全部產品
Search

搜尋本產品

    Key Management Service:備份管理

    文件中心

    Key Management Service:備份管理

    更新時間:May 15, 2025

    Key Management Service(Key Management Service)支援通行金鑰和憑據資料備份管理功能,在誤刪除、容災等情境下,可以協助您快速恢複資料,避免資料丟失。本文介紹如何備份和恢複資料。

    警告

    如果您未對密鑰和憑據進行備份,或者備份資料到期,密鑰和憑據到期刪除後將永久無法恢複。因此請務必重視備份,以免造成資料無法解密影響您的業務。

    支援的執行個體類型

    • 僅軟體密鑰管理執行個體支援備份。如果您無法使用備份功能,請先升級執行個體的鏡像版本,具體操作,請參見升級KMS執行個體的鏡像版本

    • 硬體密鑰管理執行個體不支援備份,但是硬體密鑰可通過HSM的備份功能備份部分資料。硬體密鑰包含密鑰材料(加密機密鑰)和密鑰中繼資料兩部分。

      1. 密鑰材料是指硬體密鑰映射在HSM上的密鑰,可通過HSM的備份功能進行備份,詳情請參考資料備份恢複

      2. 密鑰中繼資料是指密鑰ID、密鑰所屬KMS執行個體、ARN、密鑰策略等儲存在KMS上的業務資料資訊,不支援備份。

    適用情境

    • KMS軟體密鑰管理執行個體被釋放後,需要恢複執行個體。

    • 密鑰或憑據被誤刪除,需要修復金鑰或憑據。

    • 使用者業務分布在多個地區,需要將密鑰或憑據複製到其他地區,進行容災或業務的就近調用。

    功能介紹

    KMS每個備份可以備份一個軟體密鑰管理執行個體的資料。KMS支援兩種備份方式:自動備份和手動備份。

    • 自動備份:2024年04月26日00:00之後新建立的軟體密鑰管理執行個體,啟用軟體密鑰管理執行個體後,KMS會自動建立一個備份,用於備份該軟體密鑰管理執行個體的資料。更多資訊,請參見【公告】KMS軟體密鑰管理執行個體支援免費自動備份功能

