行個體的密碼機叢集。
架構樣本
KMS整合密碼機叢集可以兼顧密鑰管理的靈活性與硬體級安全保障,滿足國密或FIPS 140-2 Level 3的合規要求。KMS提供密鑰管理,確保密鑰的生命週期得到嚴格管控,降低使用密碼機的複雜度,HSM通過硬體級的安全保障設施,安全儲存體金鑰材料。雙方通訊採用TLS雙向認證加密通道,確保傳輸安全。
由於密碼機管理工具僅支援安裝在阿里雲ECS,因此您必須在主密碼機所屬的VPC子網內部署一台ECS伺服器,用於串連主密碼機進行密碼機相關配置。您也可以使用本地終端進行配置,但需確保與密碼機網路打通。
注意事項
KMS硬體密鑰管理執行個體關聯的密碼機僅支援通用密碼機。
密碼機、KMS硬體密鑰管理執行個體、ECS執行個體必須屬於同一個地區、且屬於同一個VPC。
管理中國內地密碼機時,ECS需要為Windows作業系統。管理非中國內地密碼機時,ECS需要為CentOS 8或 Alibaba Cloud Linux作業系統。
密碼機支援的地區和可用性區域
中國內地
地區
地區ID
可用性區域
華東1(杭州)
cn-hangzhou
可用性區域A、可用性區域G
華東2(上海)
cn-shanghai
可用性區域A、可用性區域B、可用性區域F
華北2(北京)
cn-beijing
可用性區域A、可用性區域F、可用性區域K
華南1(深圳)
cn-shenzhen
可用性區域A、可用性區域E
西南1(成都)
cn-chengdu
可用性區域A、可用性區域B
華南2(河源)
cn-heyuan
可用性區域A、可用性區域B
非中國內地
地區
地區ID
可用性區域
中國香港
cn-hongkong
可用性區域B、可用性區域C
新加坡
ap-southeast-1
可用性區域A、可用性區域B
馬來西亞(吉隆坡)
ap-southeast-3
可用性區域A、可用性區域B
沙特(利雅得)
me-central-1
可用性區域A、可用性區域B
印尼(雅加達)
ap-southeast-5
可用性區域A、可用性區域B
前提條件
已建立VPC,並在兩個可用性區域內分別建立了一個交換器。具體操作,請參見建立專用網路和交換器。
已建立ECS執行個體,且ECS執行個體與主密碼機執行個體在同一個VPC。具體操作,請參見使用嚮導建立執行個體。
說明操作中國內地密碼機時,ECS需要為Windows作業系統。操作非中國內地密碼機時,ECS需要為CentOS 8或 Alibaba Cloud Linux作業系統。
本文以ECS執行個體為例進行介紹,您也可以使用本地終端管理密碼機。使用本地終端時,請通過VPN或物理專線使本地終端串連到密碼機執行個體所屬的VPC網路。具體操作,請參見用戶端通過SSL-VPN遠程加密訪問VPC或通過物理專線實現本地IDC與雲上VPC互連。
配置叢集資訊
配置GVSM(國密)密碼機叢集
步驟一:購買密碼機叢集
叢集即將處於同一地區不同可用性區域、用於相同業務的一組密碼機執行個體關聯起來,進行統一管理,為業務應用提供密碼計算的高可用性、負載平衡以及橫向擴充的能力。
登入Data Encryption Service管理主控台,在頂部功能表列,選擇目標地區。
在虛擬密碼機執行個體頁簽,單擊建立密碼機執行個體。
在Data Encryption Service購買頁面,參考下表配置資訊完成配置後,單擊立即購買並完成支付。
說明其他配置請根據業務實際情況進行配置,配置說明,請參見購買GVSM(國密)。
密碼服務類型:選擇泛型服務器密碼機GVSM。
加入白名單:選擇是,使得該VPC下的IP均可訪問密碼機叢集。
