应用接入专属KMS标准版实例后,专属KMS标准版将使用租户独享的密码资源池(密码机集群),实现资源隔离和密码学隔离,为您的业务数据提供可靠、安全、合规的数据加密保护能力。本文介绍如何启用专属KMS标准版实例、如何创建密钥、以及如何让应用接入实例。
前提条件
- 已购买专属KMS标准版实例。具体操作,请参见购买专属KMS实例。
- 专属KMS标准版实例需关联同一阿里云账号下加密服务的密码机集群,且密码机集群需完成如下配置。具体操作,请参见快速入门。
- 已经创建密码机集群,集群中已经添加密码机实例。
- 已经完成密码机集群的初始化并激活集群。密码机集群中应包含两个及以上不同可用区的密码机实例。当前集群状态为已激活。初始化时您设置的ClusterOwnerCertificate将作为KMS访问密码机集群的安全域证书。
- 已创建一个用户名为
kmsuser
的加密用户,并为kmsuser
设置口令。KMS将使用该用户身份访问您的密码机集群,进行密钥创建和密码运算。
操作流程
步骤一:启用专属KMS标准版实例
- 登录密钥管理服务控制台。
- 在专属KMS页面,找到目标专属KMS标准版实例,在操作列单击启用。
- 在连接密码机对话框,指定密码机集群。
说明 一个密码机集群只能绑定一个专属KMS标准版实例。
- 配置访问凭据。
- 用户名:加密用户名称(固定为
kmsuser
)。
- 口令:加密用户访问口令。该口令是您在创建加密用户时设置的口令。
- 安全域证书:PEM格式CA证书。您可以在加密服务控制台集群详情页面下载ClusterOwnerCertificate。
- 单击连接密码机。
请等待几分钟,然后刷新页面,当状态变更为已启用时,专属KMS标准版实例启用成功。
步骤二:为专属KMS标准版实例创建密钥
- 在专属KMS页面,找到目标专属KMS标准版实例,单击操作列的管理。
- 在用户主密钥区域,单击创建密钥,在创建密钥对话框,设置以下参数。
配置项 |
说明 |
密钥类型 |
取值:
- 对称密钥的类型:
- Aliyun_AES_256
- Aliyun_AES_128
- Aliyun_AES_192
- 非对称密钥的类型:
- RSA_2048
- RSA_3072
- RSA_4096
- EC_P256
- EC_P256K
- HMAC_SHA256
- HMAC_SHA512
|
密钥用途 |
取值:
- Encrypt/Decrypt:数据加密和解密。
- Sign/Verify:产生和验证数字签名。
|
别名 |
用户主密钥的标识符。支持英文字母、数字、下划线(_)、短划线(-)和正斜线(/)。 |
描述 |
密钥的说明信息。 |
高级选项 |
- 密钥材料来源
- 阿里云KMS:密钥材料将由专属KMS生成。
- 外部:专属KMS将不会生成密钥材料,您需要将自己的密钥材料导入专属KMS。更多信息,请参见导入对称密钥材料。
说明 请认真阅读并勾选我了解使用外部密钥材料的方法和意义。
- 附加密钥用途:当密钥类型为非对称密钥时,支持设置附加密钥用途,让一个密钥具有多个用途。
|
- 单击确定。
步骤三:应用接入专属KMS标准版实例
- 创建应用接入点AAP(Application Access Point),控制应用正常访问专属KMS标准版实例。
- 在专属KMS页面,找到目标专属KMS标准版实例,在操作列单击详情。
- 在应用接入指南区域,单击快速创建应用接入点。
- 在快速配置应用身份凭证和权限面板,设置应用接入点信息后单击创建。
- 输入应用接入点名称。
- 设置访问控制策略。
- 允许访问资源:默认填写
Key/*
,表示允许访问当前专属KMS实例的全部密钥。
- 允许网络来源:允许访问的网络类型和IP地址。您可以设置私网IP地址或者私网网段,多个IP地址之间用半角逗号(,)分隔。
- 在应用身份凭证对话框,获取凭证口令和应用身份凭证内容(Client Key)。
- 凭证口令:单击复制口令,获取凭证口令。
- 应用身份凭证内容:单击下载应用身份凭证,保存应用身份凭证信息。
应用身份凭证信息包含凭证ID(KeyId)和凭证内容(PrivateKeyData),凭证内容为PKCS12格式Base64编码。示例如下:
{
"KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
"PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
}
说明 KMS不会保存Client Key的凭证口令和应用身份凭证内容,您只能在创建Client Key时获取到该信息,请妥善保管。
- 单击关闭。
- 获取CA证书,以便验证专属KMS标准版实例。
在应用接入指南区域,单击获取实例CA证书下方的下载,下载.pem格式的CA证书文件。