遷移KMS1.0執行個體 - Key Management Service

如果您使用的是阿里雲KMS 1.0版本，為了獲得更高的產品效能及體驗，建議您將資源遷移到同地區下的KMS 3.0軟體密鑰管理執行個體或者硬體密鑰管理執行個體。遷移後密鑰和憑據在KMS執行個體中儲存，密鑰在該地區內具有唯一性，憑據在該地區下的阿里雲帳號、KMS執行個體內都具有唯一性。本文介紹如何將KMS 1.0的資源遷移到KMS 3.0執行個體。

為什麼需要遷移

為了給您提供更好的產品體驗，阿里雲計劃將KMS 1.0於2025年03月30日00:00:00 （GMT+8 ）起進入EOSF階段，2025年09月30日00:00:00（GMT+8 ）起進入EOS階段。為避免對您的業務產生影響，請儘快將KMS 1.0資源遷移到KMS 3.0執行個體。遷移到KMS執行個體有以下優勢：

高安全性： KMS 3.0有先進的租戶隔離與獨享執行個體架構，在安全隔離性上遠超KMS 1.0。
產品功能全面升級：支援多個帳號共用一個KMS執行個體、支援備份執行個體中的資源，同時整合Log Service與警示管理功能，為您提供更強大、更完善的使用體驗。
存取控制精細化：不僅支援基於身份的存取控制策略，也支援基於資源的存取控制策略，適用於資源類型多樣且資源本身的屬性差異較大的情況。
效能和可靠性更高：
- 高效能加解密處理：KMS執行個體擁有更高的效能，以加解密操作而言，KMS 1.0的QPS為1000，而KMS執行個體中的加解密QPS支援您選擇1000，2000，4000等，充分滿足多樣化效能需求。
- 冗餘和容錯機制：KMS執行個體具備資料備份功能以及多可用性區域部署架構，穩定性達到99.95%，資料可用性達到99.9999%，有效應對各類潛在故障。通過持續保障Key Management Service的不間斷可用性，降低因系統故障引發的資料加密或解密失效風險。

遷移影響

業務影響

遷移對業務的以下方面有影響：
- 服務可用性：KMS遷移過確保了管控和資料分離，整個遷移過程不影響業務，憑據的調用、雲產品加密和應用加密均可正常使用。
  重要
  在啟動遷移到遷移完成的時間視窗內，為避免遷移過程中因資料一致性問題導致遷移失敗，密鑰、憑據、KMS執行個體都無法執行管控類操作，例如建立、修改、刪除資源，建議您在業務低峰期進行遷移。
- Terraform相容性：通過Terraform使用KMS的業務，由於遷移完成後資源會增加執行個體ID屬性，為了避免執行管控操作時資源被釋放，請務必在遷移完成後修改Terraform配置。詳細內容，請參見Terraform情境下遷移後修改配置。
遷移對業務以下方面無影響：
- SDK相容性：遷移完成後，自建應用能夠無縫沿用原有 SDK，完全無需對代碼或應用程式進行任何更改，使用Function Compute等其他產品SDK進行業務加解密時也無需修改SDK，確保遷移過程高效便捷且零障礙。
- 效能影響：如果您遷移前使用公網存取金鑰憑據，遷移完成後可以選擇沿用原有SDK，效能遷移前後無變化。如果您希望提升效能，可以將公網訪問改為使用VPC網路訪問，更改後效能以執行個體規格為準。
- 存取控制策略：遷移後無需進行重新適配可繼續使用。
其他：
對稱金鑰和非對稱金鑰在遷移後，密鑰版本ID會發生變化，如果自建應用有基於密鑰版本ID的校正邏輯，在遷移前需要完成評估以及去除相應的校正邏輯，否則因密鑰版本ID發生變化會導致自建應用側的校正失敗。
說明
若使用的是OpenAPI，遷移後使用舊的密鑰版本ID調用仍可成功，業務代碼無需更改。

成本影響

KMS 3.0執行個體的計費邏輯與KMS 1.0不同，遷移前請您先瞭解KMS執行個體的費用。詳細資料，請參見訂用帳戶計費、隨用隨付。

密鑰遷移注意事項

KMS會遷移使用者主要金鑰的中繼資料以及密鑰材料，中繼資料套件含：密鑰ID（KeyID）、密鑰狀態、刪除保護、別名、標籤等。遷移後這些資料不發生改變。

服務密鑰

不需要遷移，繼續正常使用即可，您登入新版控制台可直接查看到服務密鑰。服務密鑰是雲產品佈建服務端加密時，雲產品自動建立的密鑰，別名為固定格式alias/acs/<雲產品>。

