本文介紹您在使用密鑰的過程中可能遇到的問題。
問題列表
KMS是否支援刪除密鑰
除服務密鑰外,其他的密鑰支援刪除。僅支援通過計劃刪除的方式刪除。
您可以設定7~366天的預刪除周期,在預刪除周期內驗證刪除金鑰組應用程式和依賴它的使用者的影響,在預刪除周期內您將無法使用該密鑰,如果確認仍需使用,您可以在預刪除周期內取消計劃刪除密鑰。在預刪除周期後,KMS會刪除該密鑰且無法恢複。關於如何計劃刪除密鑰,請參見計劃刪除密鑰。
在實際業務中,建議您先禁用密鑰,並再次確認沒有需要使用該密鑰進行解密的資料後,再通過計劃刪除密鑰的方式來刪除。關於如何禁用密鑰,請參見禁用密鑰。
服務密鑰是否支持刪除
不支援。
針對每個阿里雲帳號,阿里雲KMS在每個地區下為每一類雲產品免費提供一個服務密鑰。服務密鑰由雲產品管理生命週期,不再使用該服務密鑰時無需任何操作,保留即可,保留服務密鑰不會收取您的任何費用。
KMS密鑰刪除後,使用該祕密金鑰加密的使用者資料及產生的資料密鑰是否還可以解密
不可以。
KMS只支援通過計劃刪除密鑰的方式刪除密鑰,在您設定的預刪除周期後,密鑰會被刪除且無法恢複。在預刪除周期內,您可以取消刪除。
針對自行匯入密鑰材料的密鑰,密鑰刪除後,即使您建立新密鑰並匯入了同一個密鑰材料,使用原祕密金鑰加密的資料也無法解密。
如果您僅刪除了自行匯入的密鑰材料,沒有刪除密鑰,可以再次為該密鑰匯入同一個密鑰材料,使得該密鑰可用,使用原祕密金鑰加密的資料仍可被解密。
在實際業務中,建議您先禁用密鑰,確認沒有使用該密鑰進行解密的資料後,再通過計劃刪除密鑰的方式來刪除。
KMS如何保障密鑰的安全性
針對軟體密鑰,KMS構建專屬您的資料庫,並使用安全可靠的密碼編譯演算法對密鑰進行安全儲存。
針對硬體密鑰,您需要先購買Data Encryption ServiceHSM,然後配置密碼機叢集,金鑰儲存區和密碼運算均通過您獨享的密碼機叢集進行。
KMS是否支援匯入密鑰材料
支援。
建立密鑰時,您可以選擇由KMS產生密鑰材料,也可以選擇外部來源的密鑰材料。如果選擇了外部來源的密鑰材料,您需要將外部金鑰材料匯入到密鑰中。具體操作,請參見匯入對稱金鑰材料和匯入非對稱金鑰材料。
密鑰狀態為不可用或調用密鑰相關API時返回“Rejected.Unavailable”
密鑰所在的KMS執行個體已超期。
請在超期15個自然日內對KMS執行個體進行續約,否則KMS執行個體將被釋放。具體操作,請參見續約說明。
如果您暫時不使用KMS執行個體,但以後可能會用到該執行個體中的密鑰或憑據,建議您提前備份。具體操作,請參見備份管理。
為什麼主要金鑰在控制台無法操作
問題說明
默认密钥頁簽下的主要金鑰,只能查看詳情,無法執行禁用等其他動作。
解決方案
該部分密鑰為您在KMS共用版(KMS 1.0)中建立的密鑰,在KMS 3.0控制台僅支援查看,不支援其他動作,請切換到KMS 1.0控制台進行操作。
為了給您提供更好的產品體驗,阿里雲計劃將KMS 1.0於2025年03月30日00:00:00 (GMT+8 )起進入EOSF階段,2025年09月30日00:00:00(GMT+8 ) 起進入EOS階段。為避免對您的業務產生影響,請儘快將KMS 1.0資源遷移到KMS 3.0執行個體。具體操作,請參見將KMS 1.0的資源遷移到KMS 3.0執行個體。