全部產品
Search

搜尋本產品

    Key Management Service:非中國內地密碼機資料備份恢複

    文件中心

    Key Management Service:非中國內地密碼機資料備份恢複

    更新時間:Mar 08, 2025

    通過備份恢複功能,您可以將密碼機恢複到之前的資料,或者將資料恢複到同地區或跨地區的其他密碼機中,以滿足資料恢複或跨地區開服情境的要求。本文介紹如何使用資料備份恢複功能。

    功能介紹

    每次備份會全量備份一次密碼機的資料,每次備份產生一個鏡像,如果鏡像已經備份了資料,再次使用該鏡像備份資料時會覆蓋之前的資料。HSM支援您備份組群中所有密碼機的資料,即為所有密碼機開啟資料備份恢複,也支援備份其中一個密碼機的資料。

    備份內容

    備份資料

    說明

    使用者資訊

    使用者帳號密碼及身份類型。

    認證資訊

    叢集認證,自簽發認證。

    密鑰

    密鑰及其屬性(金鑰識別元、密鑰類型、密鑰用途、密鑰狀態、密鑰所屬使用者資訊、KCV標識符、橢圓曲線類型(僅針對ECC密鑰)、CRT參數(僅針對RSA密鑰))等。

    說明

    KMS的硬體密鑰是一種依賴於HSM的密鑰,包含密鑰材料(加密機密鑰)和密鑰中繼資料。HSM可對硬體密鑰的密鑰材料(加密機密鑰)進行備份,硬體密鑰中繼資料不支援備份。

    • 密鑰材料是指由KMS依託HSM的物理隔離環境所產生和託管的密鑰核心參數。

    • 密鑰中繼資料是指密鑰ID、密鑰所屬KMS執行個體、ARN、密鑰策略等儲存在KMS上的業務資料資訊。

    備份方式及時間

    僅支援全量備份,不支援增量備份。

    T日開啟資料備份恢複功能後,系統會在T+1日的00:00(UTC+8)開啟第一次備份,後續每日的00:00(UTC+8)備份一次。每次備份產生一個鏡像,如果所有鏡像都被佔用,新產生的鏡像會覆蓋時間點最早的鏡像。

    說明

    產生鏡像前,HSM會將本次備份的密碼機資料的摘要與上一個鏡像的摘要進行對比,如果摘要一致說明密碼機資料沒有變更,該情境下不會新產生鏡像,以節約您的鏡像數量。

    備份不支援下載及刪除

    備份及備份中的鏡像均不支援下載,也不支援查看鏡像的詳細資料,降低了資料被非法複製或泄露的風險。

    備份及備份中的鏡像均不支援手動刪除。在密碼機執行個體釋放90天后,備份會被自動刪除,備份中的所有鏡像資料將被釋放。在備份被刪除前,您均可執行跨地區複製或恢複執行個體操作。

    Action Trail

    備份和恢複操作支援通過ActionTrail查詢。

    費用說明

    為密碼機執行個體開啟資料備份功能時,按照選擇的鏡像數量收費,每個鏡像10美元

    備份恢複流程

    情境一:將叢集中所有密碼機恢複到指定日期

    將叢集中密碼機資料恢複時,需要先將叢集中所有密碼機移除,再使用鏡像重新建立密碼機並部署叢集。該方式會將叢集中所有資料刪除,以下流程僅供參考,建議您操作前聯絡支援人員。

    情境二:跨地區開服情境,將地區A的密碼機1中的資料複製到地區B的密碼機叢集中

    整個流程如下,需要注意在地區B下購買密碼機時,由於HSM僅支援雙可用性區域部署,您至少需要購買兩個密碼機,購買後無需執行啟用、初始化密碼機等操作。

    操作步驟

    備份密碼機資料

    備份資料時,要備份資料的密碼機執行個體狀態必須是已啟用

    您可以在購買密碼機執行個體時同步開啟資料備份恢複,該情境下由於HSM僅支援叢集方式部署,購買執行個體時必須選擇雙可用性區域下的至少兩個密碼機,該方式會為所有的密碼機執行個體開啟資料備份恢複功能。您也可以購買時不開啟資料備份恢複,後續為單個密碼機開啟資料備份。

