KMS執行個體提供密鑰和憑據相關功能,您可以使用金鑰組敏感性資料加解密,使用憑據減少在代碼中寫入程式碼憑據帶來的風險,增強業務資料的安全性。本文介紹如何購買和啟用KMS執行個體。
步驟一:購買KMS執行個體
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
在实例管理頁面單擊创建实例,選擇付費類型,然後選擇要購買的KMS執行個體規格,單擊立即購買。
訂用帳戶(預付費)
配置項
說明
網站
KMS執行個體所在地區所屬的網站。可選項:國際region、中國內地region。
密鑰管理類型
KMS為各地區提供預設密鑰(含服務密鑰及主要金鑰)用於雲產品加密,使用預設密鑰無需購買KMS執行個體,但功能有限。預設密鑰由KMS免費提供,僅密鑰輪轉功能需付費開通增值服務,其餘情境均無費用。
建議您在選購KMS執行個體前,訪問產品選型瞭解預設密鑰和KMS執行個體的詳情。
選購KMS執行個體
通常情況下選擇軟體密鑰管理執行個體即可,如果業務需要物理級安全防護或滿足金融監管等強合規要求時,需要選硬體密鑰管理執行個體。
軟體密鑰管理:金鑰儲存區在您專屬的資料庫中。
硬體密鑰管理:密鑰產生、儲存及加解密依賴專用硬體安全模組(HSM),滿足國密或FIPS 140-2 Level 3認證。選購該類型執行個體,需要同步購買密碼機,詳細介紹,請參見配置KMS硬體密鑰管理執行個體的密碼機叢集。
選購密鑰增值服務
地區
建議與業務部署在同一地區。更多資訊,請參見支援的地區。
部署模式
KMS執行個體支援雙可用性區域或多可用性區域配置,從而實現高可用性、災備能力和負載平衡。
說明菲律賓(馬尼拉)、泰國(曼穀)僅提供一個可用性區域,則該KMS執行個體只能部署在單可用性區域,此時部署模式預設取值為單可用性區域。
選擇多可用性區域時,最多能配置3個可用性區域。
各地區的可用性區域數量,請參見地區和可用性區域。
計算效能
KMS執行個體的效能資料。以2000為例,表示獨立處理對稱演算法的計算效能最高為2000 QPS,獨立處理非對稱演算法的計算效能最高為300 QPS。
說明如果您需要計算效能為10,000或20,000的軟體密鑰管理執行個體,請聯絡我們。
密鑰數量
密鑰配額。預設為1000。
密鑰配額按密鑰版本計算,不是按照密鑰個數計算。1個密鑰包含5個密鑰版本時,即佔5個密鑰配額。
憑據數量
憑據配額。預設為0。
憑據配額按照憑據個數計算,與憑據版本無關。1個憑據,無論包含幾個密鑰版本,都只佔1個憑據配額。
說明業務不涉及憑據時,可以先不購買,後續需要時通過升配購買憑據配額。
訪問管理數量
該配額涉及兩部分功能:
同地區多VPC訪問KMS執行個體:允許一個地區的多個VPC訪問KMS資源,涉及幾個VPC,就需要幾個配額。
多帳號共用KMS執行個體:共用給幾個阿里雲帳號,就需要幾個配額。
例如,您的KMS執行個體需要關聯3個VPC,並共用給2個阿里雲帳號,那麼訪問管理數量配額最少為5才能滿足業務需求。
預設值為1個,即允許1個KMS執行個體綁定的VPC訪問KMS資源。
日誌分析
是否開啟日誌分析功能。詳細內容,請參見Log Service概述。
警告日誌分析開啟後不支援關閉。具體費用,請參見產品計費。
日誌儲存容量
最小為1000 GB,以1000 GB為單位遞增。如何評估容量,請參見如何計算所需的日誌儲存容量。
購買數量
購買的KMS執行個體的數量。
重要通常您只需購買1個KMS執行個體,如需購買多個KMS執行個體,請聯絡我們。
購買時間長度
根據需要選擇購買時間長度。
說明您可以選中到期自動續約,當前KMS執行個體到期後將自動續約。
隨用隨付
配置項
說明
售賣計量類型
固定值3.0隨用隨付。
執行個體類型
通常情況下選擇軟體密鑰管理執行個體即可,如果業務需要物理級安全防護或滿足金融監管等強合規要求時,需要選硬體密鑰管理執行個體。
軟體密鑰管理:金鑰儲存區在您專屬的資料庫中。
硬體密鑰管理:密鑰產生、儲存及加解密依賴專用硬體安全模組(HSM),滿足國密或FIPS 140-2 Level 3認證。選購該類型執行個體,需要同步購買密碼機,詳細介紹,請參見配置KMS硬體密鑰管理執行個體的密碼機叢集。
地區
建議與業務部署在同一地區。更多資訊,請參見支援的地區。
仔細閱讀並勾選服務合約,單擊去支付完成購買。
購買成功後,您需要等待1~5分鐘,即可在实例管理頁面看到您購買的KMS執行個體。
步驟二:啟用KMS執行個體
購買KMS執行個體後,您需要先啟用執行個體,才可以使用該KMS執行個體提供的密鑰管理、憑據管理功能。
啟用軟體密鑰管理執行個體
前提條件
確保有1個VPC和1個交換器。