自動產生認證:選擇是,此時HSM會自動產生加密通訊所需認證並完成加密機內認證配置,KMS將自動擷取相關認證檔案並完成用戶端配置,使用者無需關心認證產生及配置流程。KMS和密碼機叢集採用TLS雙向認證加密通道,確保傳輸安全。
重要請勿為密碼機註冊UKEY管理員。認證有效期間10年,到期前HSM可自動輪轉認證,註冊UKEY管理員將導致輪轉失敗。
叢集名稱:密碼機所在叢集名稱。
說明配置了叢集資訊,HSM會根據您配置的叢集資訊自動建立叢集。
專用網路:選擇密碼機所屬的VPC。
交換器:選擇2~4個交換器,交換器的可用性區域不能重複。
購買成功後,可以在虛擬密碼機執行個體頁面查看密碼機執行個體,密碼機叢集將在約5分鐘後完成建立。
步驟二:同步叢集資料
根據叢集同步方式,確定是否需要同步叢集中密碼機的資料。
叢集類型為自動同步叢集
叢集內密碼機資料會自動同步,您無需同步叢集資料。
叢集類型為手動同步叢集
第一次建立並啟用叢集後,您需要將叢集的主密碼機資料手動同步到叢集的子密碼機執行個體。當您對叢集進行擴容時,叢集資料會自動同步到新添加的密碼機執行個體。
單擊操作列的同步叢集,將主密碼機資料同步到子密碼機。
同步過程中叢集的狀態為同步中。叢集同步結束後,查看密碼機摘要是否一致。
請在密碼機詳情頁面查看摘要,如果兩台密碼機摘要資訊完全一致,表示您已經完成密碼機叢集配置。如果摘要資訊不一致請重複同步叢集資料的操作,若摘要資訊仍不一致,請聯絡我們。
配置GVSM(FIPS)密碼機叢集
登入Data Encryption Service管理主控台,在頂部功能表列,選擇目標地區。
在虛擬密碼機執行個體頁簽,單擊建立密碼機執行個體。
在Data Encryption Service購買頁面,參考下表配置資訊完成配置後,單擊立即購買並完成支付。
說明其他配置請根據業務實際情況進行配置,配置說明,請參見GVSM(NIST FIPS)。
密碼服務類型:選擇通用密碼機。
自動產生認證:選擇是,自動產生用戶端認證、服務端認證,可在在密碼機实例详情頁查看產生的認證。
重要配置了叢集資訊(自動產生認證選擇是),HSM會根據配置的叢集資訊自動啟用密碼機執行個體並啟用叢集。若選否,請參考使用GVSM(NIST FIPS)密碼機叢集,完成建立並啟用叢集和啟動HSM用戶端(hsm_proxy)。
叢集名稱:密碼機所在叢集名稱。
專用網路:選擇密碼機所屬的VPC。
交換器:選擇2~4個交換器,交換器的可用性區域不能重複。
購買成功後,可以在虛擬密碼機執行個體頁面查看密碼機執行個體,密碼機叢集將在約5分鐘後完成建立。
配置硬體密鑰管理執行個體
請前往Key Management Service控制台購買KMS硬體密鑰管理執行個體,並完成相關配置。
步驟1:購買KMS硬體密鑰執行個體
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
在实例管理頁面在硬件密钥管理頁簽單擊创建实例。
選擇要購買的KMS執行個體規格,單擊立即購買。
說明更多配置說明,請參見購買和啟用KMS執行個體。
密鑰管理類型:硬件密钥管理
地區:選擇密碼機所在地區。
步驟2:啟用硬體密鑰管理執行個體
單擊硬件密钥管理頁簽,定位到目標KMS硬體密鑰管理執行個體,單擊操作列的启用。
在連接面板,完成各項配置後,單擊連接指定密碼機叢集。
說明更多配置說明,請參見啟用硬體密鑰管理執行個體。
HSM集群:購買的GVSM(國密)或GVSM(FIPS)密碼機是配置的叢集。
配置密码机访问凭据:在購買GVSM(國密)或GVSM(FIPS)時選擇了自動產生認證,HSM將自動產生所需認證,無需手動設定。
专有网络:預設為密碼機綁定的VPC ID,不支援修改。