購買和啟用KMS實例
KMS實例提供密鑰和憑據(jù)相關功能,您可以使用密鑰對敏感數(shù)據(jù)加解密,使用憑據(jù)減少在代碼中硬編碼憑據(jù)帶來的風險,增強業(yè)務數(shù)據(jù)的安全性。本文介紹如何購買和啟用KMS實例。
概述
選購前請您先了解KMS的規(guī)格和業(yè)務組件,基于您的業(yè)務場景、安全合規(guī)要求選擇合適的規(guī)格。詳細信息,請參見產(chǎn)品選型。
步驟一:購買KMS實例
登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側(cè)導航欄單擊 。
在實例管理頁面單擊創(chuàng)建實例,選擇要購買的KMS實例規(guī)格,單擊立即購買。
配置項
說明
密鑰管理類型
KMS實例類型。可選項:
軟件密鑰管理:支持構建專屬您的密鑰存儲庫,提供數(shù)據(jù)加解密的能力,同時提供密鑰生命周期管理。
硬件密鑰管理:支持管理您購買的阿里云上密碼機集群的密鑰,幫助您快速構建云上安全密鑰管理中心。
外部密鑰管理:支持基于您在阿里云外的密鑰管理設備或系統(tǒng)中的密鑰,構建您在阿里云上數(shù)據(jù)加密解密的密鑰管理中心。
說明目前僅支持江南天安密碼機,如您需要管理其他品牌密碼機,請聯(lián)系我們。
密鑰增值服務:包含實例的備份恢復功能,以及默認密鑰輪轉(zhuǎn)功能。詳細內(nèi)容,請參見備份管理、默認密鑰輪轉(zhuǎn)。
地域
KMS實例所在地域。更多信息,請參見地域和接入地址。
計算性能
KMS實例的計算性能。關于性能數(shù)據(jù)的詳細介紹,請參見性能數(shù)據(jù)。
軟件密鑰管理實例:計算性能不能滿足業(yè)務要求時,請聯(lián)系我們,為您申請計算性能為10,000或20,000的軟件密鑰管理實例。
外部密鑰管理實例:計算性能僅支持1000。
密鑰數(shù)量
KMS實例允許創(chuàng)建的最大密鑰數(shù)量。
憑據(jù)數(shù)量
KMS實例允許創(chuàng)建的最大憑據(jù)數(shù)量。
訪問管理數(shù)量
包含實例關聯(lián)的VPC數(shù)量,以及資源使用者的數(shù)量。默認值為1個。
例如,您的KMS實例需要關聯(lián)3個VPC,并共享給2個資源使用者,那么訪問管理數(shù)量配額最少為5才能滿足業(yè)務需求。
日志分析
是否開啟日志分析功能。詳細內(nèi)容,請參見日志服務概述。
日志存儲容量
最小為1000 GB,以1000 GB為單位遞增。如何評估容量,請參見如何計算所需的日志存儲容量。
購買數(shù)量
根據(jù)需要選擇KMS實例數(shù)量。
重要通常您只需購買1個KMS實例,如需購買多個KMS實例,請聯(lián)系我們。
購買時長
根據(jù)需要選擇購買時長。
說明您可以選中到期自動續(xù)費,當前KMS實例到期后將自動續(xù)費。
仔細閱讀并勾選服務協(xié)議,單擊去支付完成購買。
購買成功后,您需要等待1~5分鐘,即可在實例管理頁面看到您購買的KMS實例。
步驟二:啟用KMS實例
購買KMS實例后,您需要先啟用實例,才可以使用該KMS實例提供的密鑰管理、憑據(jù)管理功能。
啟用軟件密鑰管理實例
前提條件
確保有1個VPC和1個交換機。
建議您先登錄專有網(wǎng)絡管理控制臺,查看已有的VPC、交換機以及交換機所在的可用區(qū),然后再啟用KMS實例。也可以新創(chuàng)建VPC和交換機,具體操作,請參見創(chuàng)建專有網(wǎng)絡和交換機或創(chuàng)建交換機。
使用阿里云中國站賬號購買非中國內(nèi)地的KMS實例,或者使用阿里云國際站賬號購買中國內(nèi)地的KMS實例,需要手動開通云解析PrivateZone。具體操作,請參見開通PrivateZone。
說明使用阿里云中國站賬號購買中國內(nèi)地的KMS實例,或者使用阿里云國際站賬號購買非中國內(nèi)地的KMS實例時,阿里云會自動開通PrivateZone,無需您手動開通。
KMS實例域名解析產(chǎn)生的費用由KMS承擔,您無需向云解析PrivateZone付費。
操作步驟
登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側(cè)導航欄單擊 。
在軟件密鑰管理頁簽,定位到目標KMS軟件密鑰管理實例,單擊操作列的啟用。
在啟用KMS實例面板,完成各項配置后單擊立即啟用。
配置項
說明
雙可用區(qū)
選擇兩個可用區(qū)。通過雙可用區(qū)負載均衡,提高服務可用性與容災能力。
專有網(wǎng)絡
KMS實例所在地域下的專有網(wǎng)絡ID。
交換機
選擇雙可用區(qū)下的1個交換機,并且該交換機至少有1個可用IP。