建議您先登入專用網路管理主控台,查看已有的VPC、交換器以及交換器所在的可用性區域,然後再啟用KMS執行個體。也可以新建立VPC和交換器,具體操作,請參見建立專用網路和交換器或建立交換器。
使用阿里雲中國站帳號購買非中國內地的KMS執行個體,或者使用阿里雲國際站帳號購買中國內地的KMS執行個體,需要手動開通雲解析PrivateZone。具體操作,請參見開通PrivateZone。
說明使用阿里雲中國站帳號購買中國內地的KMS執行個體,或者使用阿里雲國際站帳號購買非中國內地的KMS執行個體時,阿里雲會自動開通PrivateZone,無需您手動開通。
KMS執行個體網域名稱解析產生的費用由KMS承擔,您無需向雲解析PrivateZone付費。
操作步驟
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
在软件密钥管理頁簽,定位到目標KMS軟體密鑰管理執行個體,單擊操作列的启用。
在启用KMS实例面板,完成各項配置後單擊立即启用。
配置項
說明
实例名称
自訂KMS執行個體的名稱,支援字母、數字以及特殊字元
_/+=.@-。VPC ID
選擇一個KMS執行個體綁定的VPC。
配置可用区
與購買執行個體時選擇的部署模式相關,支援雙可用性區域或多可用性區域。多可用性區域時最多可以配置3個可用性區域。
配置可用区&交换机:配置一個可用性區域和交換器,確保該交換器至少有1個可用IP。
其他可用区:支援隨機分配,也支援手動指定。
說明部分地區僅提供一個可用性區域,則該KMS執行個體只能部署在單可用性區域。
雙可用性區域或多可用性區域部署是為了實現KMS的高可用、災備能力和負載平衡,選擇業務所在可用性區域,還是非業務所在可用性區域,在時延和效能上的差異可以忽略不計,您可以自主選擇。
請等待約30分鐘,然後重新整理頁面,當狀態變更為已启用時,表示KMS軟體密鑰管理執行個體啟用成功。
啟用硬體密鑰管理執行個體
前提條件
已配置可供KMS執行個體串連的密碼機叢集。具體操作,請參見配置KMS硬體密鑰管理執行個體的密碼機叢集。
警告後續需要擴充密碼機叢集中的密碼機數量時,請先聯絡阿里雲支援人員修改叢集同步方式為自動同步,以避免叢集同步失敗。
請確保KMS執行個體配置的每個可用性區域下都有1個交換器,以部署雙可用性區域為例。
(推薦)使用密碼機執行個體綁定的2個交換器:您無需建立交換器,只需要確保每個交換器下預留4個可用IP。
不使用密碼機執行個體綁定的2個交換器:您需要建立2個交換器,2個交換器在不同可用性區域,每個交換器需要預留4個可用IP。具體操作,請參見建立交換器。
您可以登入專用網路管理主控台,在交換器頁面單擊目標交換器,在詳情頁面查看可用IP數。
使用阿里雲中國站帳號購買非中國內地的KMS執行個體,或者使用阿里雲國際站帳號購買中國內地的KMS執行個體,需要手動開通雲解析PrivateZone。具體操作,請參見開通PrivateZone。
說明使用阿里雲中國站帳號購買中國內地的KMS執行個體,或者使用阿里雲國際站帳號購買非中國內地的KMS執行個體時,阿里雲會自動開通PrivateZone,無需您手動開通。
KMS執行個體網域名稱解析產生的費用由KMS承擔,您無需向雲解析PrivateZone付費。
操作步驟
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
單擊硬件密钥管理頁簽,定位到目標KMS硬體密鑰管理執行個體,單擊操作列的启用。
在连接密码机面板,完成各項配置後,單擊连接密码机指定密碼機叢集。
配置項
說明
实例名称
自訂KMS執行個體的名稱,支援字母、數字以及特殊字元
_/+=.@-。选择集群
選擇您在Data Encryption Service中配置的密碼機叢集。
說明一個KMS硬體密鑰管理執行個體只能綁定一個密碼機叢集。
配置密码机访问凭据
中國內地密碼機叢集
KMS硬體密鑰管理執行個體與密碼機串連時採用雙向TLS認證,您可以在購買密碼機時選擇自動產生認證,則HSM會自動產生認證,您只需在用戶端SDK側配置認證,HSM會自動在服務端加密機內部署認證。如果未配置HSM自動產生認證,您需要配置用戶端認證(帶保護口令的PKCS12格式認證)和安全域認證(為密碼機叢集簽發TLS服務端認證的CA認證,為PEM格式)。關於認證如何產生,請參見為主密碼機執行個體配置雙向TLS認證。
客户端保护口令:您在產生用戶端認證
client.p12時設定的保護口令。如果是使用認證檔案產生工具(hsm_certificate_generate)產生,預設為12345678。客户端证书:PKCS12格式認證。單擊选择文件,選擇已產生的
