专属KMS使用租户独享的密码资源池(密码机集群),实现资源隔离和密码学隔离,以获得更高的安全性。购买专属KMS实例后,您需要先完成专属KMS实例配置,连接专属KMS实例与密码机,才能正常使用该实例。

前提条件

专属KMS实例需要关联同一阿里云账号下加密服务CloudHSM的密码机集群。请确保加密服务CloudHSM已经完成以下设置:
  1. 已经创建密码机集群,集群中已经添加密码机实例。为了密码机集群高可用,建议您添加两个及以上不同可用区的密码机实例。具体操作,请参见Create a clusterInitialize the cluster
  2. 已经完成密码机集群的初始化并激活集群。当前集群状态为已激活。初始化时您设置的ClusterOwnerCertificate将作为KMS访问密码机集群的安全域证书。具体操作,请参见Initialize the clusterActivate cluster
  3. 创建一个用户名为kmsuser的加密用户,并为kmsuser设置口令。KMS将使用该用户身份访问您的密码机集群,进行密钥创建和密码运算。具体操作,请参见Create a key

操作步骤

  1. 登录密钥管理服务控制台
  2. 在页面左上角的地域下拉列表,选择专属KMS所在的地域。
    请选择中国(香港)或马来西亚(吉隆坡)。
  3. 在左侧导航栏,单击专属KMS
  4. 单击目标专属KMS实例操作列的连接
  5. 连接密码机对话框,指定密码机集群。
    说明 一个密码机集群只能绑定一个专属KMS实例。
  6. 配置访问凭据。
    • 用户名:加密用户名称(固定为kmsuser)。
    • 口令:加密用户访问口令。该口令是您在创建加密用户时设置的口令。
    • 安全域证书:PEM格式CA证书。您可以在加密服务控制台集群详情页面下载ClusterOwnerCertificate
  7. 单击连接密码机
    连接过程中专属KMS实例状态为正在创建连接。请等待几分钟,然后刷新页面,当状态变更为已连接时,专属KMS实例与密码机集群连接成功。