全部產品
Search

搜尋本產品

    Key Management Service:管理密碼機執行個體

    文件中心

    Key Management Service:管理密碼機執行個體

    更新時間:Mar 18, 2026

    本文介紹如何啟用、修改、停用、恢複及重設密碼機執行個體。

    管理執行個體

    啟用密碼機執行個體

    • 建立密碼機叢集:需要啟用主密碼機執行個體,無需啟用子密碼機執行個體。

    • 通過鏡像建立密碼機:無需啟用該密碼機執行個體。詳細內容,請參見資料備份恢複

    1. 訪問Data Encryption Service控制台的虛擬密碼機執行個體頁面,在頂部功能表列,選擇目標地區。

    2. 虛擬密碼機執行個體頁面,定位到已建立的密碼機執行個體,單擊操作列的啟用

    3. 密碼機執行個體配置對話方塊,配置密碼機執行個體,然後單擊確定。配置成功後,密碼機執行個體的狀態變為已啟用

      配置項

      說明

      所屬的VPC網路ID

      選擇密碼機執行個體需要綁定的VPC。

      重要

      需要與您的ECS執行個體綁定的VPC是同一個。

      所屬的VPC子網

      選擇密碼機執行個體所屬的VPC子網網段。

      分配私網IP地址

      為密碼機執行個體分配一個私網IP地址。

      重要

      • 私網IP地址必須是所屬的VPC子網網段中的IP地址,否則配置將會失敗。

      • 末位為253、254、255的IP地址為系統保留地址,請勿使用。

      設定密碼機執行個體白名單

      設定訪問該密碼機執行個體的白名單。您可以輸入單個IP地址或網段地址,每行輸入1條資料,最多可以輸入10條資料。

      • 未設定白名單:所有IP地址都能訪問密碼機執行個體。

      • 設定了白名單:僅支援白名單內的訪問請求,不在白名單內的訪問請求將被拒絕。

      重要

      • 如果您建立了叢集並設定了叢集的白名單,那麼叢集的白名單優先順序高於叢集中密碼機執行個體的白名單。

        例如,叢集中密碼機執行個體的白名單為10.10.10.10,叢集的白名單為172.16.0.1,則您只能通過172.16.0.1訪問叢集中的密碼機執行個體。

      • 不支援配置為0.0.0.0/0(允許存取所有來源IP)。

        基於安全考慮,不推薦您允許存取所有來源IP。如果因臨時測試等原因確實需要允許存取所有來源IP,不配置白名單即可。

    修改密碼機執行個體配置

    密碼機執行個體未加入叢集時,您可以修改密碼機執行個體所屬的VPC、VPC子網、私網IP地址和密碼機執行個體白名單;密碼機執行個體加入叢集後,您只能修改密碼機執行個體的私網IP地址。

    1. 虛擬密碼機執行個體頁面,找到目標密碼機執行個體,單擊操作列的更多表徵圖,然後單擊配置

    2. 密碼機執行個體配置對話方塊,修改密碼機執行個體的配置,然後單擊確定

    停用密碼機執行個體

    重設密碼機執行個體或者從叢集中刪除密碼機執行個體前,您需要先停用密碼機執行個體的業務功能。

    警告

    • 停用會斷開密碼機執行個體的網路連接,請謹慎操作。

    • 不允許停用叢集中的主密碼機執行個體。

    1. 虛擬密碼機執行個體頁面,找到目標密碼機執行個體,單擊操作列的停用

    2. 在彈出的對話方塊,再次單擊停用。停用後,密碼機執行個體的狀態列顯示為已停用

    恢複密碼機執行個體

    通過恢複密碼機執行個體,重新啟用已被停用的密碼機執行個體業務。

    1. 虛擬密碼機執行個體頁面,找到目標密碼機執行個體,在操作列單擊復原

    2. 在彈出的對話方塊,再次單擊復原。恢複後,密碼機執行個體的狀態列顯示為已啟用

    重設密碼機執行個體

    中國內地密碼機執行個體停用後,可以通過重設密碼機執行個體,恢複密碼機執行個體為出廠狀態,即未初始化狀態。

    警告

    重設將清空密碼機執行個體中的資料,並恢複到出廠狀態,請謹慎操作。

    1. 虛擬密碼機執行個體頁面,找到目標密碼機執行個體,單擊操作列的重設

    2. 在彈出的對話方塊中,再次單擊重設

    管理叢集

    擴充叢集

    您可以將處於不同可用性區域的密碼機執行個體加入到同一叢集進行統一管理,提高Data Encryption Service的高可用性。添加到叢集的密碼機執行個體需符合以下要求:

    • 密碼機執行個體未初始化。

    • 密碼機執行個體為已啟用未啟用狀態。

    • 密碼機執行個體與主密碼機為同一類型密碼機。

    • 密碼機執行個體未配置交換器或與主密碼機屬於同一交換器。

    重要

    • 如果密碼機執行個體已配置了密碼機執行個體白名單,加入叢集後該密碼機執行個體的訪問白名單將繼承叢集的訪問白名單,原密碼機執行個體白名單將被清空。

    • 如果您擴充的是KMS硬體密鑰管理執行個體關聯的密碼機叢集,請先確保叢集的資料同步方式是自動同步。如果同步方式是手動同步,請先聯絡阿里雲支援人員升級為自動同步。

    1. 虛擬密碼機執行個體頁面,定位到目標主密碼機執行個體,單擊操作列的擴充叢集

    2. 通過以下方式添加密碼機執行個體到叢集。

      • 還未購買密碼機執行個體時,在添加密碼機執行個體到叢集 對話方塊,單擊訂購密碼機,新購密碼機執行個體。

        購買的密碼機執行個體會自動添加到叢集,同時Data Encryption Service會自動為該密碼機執行個體分配IP地址,並完成叢集內資料的同步。

      • 已購買密碼機執行個體時,在添加密碼機執行個體到叢集 對話方塊,選擇需要添加的密碼機執行個體,單擊添加,然後單擊確定

    移出叢集

    移出叢集中的密碼機執行個體時,您需要先移出子密碼機執行個體,最後移出主密碼機執行個體。當叢集中只有主密碼機執行個體時,主密碼機執行個體可以直接被移出。在主密碼機執行個體被移出之後,叢集會自動刪除。

    1. 停用密碼機。您需要先停用密碼機後,才可以將密碼機移出叢集。

      1. 虛擬密碼機執行個體頁面,找到目標密碼機執行個體,單擊操作列的停用

      2. 在彈出的對話方塊,再次單擊停用

    2. 虛擬密碼機執行個體頁面,找到目標密碼機執行個體,單擊操作列的移出叢集

    3. 在彈出的對話方塊,再次單擊移出叢集

    修改叢集名稱和訪問白名單

    如果未設定白名單,則所有IP地址都能訪問叢集,如果設定了白名單,則不在白名單內的訪問請求將被拒絕。

    1. 虛擬密碼機執行個體頁面,單擊主密碼機或子密碼機的執行個體ID。

    2. 執行個體詳情頁簽,編輯叢集名稱和訪問白名單。

      您可以輸入單個IP地址或網段地址,每行輸入1條資料,最多可以輸入10條資料。

      重要

      • 叢集的白名單優先順序高於叢集中密碼機執行個體的白名單。例如,您設定的叢集中密碼機執行個體的白名單為10.10.10.10,叢集的白名單為172.16.0.1,則您只能通過172.16.0.1訪問叢集中的密碼機執行個體。

      • 不支援配置為0.0.0.0/0(允許存取所有來源IP)。

        基於安全考慮,不推薦您允許存取所有來源IP。如果因臨時測試等原因確實需要允許存取所有來源IP,不配置白名單即可。

    切換主子密碼機

    手動將子密碼機切換為叢集中的主密碼機。

    說明

    自動同步叢集不支援主子切換,其他類型叢集均支援。

    1. 虛擬密碼機執行個體頁面,找到目標子密碼機執行個體,單擊操作列的切換主機

    2. 在彈出的對話方塊中,單擊切換