client.p12檔案進行上傳。安全域证书:PEM格式CA認證。單擊选择文件,選擇已產生的
rootca.pem檔案進行上傳。
非中國內地密碼機叢集
用户名:密碼機操作員的使用者名稱(固定為
kmsuser)。口令:密碼機操作員的訪問口令。該口令是您在建立密碼機操作員時設定的口令。
安全域证书:PEM格式CA認證。登入Data Encryption Service控制台,單擊叢集中任一密碼機執行個體ID,在執行個體詳情頁簽下方,找到ClusterOwnerCertificate,即安全域認證,請直接複製內容或者儲存為PEM格式檔案再上傳。
VPC ID
預設為密碼機綁定的VPC ID,不支援修改。
配置可用区&交换机
與購買執行個體時選擇的部署模式相關,支援雙可用性區域或多可用性區域,每個可用性區域下的交換器需要預留4個可用IP。
多可用性區域時最多可以配置3個可用性區域。
說明雙可用性區域或多可用性區域部署是為了實現KMS的高可用、災備能力和負載平衡,選擇業務所在可用性區域,還是非業務所在可用性區域,在時延和效能上的差異可以忽略不計,您可以自主選擇。
如果購買執行個體時選擇了憑據數量,請等待約30分鐘,然後重新整理頁面。如果未選擇憑據數量,請等待約10分鐘,然後重新整理頁面。當狀態變更為已启用時,表示KMS硬體密鑰管理執行個體啟用成功。
啟用外部金鑰管理執行個體
前提條件
已購買了雲外密碼機,並配置了XKI Proxy外部代理。具體操作,請諮詢您的密碼機服務商。
說明XKI Proxy伺服器的詳細資料,請參見XKI Proxy伺服器。
KMS支援通過公網或VPC終端節點與XKI Proxy外部代理建立串連。如果通過VPC終端節點建立串連,請先建立終端節點服務。具體操作,請參見建立和管理終端節點服務。建立終端節點時需要注意以下幾點:
終端節點服務的兩個可用性區域,需要與啟動KMS執行個體所選擇的可用性區域保持一致。
需要將當前阿里雲帳號,添加到終端節點服務的白名單中。
終端節點服務的是否自動接受串連需要設定為是。
使用阿里雲中國站帳號購買非中國內地的KMS執行個體,或者使用阿里雲國際站帳號購買中國內地的KMS執行個體,需要手動開通雲解析PrivateZone。具體操作,請參見開通PrivateZone。
說明使用阿里雲中國站帳號購買中國內地的KMS執行個體,或者使用阿里雲國際站帳號購買非中國內地的KMS執行個體時,阿里雲會自動開通PrivateZone,無需您手動開通。
KMS執行個體網域名稱解析產生的費用由KMS承擔,您無需向雲解析PrivateZone付費。
操作步驟
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
單擊外部密钥管理頁簽,定位到目標執行個體,單擊操作列的启用。
在连接密码机面板,完成各項配置後,單擊连接密码机指定密碼機叢集。
配置項
說明
实例名称
自訂KMS執行個體的名稱,支援字母、數字以及特殊字元
_/+=.@-。VPC ID
選擇一個KMS執行個體綁定的VPC。
配置可用区
與購買執行個體時選擇的部署模式相關,支援雙可用性區域或多可用性區域。多可用性區域時最多可以配置3個可用性區域。
配置可用区&交换机:配置一個可用性區域和交換器,確保該交換器至少有1個可用IP。
其他可用区:支援隨機分配,也支援手動指定。
說明部分地區僅提供一個可用性區域,則該KMS執行個體只能部署在單可用性區域。
雙可用性區域或多可用性區域部署是為了實現KMS的高可用、災備能力和負載平衡,選擇業務所在可用性區域,還是非業務所在可用性區域,在時延和效能上的差異可以忽略不計,您可以自主選擇。
外部代理连接
公网接入:KMS執行個體使用公網與XKI Proxy外部代理串連。
VPC终端节点服务:KMS執行個體使用VPC終端節點服務與XKI Proxy外部代理串連。
外部代理域名地址
僅當外部代理连接選擇公网接入時,需要輸入XKI Proxy外部代理的網域名稱地址。
终端节点服务
僅當外部代理连接選擇VPC终端节点服务時,需要選擇終端節點服務。
啟動KMS執行個體所選擇可用性區域務必與終端節點服務可用性區域保持一致。
配置外部代理
手动配置:手動設定外部代理路径、业务服务证书指纹、XKI Proxy代理的AccessKey ID、AccessKey Secret。
上传配置文件:通過上傳檔案進行配置。
如果購買執行個體時選擇了憑據數量,請等待約30分鐘,然後重新整理頁面。如果未選擇憑據數量,請等待約10分鐘,然後重新整理頁面。當狀態變更為已启用時,表示KMS外部金鑰管理執行個體啟用成功。