使用者主要金鑰

僅狀態為啟用中的密鑰支援遷移，其他狀態（如已禁用、计划删除等）的密鑰均不支援遷移。

密鑰保護層級為軟體（Software）

具體可以遷移到哪種執行個體中請參見下表。

重要

BYOK：支援遷移，KMS會隨即轉移密鑰材料，無需您手動上傳。
多版本密鑰：支援遷移，KMS會遷移所有密鑰版本。
如果密鑰設定了自動輪轉，為確保遷移前後版本保持一致，遷移前請手動關閉自動輪轉。具體操作，請參見自動輪轉密鑰。
硬體密鑰管理執行個體的密鑰儲存位置支援資料庫和密碼機，由於資料庫中的密鑰支援輪轉，因此遷移到硬體密鑰管理執行個體時，密鑰預設儲存在資料庫中且不支援修改。

待遷移密鑰規格	軟體密鑰管理執行個體	硬體密鑰管理執行個體
Aliyun_AES_256（單版本）	支援	支援
Aliyun_AES_256（多版本）	支援	支援
RSA_2048（單版本）	支援	不支援
EC_P256（單版本）	支援	不支援
EC_P256K（單版本）	支援	不支援

密鑰保護層級為硬體（HSM）

重要

僅中國內地的密鑰支援遷移，非中國內地的密鑰不支援遷移。不支援遷移的密鑰，請聯絡我們。
BYOK：支援遷移，KMS會隨即轉移密鑰材料，無需您手動上傳。
多版本密鑰：部分類型支援遷移，遷移時KMS會遷移所有密鑰版本。
如果密鑰設定了自動輪轉，為確保遷移前後版本保持一致，遷移前請手動關閉自動輪轉。具體操作，請參見自動輪轉密鑰。
硬體密鑰管理執行個體的密鑰儲存位置支援資料庫和密碼機，由於資料庫中的密鑰支援輪轉，因此遷移到硬體密鑰管理執行個體時，密鑰預設儲存在資料庫中且不支援修改。

具體可以遷移到哪種執行個體中請參見下表。

待遷移密鑰規格	軟體密鑰管理執行個體	硬體密鑰管理執行個體
Aliyun_AES_256（單版本）	支援	支援
Aliyun_AES_256（多版本）	支援	支援
Aliyun_SM4（單版本）	不支援	支援
Aliyun_SM4（多版本）	不支援	支援
RSA_2048（單版本）	支援	支援
EC_P256（單版本）	支援	支援
EC_P256K（單版本）	支援	支援
RSA_3072（單版本）	支援	支援
EC_SM2（單版本）	不支援	支援

憑據遷移注意事項

所有類型的憑據都支援遷移。

重要

KMS 3.0中憑據在單個地區內的阿里雲帳號、KMS執行個體內都具有唯一性，如果您要遷移的憑據在KMS 1.0中存在多個同名稱的憑據，或者目標KMS 3.0執行個體中已存在同名憑據時，不支援遷移。

KMS會遷移憑據的中繼資料以及所有憑據版本，中繼資料套件含：憑據名稱、憑據狀態、標籤等，遷移後這些資料不發生改變。

開啟自動輪轉的憑據支援遷移，為確保遷移前後版本保持一致，遷移前請手動關閉自動輪轉。
遷移憑據需同步遷移加密該憑據的主要金鑰。
使用系統託管祕密金鑰加密的憑據，支援遷移，但遷移後不支援使用備份功能。備份功能詳細介紹，請參見災備管理。

快速判斷是否有需要遷移的資源

說明

該方式只顯示支援遷移的密鑰，對於不支援遷移的密鑰，您可以在遷移後在舊版控制台查看還剩餘哪些密鑰，然後聯絡阿里雲支援人員。

登入舊版密鑰管理主控台，在左側目錄單擊迁移工具。
當迁移按鈕可操作時，表示該地區有需要遷移的密鑰或憑據。
重要
資料按照地區維度展示，請查看所有地區的資料，避免遺漏。
單擊未迁移密钥数量、已迁移密钥数量、未迁移凭据数量、已迁移凭据数量這幾列的數字，查看具體的密鑰ID和憑據名稱。

選擇合適的KMS 3.0執行個體

您可以從以下幾方面評估，選擇合適的KMS 3.0執行個體。

評估業務需求：根據需要遷移的密鑰，支援遷移到哪種KMS執行個體中，選擇合適的KMS執行個體。
評估效能需求：考慮業務中對資料加解密的操作頻率。如果您的業務是一個高流量的電商平台，每天需要處理大量的訂單資訊，包括使用者支付資訊（如銀行卡號、支付密碼等）加密、訂單資料加密等操作，您可能需要一個具有較高每秒查詢率（QPS）的KMS執行個體，這時就需要選擇QPS為2000或4000的KMS執行個體，以確保加密和解密操作能夠及時完成，避免出現交易延遲或失敗的情況。
評估合規性需求：如果您的業務需要滿足FIPS認證，需要選購硬體密鑰管理執行個體。
評估成本預算：KMS執行個體提供兩種付費方式，訂用帳戶以及隨用隨付。隨用隨付僅建議在您的業務只是雲產品加密的情境時使用，其他情境建議您使用訂用帳戶執行個體。==