      說明

      建議您優先使用該備份,如不滿足業務要求,再單獨購買手動備份方式中的備份。

    • 手動備份:包含預設備份(KMS在每個地區下免費提供一個預設備份)和購買的備份,您需要啟用備份後,KMS才開始備份資料。

    對比項

    說明

    自動備份

    手動備份

    預設備份

    購買的備份

    費用

    是否需要額外支付費用。

    免費。

    免費。

    付費。

    費用與購買時間長度以及設定的可查看天數相關。

    備份刪除時間

    備份資料預設被刪除的時間。

    備份資料的生命週期依賴於其備份的KMS執行個體,KMS執行個體釋放90天后,備份資料將被刪除。

    不支援手動刪除備份資料。

    長期有效,但您可以通過重設操作手動刪除備份資料。

    備份資料的生命週期依賴於備份的購買時間長度,備份到期15天后,備份將被釋放,備份資料將被刪除。

    您也可以通過重設操作手動刪除備份資料。

    重要

    備份到期後不支援任何操作,但在備份釋放前您可以通過續約重新啟用並使用備份,重新啟用的收費與新購同一規格備份相同。

    可查看天數

    可以查看多少天內的備份資料。

    以購買的備份為例,可查看天數設定為50。

    假設啟動備份後備份了80天的資料,由於可查看天數是50,您只能查看50天內的備份資料。如果您需要查看前30天的資料,需要擴充可查看天數。

    說明

    可查看天數的配置建議與密鑰輪轉以及業務容災要求相結合。

    90天,且不支援擴充。

    7天,且不支援擴充。

    購買時可以選擇7~600天。

    購買後也支援擴充,但不支援降配。

    備份時間點

    每日備份資料的時間點。

    首次備份時會全量備份,之後每日的00:00進行一次全量備份,全量備份結束後每隔5分鐘進行增量備份。

    您可以在备份管理頁面,通過備份類型快速區分是哪類備份。系统创建表示自動備份,默认表示預設備份,购买表示購買的備份。

    image

    備份資料

    自動備份

    啟用軟體密鑰管理執行個體後,KMS會自動備份該執行個體的資料。如何啟用執行個體,請參見購買和啟用KMS執行個體

    執行個體啟用成功後,KMS會自動產生一個備份,您可以在备份管理頁面查看,备份类型系统创建备份对象為您的軟體密鑰管理執行個體,即KMS建立的備份。

    手動備份

    1. 登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊安全运营 > 灾备管理 > 备份管理

    2. (可選)購買備份。

      說明

      如果您使用預設備份,請跳過本步驟。

      1. 备份管理頁面,單擊创建备份,根據業務需要完成配置項設定,然後單擊立即購買

        配置項

        說明

        密鑰管理類型

        選擇密鑰增值服務

        密鑰增值服務

        選擇執行個體備份

        地區

        與您要備份的軟體密鑰管理執行個體地區一致。

        可查看天數

        可以查看幾天內的備份資料。

        購買數量

        備份的數量。

        說明

        每個備份可以備份一個軟體密鑰管理執行個體的資料。

        購買時間長度

        備份的購買時間長度。

      2. 確認訂單頁面,仔細閱讀並選中服務合約,單擊去支付完成購買

    3. 啟用備份。

      1. 备份管理頁面,定位到目標備份,單擊操作列的启用

      2. 启用备份對話方塊中完成各項配置,然後單擊確認

        配置項

        說明

        备份数据规格

        預設取值软件密钥管理,不支援修改。

        备份KMS实例

        選擇您需要備份的軟體密鑰管理執行個體。

        备份数据类型

        預設取值密鑰憑據,不支援修改。

        备份别名

        自訂備份的別名。

        首次啟用備份時會全量備份,之後每日的00:00進行一次全量備份,全量備份結束後每隔5分鐘進行增量備份。

    4. (可選)查看備份資料。

      定位到目標備份,單擊操作列的查看数据,選擇日期後查看當日的備份資料。

      備份資料類型

      說明

      全量密钥

      當日00:00備份的全量密鑰。

      增量密钥

      當日新增的密鑰。

      轮转密钥

      當日輪轉的密鑰。

      全量凭据

      當日00:00備份的全量憑據。

      增量凭据

      當日新增的憑據。

      轮转凭据

      當日輪轉的憑據。

    恢複資料

    恢複資料時,目標執行個體需要符合以下要求:

    • 目標執行個體有對應的密鑰或憑據額度。

    • 目標執行個體所在的地區不存在該密鑰或憑據,否則會恢複失敗。如果您確認仍要恢複,請在目標地區先刪除密鑰或憑據後再進行恢複。

    • 恢複憑據時,目標執行個體需要存在加密該憑據的密鑰。

    根據使用該KMS執行個體的阿里雲帳號數量不同,其密鑰和憑據支援恢複到的目標執行個體不同。

    • 單帳號使用情境:支援恢複到當前阿里雲帳號下的任何一個軟體密鑰管理執行個體中。

    • 多帳號共用情境:備份恢複操作僅支援資源所有者操作。以將阿里雲帳號A中的KMS執行個體M,共用給阿里雲帳號B為例介紹。

      • 資源所有者在KMS執行個體下建立的資源:支援恢複到資源所有者的任何一個軟體密鑰管理執行個體中。即A在執行個體M下建立的密鑰或憑據,支援恢複到A的任何一個軟體密鑰管理執行個體中。

      • 資源使用者在KMS共用執行個體下建立的資源:僅支援恢複到該KMS共用執行個體中,恢複後資源所有者和資源使用者均可正常使用。即B在執行個體M下建立的密鑰和憑據,僅支援恢複到執行個體M中,恢複後A和B都可以使用。

        說明

        如果共用關係已解除,則資源使用者建立的密鑰和憑據不支援恢複。

    1. 登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊安全运营 > 灾备管理 > 备份管理

    2. 定位到目標備份,單擊操作列的查看数据,選擇要恢複到哪一天的資料。

      重要

      當備份為購買的備份時,如果您要恢複的資料日期不在可查看天數的範圍內,可以先擴充備份的可查看天數,然後再恢複資料。但您無法通過擴充可查看天數來恢複啟用備份前的資料。

