专属KMS使用租户独享的密码资源池(密码机集群),实现资源隔离和密码学隔离,以获得更高的安全性。本文介绍如何快速使用专属KMS标准版实例。

前提条件

专属KMS标准版实例需要关联同一阿里云账号下加密服务CloudHSM的密码机集群。请确保加密服务CloudHSM已经完成以下设置:
  1. 已经创建密码机集群,集群中已经添加密码机实例。具体操作,请参见Create a clusterInitialize the cluster
  2. 已经完成密码机集群的初始化并激活集群。密码机集群中应包含两个及以上不同可用区的密码机实例。当前集群状态为已激活。初始化时您设置的ClusterOwnerCertificate将作为KMS访问密码机集群的安全域证书。具体操作,请参见Initialize the clusterActivate cluster
  3. 创建一个用户名为kmsuser的加密用户,并为kmsuser设置口令。KMS将使用该用户身份访问您的密码机集群,进行密钥创建和密码运算。具体操作,请参见Create a key

操作流程

专属KMS标准版快速入门_国际站

步骤一:购买专属KMS标准版实例

  1. 登录密钥管理服务控制台
  2. 在左侧导航栏,单击专属KMS
  3. 单击购买专属KMS
  4. 在购买页面,设置相关参数。
    说明 定制实例密钥数量由系统默认填入,无需手动设置。
    • 版本:选择标准版
    • 地域:根据需要选择专属KMS实例所在地域。
    • 购买数量:根据需要选择实例数量。最多支持同时购买20个实例。
    • 购买时长:根据需要选择购买时长。
      说明
      • 建议您为专属KMS标准版实例和密码机实例设置相同的购买时长,并为专属KMS标准版实例设置自动续费,以确保专属KMS标准版实例正常运行。
      • 您也可以选中到期自动续费,当前实例到期后将自动续费。
  5. 确认总配置费用后,单击立即购买并完成支付

步骤二:启用专属KMS标准版实例

  1. 专属KMS页面,找到目标专属KMS标准版实例,在操作列单击启用
  2. 连接密码机对话框,指定密码机集群。
    说明 一个密码机集群只能绑定一个专属KMS标准版实例。
  3. 配置访问凭据。
    • 用户名:加密用户名称(固定为kmsuser)。
    • 口令:加密用户访问口令。该口令是您在创建加密用户时设置的口令。
    • 安全域证书:PEM格式CA证书。您可以在加密服务控制台集群详情页面下载ClusterOwnerCertificate
  4. 单击连接密码机
    请等待几分钟,然后刷新页面,当状态变更为已启用时,专属KMS标准版实例启用成功。

步骤三:为专属KMS标准版实例创建密钥

  1. 专属KMS页面,找到目标专属KMS标准版实例,在操作列单击管理
  2. 用户主密钥区域,单击创建密钥
  3. 创建密钥对话框,设置以下参数。
    参数名称 说明
    密钥类型 取值:
    • 对称密钥的类型:
      • Aliyun_AES_256
      • Aliyun_AES_128
      • Aliyun_AES_192
    • 非对称密钥的类型:
      • RSA_2048
      • RSA_3072
      • RSA_4096
      • EC_P256
      • EC_P256K
      • HMAC_SHA256
      • HMAC_SHA512
    密钥用途 取值:
    • Encrypt/Decrypt:数据加密和解密。
    • Sign/Verify:产生和验证数字签名。
    别名 用户主密钥的标识符。支持英文字母、数字、下划线(_)、短划线(-)和正斜线(/)。
    描述 密钥的说明信息。
  4. 可选:单击高级选项,选择密钥材料来源附加密钥用途
    • 密钥材料来源
      • 阿里云KMS:密钥材料将由专属KMS生成。
      • 外部:专属KMS将不会生成密钥材料,您需要将自己的密钥材料导入专属KMS。更多信息,请参见导入对称密钥材料
        说明 此时需要选中我了解使用外部密钥材料的方法和意义
    • 附加密钥用途:当密钥类型为非对称密钥时,支持设置附加密钥用途,让一个密钥具有多个用途。
  5. 单击确定

步骤四:应用接入专属KMS标准版实例

  1. 创建应用接入点AAP(Application Access Point),控制应用正常访问专属KMS标准版实例。
    1. 专属KMS页面,找到目标专属KMS标准版实例,在操作列单击详情
    2. 应用接入指南区域,单击快速创建应用接入点
    3. 快速配置应用身份凭证和权限面板,设置应用接入点信息。
      1. 输入应用接入点名称
      2. 设置访问控制策略
        • 允许访问资源:默认填写Key/*,表示允许访问当前专属KMS实例的全部密钥。
        • 允许网络来源:允许访问的网络类型和IP地址。您可以设置私网IP地址或者私网网段,多个IP地址之间用半角逗号(,)分隔。
      3. 单击创建
    4. 应用身份凭证对话框,获取凭证口令应用身份凭证内容(Client Key)。
      • 凭证口令:单击复制口令,获取凭证口令。
      • 应用身份凭证内容:单击下载应用身份凭证,保存应用身份凭证信息。

        应用身份凭证信息包含凭证ID(KeyId)和凭证内容(PrivateKeyData),凭证内容为PKCS12格式Base64编码。示例如下:

        {
          "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
          "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
        }
        说明 KMS不会保存Client Key的凭证口令和应用身份凭证内容,您只能在创建Client Key时获取到该信息,请妥善保管。
    5. 单击关闭
  2. 获取CA证书,以便验证专属KMS标准版实例。
    应用接入指南区域,单击获取实例CA证书下方的下载,下载.pem格式的CA证书文件。

后续步骤

您可以使用专属KMS SDK,通过访问专属KMS API调用密钥管理服务。具体操作,请参见专属KMS Java SDK专属KMS PHP SDK专属KMS Go SDK专属KMS Python SDK