全部产品
Search

搜索本产品

    密钥管理服务:配置KMS硬件密钥管理实例的密码机集群

    文档中心

    密钥管理服务:配置KMS硬件密钥管理实例的密码机集群

    更新时间:Mar 18, 2026

    使用密钥管理服务KMS(Key Management Service)的硬件密钥管理实例时,需要连接加密服务密码机集群,由密码机集群实现数据自动同步、负载均衡以及数据高可用性。本文介绍如何配置KMS硬件密钥管理实例的密码机集群。

    架构示例

    KMS集成密码机集群可以兼顾密钥管理的灵活性与硬件级安全保障,满足国密或FIPS 140-2 Level 3的合规要求。KMS提供密钥管理,确保密钥的生命周期得到严格管控,降低使用密码机的复杂度,HSM通过硬件级的安全保障设施,安全存储密钥材料。双方通信采用TLS双向认证加密通道,确保传输安全。

    由于密码机管理工具仅支持安装在阿里云ECS,因此您必须在主密码机所属的VPC子网内部署一台ECS服务器,用于连接主密码机进行密码机相关配置。您也可以使用本地终端进行配置,但需确保与密码机网络打通。

    image

    注意事项

    • KMS硬件密钥管理实例关联的密码机仅支持通用密码机

    • 密码机、KMS硬件密钥管理实例、ECS实例必须属于同一个地域、且属于同一个VPC。

    • 管理中国内地密码机时,ECS需要为Windows操作系统。管理非中国内地密码机时,ECS需要为CentOS 8或 Alibaba Cloud Linux操作系统。

    密码机支持的地域和可用区

    • 中国内地

      地域

      地域ID

      可用区

      华东1(杭州)

      cn-hangzhou

      可用区A、可用区G

      华东2(上海)

      cn-shanghai

      可用区A、可用区B、可用区F

      华北2(北京)

      cn-beijing

      可用区A、可用区F、可用区K

      华南1(深圳)

      cn-shenzhen

      可用区A、可用区E

      西南1(成都)

      cn-chengdu

      可用区A、可用区B

      华南2(河源)

      cn-heyuan

      可用区A、可用区B

    • 非中国内地

      地域

      地域ID

      可用区

      中国香港

      cn-hongkong

      可用区B、可用区C

      新加坡

      ap-southeast-1

      可用区A、可用区B

      马来西亚(吉隆坡)

      ap-southeast-3

      可用区A、可用区B

      沙特(利雅得)

      me-central-1

      可用区A、可用区B

      印度尼西亚(雅加达)

      ap-southeast-5

      可用区A、可用区B

    前提条件

    • 已创建VPC,并在两个可用区内分别创建了一个交换机。具体操作,请参见创建专有网络和交换机

    • 已创建ECS实例,且ECS实例与主密码机实例在同一个VPC。具体操作,请参见使用向导创建实例

      说明

      • 操作中国内地密码机时,ECS需要为Windows操作系统。操作非中国内地密码机时,ECS需要为CentOS 8或 Alibaba Cloud Linux操作系统。

      • 本文以ECS实例为例进行介绍,您也可以使用本地终端管理密码机。使用本地终端时,请通过VPN或物理专线使本地终端连接到密码机实例所属的VPC网络。具体操作,请参见客户端通过SSL-VPN远程加密访问VPC通过物理专线实现本地IDC与云上VPC互通

    配置集群信息

    配置GVSM(国密)密码机集群

    步骤一:购买密码机集群

    集群即将处于同一地域不同可用区、用于相同业务的一组密码机实例关联起来,进行统一管理,为业务应用提供密码计算的高可用性、负载均衡以及横向扩展的能力。

    1. 登录加密服务管理控制台,在顶部菜单栏,选择目标地域。

    2. 虚拟密码机实例页签,单击创建密码机实例

    3. 在加密服务购买页面,参考下表配置信息完成配置后,单击立即购买并完成支付。

      说明

      其他配置请根据业务实际情况进行配置,配置说明,请参见购买GVSM(国密)