      例如,您在2024年05月01日啟用備份,可查看天數為10天,在2024年05月20日想恢複2024年05月05日的資料,您可以將可查看天數擴充到16天。

    3. 恢複資料。

      資料類型

      操作步驟

      密鑰

      1. 單擊密鑰所在的頁簽(例如全量密钥),定位到目標密鑰,單擊操作列的数据恢复

      2. 恢复备份数据對話方塊,選擇要恢複的地區及執行個體資訊,然後單擊確定

      憑據

      1. 恢複加密憑據的密鑰。

        說明

        恢複憑據時,目標執行個體需要存在加密該憑據的密鑰。如果您確定目標執行個體存在該密鑰,可以跳過本步驟直接恢複憑據。

        1. 單擊密鑰所在的頁簽(例如,全量密钥),定位到目標密鑰,單擊操作列的数据恢复

        2. 恢复备份数据對話方塊,選擇要恢複的地區及執行個體資訊,然後單擊確定

      2. 恢複憑據。

        1. 單擊憑據所在的頁簽(例如,全量凭据),定位到目標憑據,單擊操作列的数据恢复

        2. 恢复备份数据對話方塊,選擇要恢複的地區及執行個體資訊,然後單擊確定

    更多操作

    擴充可查看天數

    重要

    僅購買的備份支援擴充可查看天數,且僅支援升配不支援降配。

    1. 登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊安全运营 > 灾备管理 > 备份管理

    2. 定位到目標備份,單擊操作列的查看数据

    3. 在備份詳情頁,單擊扩展可查看天数,選擇擴充後的可查看天數,單擊立即購買並完成支付。

    重設備份

    僅預設備份、購買的備份支援重設。您可以通過重設備份操作刪除已備份資料,並解除備份與軟體密鑰管理執行個體的綁定。

    警告

    重設會將該備份已經備份的所有資料刪除,請謹慎操作。

    1. 登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊安全运营 > 灾备管理 > 备份管理

    2. 定位到目標備份,單擊操作列的重置

    3. 請閱讀重置對話方塊中的提示,確認無誤後單擊確定

      備份重設後狀態為未启用,您可以重新綁定軟體密鑰管理執行個體。

    續約備份

    僅購買的備份支援續約。

    1. 登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊安全运营 > 灾备管理 > 备份管理

    2. 定位到目標備份,單擊操作列的续费

    3. 续费頁面,選擇購買時長,請仔細閱讀並選中服務合約,單擊立即購買並完成支付。

    下載備份資料檔案

    重要

    下載備份資料檔案後,請您妥善保管。該備份資料檔案僅支援在KMS控制台恢複資料。

    1. 登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊安全运营 > 灾备管理 > 备份管理

    2. 定位到目標備份,單擊操作列的下載

    3. 下载對話方塊,選擇备份日期後,單擊確認

      說明

      可查看天數範圍外的備份資料,您需要先擴充可查看天數再進行下載。

    4. 儲存備份資料。

      • 單擊数据加密KEY後的image..png表徵圖複製,然後儲存到本地。

      • 單擊备份数据後的点击下载,下載備份資料檔案並妥善儲存。

      重要

      資料加密KEY用於解密下載的備份資料檔案,KMS不會儲存資料加密KEY備份資料檔案,因此請您妥善儲存,避免泄露。

    上傳備份資料檔案

    重要

    請您知悉,如您跨境上傳備份資料檔案,您需要確保已遵守資料出境的相關法律法規要求。

    1. 备份管理頁面,單擊上传备份

    2. 导入数据备份對話方塊,輸入数据解密KEY备份名称,然後單擊確認

    3. 在彈出的檔案選擇對話方塊,選擇備份資料檔案,然後單擊開啟

      上傳成功後,您可以在备份管理頁面看到上傳的資料,备份类型上传image..png

    常見問題

    如何查看備份的可查看天數?

    备份管理頁面,查看可查看天数

    image..png

    相關文檔