    • 方式一:購買密碼機執行個體時同步選擇了資料備份恢複。

      具體操作,請參見購買並啟用密碼機執行個體。啟用成功後將按照時間點自動備份,您可以在資料備份恢複管理頁面查看備份。

    • 方式二:購買密碼機執行個體時未選擇資料備份恢複,後續開啟資料備份恢複功能。

      1. 訪問Data Encryption Service控制台的虛擬密碼機執行個體頁面,在頂部功能表列,選擇目標地區。

      2. 定位到目標密碼機,單擊操作列的image > 升級

        說明

        如果無法查看到升級,可能是因為該密碼機已開啟備份恢複功能。

      3. 變更配置頁面,開啟資料備份恢複並選擇鏡像數量,仔細閱讀並勾選服務合約後,單擊立即購買,按照指引完成購買。

        購買成功後即按照時間點自動備份,在資料備份恢複管理頁面,您可以看到已經產生的備份的名稱。image

    跨地區複製鏡像

    僅支援在非中國內地跨地區複製鏡像,複製完成後,在目標地區會自動建立一個備份類型跨地區複製的備份,您複製的鏡像會在該備份下。例如,您可以將新加坡地區下的一個鏡像複製到馬來西亞(吉隆坡)。

    1. 訪問Data Encryption Service控制台的資料備份恢複管理頁面,在頂部功能表列,選擇目標地區。

    2. 單擊目標備份操作列的查看鏡像

    3. 定位到目標鏡像ID,單擊操作列的跨地區複製

    4. 複製鏡像對話方塊,選擇目標地區,然後單擊確定

    5. 切換到目標地區,在資料備份恢複管理頁面查看鏡像。

      1. 找到備份類型跨地區複製的備份,單擊操作列的查看鏡像image

        說明

        該備份中匯總了所有從其他地區備份來的鏡像,該備份沒有到期時間。

      2. 根據鏡像複製時間,查看複製過來的鏡像。

        將游標放在鏡像ID後的image表徵圖,可以查看到原備份ID、原鏡像ID、原執行個體ID、原鏡像地區。

    通過鏡像恢複密碼機資料

    HSM支援恢複到同地區的密碼機中,也支援恢複到跨地區的密碼機中。通過鏡像恢複,您可以恢複密碼機原來的資料,也可以新建立一個資料相同的密碼機。

    重要

    目標密碼機需要滿足如下條件:

    • 密碼機執行個體與備份的地區一致。如果是跨地區恢複,需要先將鏡像複製到目標地區。

    • 密碼機執行個體的類型與要複製的密碼機一致。

    • 密碼機不在叢集中。

    • 密碼機狀態為未啟用或已停用。

    • 密碼機狀態為未初始化。

    1. 準備密碼機執行個體。

      • 目標地區無密碼機時,請先購買密碼機執行個體。具體操作,請參見購買密碼機執行個體

        重要

        購買後請勿啟用密碼機執行個體。

      • 目標密碼機處於已使用狀態,請先聯絡阿里雲支援人員停用並重設密碼機執行個體。

    2. 找到目標鏡像。

      1. 訪問Data Encryption Service控制台的資料備份恢複管理頁面,在頂部功能表列,選擇目標地區。

      2. 資料備份恢複管理頁面,找到目標鏡像。

        • 同地區恢複:找到備份類型自動建立的備份,單擊目標備份操作列的查看鏡像

        • 跨地區恢複:找到備份類型跨地區複製的備份,單擊操作列的查看鏡像

    3. 定位到目標鏡像ID,單擊操作列的恢複執行個體

    4. 備份恢複對話方塊中,選擇恢複目標執行個體,然後單擊確定

      恢複成功後,鏡像中的資料會複製到目標密碼機中。