      • 密码服务类型:选择通用服务器密码机GVSM

      • 加入白名单:选择是,使得该VPC下的IP均可访问密码机集群。

      • 自动生成证书:选择,此时HSM会自动生成加密通讯所需证书并完成加密机内证书配置,KMS将自动获取相关证书文件并完成客户端配置,用户无需关心证书生成及配置流程。KMS和密码机集群采用TLS双向认证加密通道,确保传输安全。

        重要

        • 请勿为密码机注册UKEY管理员。证书有效期10年,到期前HSM可自动轮转证书,注册UKEY管理员将导致轮转失败。

      • 集群名称:密码机所在集群名称。

        说明

        配置了集群信息,HSM会根据您配置的集群信息自动创建集群。

      • 专有网络:选择密码机所属的VPC。

      • 交换机:选择2~4个交换机,交换机的可用区不能重复。

    4. 购买成功后,可以在虚拟密码机实例页面查看密码机实例,密码机集群将在约5分钟后完成创建。

    步骤二:同步集群数据

    根据集群同步方式,确定是否需要同步集群中密码机的数据。image

    • 集群类型为自动同步集群

      集群内密码机数据会自动同步,您无需同步集群数据。

    • 集群类型为手动同步集群

      第一次创建并激活集群后,您需要将集群的主密码机数据手动同步到集群的子密码机实例。当您对集群进行扩容时,集群数据会自动同步到新添加的密码机实例。

      1. 单击操作列的同步集群,将主密码机数据同步到子密码机。image同步过程中集群的状态为同步中

      2. 集群同步结束后,查看密码机摘要是否一致。

        请在密码机详情页面查看摘要,如果两台密码机摘要信息完全一致,表示您已经完成密码机集群配置。如果摘要信息不一致请重复同步集群数据的操作,若摘要信息仍不一致,请联系我们image

    配置GVSM(FIPS)密码机集群

    1. 登录加密服务管理控制台,在顶部菜单栏,选择目标地域。

    2. 虚拟密码机实例页签,单击创建密码机实例

    3. 在加密服务购买页面,参考下表配置信息完成配置后,单击立即购买并完成支付。

      说明

      其他配置请根据业务实际情况进行配置,配置说明,请参见GVSM(NIST FIPS)

      • 密码服务类型:选择通用密码机

      • 自动生成证书:选择,自动生成客户端证书、服务端证书,可在在密码机实例详情页查看生成的证书。

        重要

        配置了集群信息(自动生成证书选择),HSM会根据配置的集群信息自动启用密码机实例激活集群。若选,请参考使用GVSM(NIST FIPS)密码机集群,完成创建并激活集群启动HSM客户端(hsm_proxy)

      • 集群名称:密码机所在集群名称。

      • 专有网络:选择密码机所属的VPC。

      • 交换机:选择2~4个交换机,交换机的可用区不能重复。

    4. 购买成功后,可以在虚拟密码机实例页面查看密码机实例,密码机集群将在约5分钟后完成创建。

    配置硬件密钥管理实例

    请前往密钥管理服务控制台购买KMS硬件密钥管理实例,并完成相关配置。

    步骤1:购买KMS硬件密钥实例

    1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源 > 实例管理

    2. 实例管理页面在硬件密钥管理页签单击创建实例

    3. 选择要购买的KMS实例规格,单击立即购买。

      说明

      更多配置说明,请参见购买和启用KMS实例

      • 密钥管理类型:硬件密钥管理

      • 地域:选择密码机所在地域。

    步骤2:启用硬件密钥管理实例

    1. 单击硬件密钥管理页签,定位到目标KMS硬件密钥管理实例,单击操作列的启用

    2. 连接密码机面板,完成各项配置后,单击连接密码机指定密码机集群。

      说明

      更多配置说明,请参见启用硬件密钥管理实例

      • 选择集群:购买的GVSM(国密)或GVSM(FIPS)密码机是配置的集群。

      • 配置密码机访问凭据:在购买GVSM(国密)或GVSM(FIPS)时选择了自动生成证书,HSM将自动生成所需证书,无需手动配置。

      • 专有网络:默认为密码机绑定的VPC ID,不支持修改。