创建自定义密钥
该任务指导用户通过密钥管理界面创建自定义密钥,自定义密钥包括“对称密钥”和“非对称密钥”。同时为您介绍如下操作:
前提条件
使用IAM用户创建密钥时,已授予该IAM用户KMS CMKFullAccess及以上权限策略,详细操作请参见创建用户并授权使用DEW。
约束条件
- 用户最多可创建100个自定义密钥,不包含默认密钥。创建副本密钥会占用该区域自定义密钥配额。
- 创建的对称密钥使用的是AES算法密钥,AES-256密钥可用于小量数据的加解密或用于加解密数据密钥,HMAC密钥用于数据完成性校验。
- 创建的非对称密钥使用的是RSA密钥或ECC密钥,RSA密钥可用于加解密、数字签名及验签,ECC密钥仅用于数字签名及验签。
- 因为默认密钥的别名后缀为“/default”,所以用户创建的密钥别名后缀不能为“/default”。
- 通过API接口方式调用KMS密钥时,每月每个密钥可免费调用20000次。
应用场景
- 对象存储服务中对象的服务端加密。
- 云硬盘中数据的加密。
- 私有镜像的加密。
- 云数据库中数据库实例的磁盘加密。
- 自定义密钥直接加解密小数据。
- 用户应用程序的DEK加解密。
- 消息认证码生成与校验。
- 非对称密钥可用于数字签名及验签。
创建自定义密钥
- 登录管理控制台。
- 单击管理控制台左上角
,选择区域或项目。 - 单击页面左侧
,选择,默认进入“密钥管理”界面。 - 单击界面右上角“创建密钥”。
- 进入“创建密钥”页面,填写密钥参数。
图1 创建密钥
表1 密钥参数配置 参数
描述
密钥名称
待创建的密钥的名称。
说明:- 输入字符支持数字、字母、“_”、“-”、“:”和“/”。
- 支持长度为1 ~ 255个字符。
密钥算法
选择密钥算法,KMS支持的密钥算法说明如表2所示。
密钥用途
密钥的用途,密钥用途创建后不支持修改。可选择“SIGN_VERIFY”、“ENCRYPT_DECRYPT”、“GENERATE_VERIFY_MAC”
- 对于AES_256对称密钥,默认值“ENCRYPT_DECRYPT”。
- 对于HMAC对称密钥,默认值“GENERATE_VERIFY_MAC”。
- 对于RSA非对称密钥,可选择“ENCRYPT_DECRYPT”或“SIGN_VERIFY”,省略参数为默认值“SIGN_VERIFY”。
- 对于ECC非对称密钥,默认值“SIGN_VERIFY”。
- 对于SM2非对称密钥,可选择“ENCRYPT_DECRYPT”或“SIGN_VERIFY”,省略参数为默认值“SIGN_VERIFY”。
企业项目
该参数针对企业用户使用。
如果您是企业用户,且已创建企业项目,则请从下拉列表中为密钥选择需要绑定的企业项目,默认项目为“default”。
未开通企业管理的用户页面则没有“企业项目”参数项,无需进行配置。
说明:- 企业项目是一种云资源管理方式,企业项目管理服务提供统一的云资源按项目管理,以及项目内的资源管理、成员管理。更多关于企业项目的信息,请参见《什么是企业项目管理?》。
- 如需开通企业项目,请参考如何开通企业项目/企业多账号。
所属密钥库
选择密钥归属的密钥库。选择密钥库后,将通过密钥库来存储密钥,并提供安全的密钥生成功能,确保生成的密钥是随机的、安全的,并且能够被安全地存储和备份。
如果需新建密钥库,请参见创建密钥库 。
密钥材料来源
- 密钥管理
- 外部
高级配置
- 描述信息
- 标签
可根据自己的需要为自定义密钥添加标签。更多标签相关操作请参见标签管理。
说明:最多可以给单个自定义密钥添加20个标签。
- 单击“确定”,完成密钥创建。用户可在密钥列表上查看已完成创建的密钥,密钥材料来源为“密钥管理”时默认状态为“启用”;密钥材料来源为“外部”时默认状态为“等待导入”。
启用自定义密钥
该任务指导用户通过密钥管理界面对单个或多个自定义密钥进行启用操作,使被禁用的密钥恢复到数据加解密能力。新建的自定义密钥默认为“启用”状态。
- 在密钥列表中,在需要启用的密钥所在行的“操作”列,单击“启用”。
- 在弹出窗口中,单击“确定”,完成启用单个密钥操作。
如果您想批量启用密钥,可以勾选所有需要启用的密钥,然后在列表左上角,单击“启用”。
禁用自定义密钥
- 默认密钥不支持禁用操作。
- 密钥被禁用后,仍然会计费。只有删除密钥,才会停止计费。
- 在密钥列表中,在需要启用的密钥所在行的“操作”列,单击“禁用”。
- 在弹出窗口中,勾选“我已知晓禁用以上密钥产生的影响”,单击“确定”,完成禁用单个密钥操作。
如果您想批量禁用密钥,可以勾选所有需要禁用的密钥,然后在列表左上角,单击“禁用”。
计划删除密钥
KMS不支持直接删除密钥,仅支持计划删除密钥,即通过设置预删除周期(推迟时间范围为7天~1096天),在到期后删除密钥。
处于“启用”、“禁用”或“等待导入”状态的自定义密钥才支持删除,默认密钥不支持删除。
除了确认密钥使用情况以外,也可以开启验证操作,确保删除密钥操作进行多次验证,降低密钥误删导致的磁盘等加密不可用情况。开启验证的操作请参见敏感操作保护。
如果您想批量计划删除密钥,可以勾选所有需要计划删除的密钥,然后在列表左上角,单击“删除”。以下为您介绍如何单个删除密钥。
- 在需要删除的密钥所在行的“操作”列,单击“删除”,进入“删除密钥”界面。
- 在“删除密钥”界面,填写“推迟删除”的时间。
- 如果未开启删除验证,在确认删除提示框中输入“DELETE”后,单击“确定”,完成删除操作。
如果开启删除验证,选择验证方式后,单击“获取验证码”,在验证码对话框中输入获取的验证码,单击“确定”,完成删除操作。
如果需要关闭操作保护,可以在账号的安全设置 > 敏感操作中关闭。也可以单击删除页面的“关闭操作保护”
- 如果密钥用于加密数据库服务DDS、RDS、NOSQL,在单击“确认”后,会弹出提示“正在被XXX服务使用,请确认是否删除”,如图 删除确认所示,需单击“确认删除”,确认后才能完成密钥删除操作。
取消计划删除密钥
该任务指导用户在未超出删除密钥的推迟时间,通过密钥管理界面对自定义密钥进行取消删除操作,取消删除后密钥处于“禁用”状态。
如果您想批量取消删除密钥,可以勾选所有需要取消删除的密钥,然后在列表左上角,单击“取消删除”。以下为您介绍如何取消单个密钥的计划删除。
- 在需要取消删除的密钥所在行的“操作”列,单击“取消删除”。
- 在弹出的窗口中,单击“确定”,完成取消删除单个密钥操作。
取消删除后密钥状态为“禁用”,如需启用密钥,请参见启用自定义密钥操作。
相关操作
- 各云服务使用KMS加密的方法,请参见使用KMS加密的云服务。
- 创建DEK、不含明文的DEK方法,具体请参见《数据加密服务API参考》的“创建数据密钥”与“创建不含明文数据密钥”章节。
- 用户应用程序的DEK加解密方法,具体请参见《数据加密服务API参考》的“加密数据密钥”与“解密数据密钥”章节。