請等待約30分鐘,然后刷新頁面,當狀態(tài)變更為已啟用時,表示KMS軟件密鑰管理實例啟用成功。
啟用硬件密鑰管理實例
前提條件
已配置可供KMS實例連接的密碼機集群。具體操作,請參見配置KMS硬件密鑰管理實例的密碼機集群。
使用阿里云中國站賬號購買非中國內(nèi)地的KMS實例,或者使用阿里云國際站賬號購買中國內(nèi)地的KMS實例,需要手動開通云解析PrivateZone。具體操作,請參見開通PrivateZone。
說明使用阿里云中國站賬號購買中國內(nèi)地的KMS實例,或者使用阿里云國際站賬號購買非中國內(nèi)地的KMS實例時,阿里云會自動開通PrivateZone,無需您手動開通。
KMS實例域名解析產(chǎn)生的費用由KMS承擔,您無需向云解析PrivateZone付費。
確保KMS實例所屬的VPC下有2個交換機。
(推薦)使用密碼機實例綁定的2個交換機:您無需創(chuàng)建交換機,只需要確保每個交換機下預留4個可用IP。
不使用密碼機實例綁定的2個交換機:您需要創(chuàng)建2個交換機,2個交換機在不同可用區(qū),每個交換機需要預留4個可用IP。具體操作,請參見創(chuàng)建交換機。
您可以登錄專有網(wǎng)絡管理控制臺,在交換機頁面單擊目標交換機,在詳情頁面查看可用IP數(shù)。
操作步驟
登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側(cè)導航欄單擊 。
單擊硬件密鑰管理頁簽,定位到目標KMS硬件密鑰管理實例,單擊操作列的啟用。
在連接密碼機面板,完成各項配置后,單擊連接密碼機指定密碼機集群。
配置項
說明
指定密碼機集群
選擇您在加密服務中配置的密碼機集群。
說明一個KMS硬件密鑰管理實例只能綁定一個密碼機集群。
配置密碼機訪問憑據(jù)
KMS硬件密鑰管理實例與密碼機連接時采用雙向TLS認證,需要配置客戶端證書(帶保護口令的PKCS12格式證書)和安全域證書(為密碼機集群簽發(fā)TLS服務端證書的CA證書,為PEM格式)。關于證書如何生成,請參見為密碼機實例創(chuàng)建雙向TLS認證。
客戶端保護口令:您在生成客戶端證書
client.p12
時設置的保護口令。如果是使用證書文件生成工具(hsm_certificate_generate)生成,默認為12345678
。客戶端證書:PKCS12格式證書。單擊選擇文件,選擇已生成的
client.p12
文件進行上傳。安全域證書:PEM格式CA證書。單擊選擇文件,選擇已生成的
rootca.pem
文件進行上傳。
雙可用區(qū)
選擇兩個可用區(qū)。通過雙可用區(qū)負載均衡,提高服務可用性與容災能力。
專有網(wǎng)絡
KMS實例所在地域下的專有網(wǎng)絡ID。
交換機
選擇交換機ID,交換機下需要預留4個可用IP。
交換機
選擇交換機ID,交換機下需要預留4個可用IP。
如果購買實例時選擇了憑據(jù)數(shù)量,請等待約30分鐘,然后刷新頁面。如果未選擇憑據(jù)數(shù)量,請等待約10分鐘,然后刷新頁面。當狀態(tài)變更為已啟用時,表示KMS硬件密鑰管理實例啟用成功。
啟用外部密鑰管理實例
前提條件
已購買了云外密碼機,并配置了XKI Proxy外部代理。具體操作,請咨詢您的密碼機服務商。
說明XKI Proxy服務器的詳細信息,請參見XKI Proxy服務器。
KMS支持通過公網(wǎng)或VPC終端節(jié)點與XKI Proxy外部代理建立連接。如果通過VPC終端節(jié)點建立連接,請先創(chuàng)建終端節(jié)點服務。具體操作,請參見創(chuàng)建和管理終端節(jié)點服務。創(chuàng)建終端節(jié)點時需要注意以下幾點:
終端節(jié)點服務的兩個可用區(qū),需要與啟動KMS實例所選擇的可用區(qū)保持一致。
需要將當前阿里云賬號,添加到終端節(jié)點服務的白名單中。
終端節(jié)點服務的是否自動接受連接需要設置為是。
操作步驟
登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側(cè)導航欄單擊 。
單擊外部密鑰管理頁簽,定位到目標實例,單擊操作列的啟用。
在連接密碼機面板,完成各項配置后,單擊連接密碼機指定密碼機集群。
配置項
說明
雙可用區(qū)
選擇兩個可用區(qū)。通過雙可用區(qū)負載均衡,提高服務可用性與容災能力。
專有網(wǎng)絡
KMS實例所在地域下的專有網(wǎng)絡ID。
交換機
選擇交換機ID,交換機下需要預留1個可用IP。
外部代理連接
公網(wǎng)接入:KMS實例使用公網(wǎng)與XKI Proxy外部代理連接。
VPC終端節(jié)點服務:KMS實例使用VPC終端節(jié)點服務與XKI Proxy外部代理連接。
外部代理域名地址
僅當外部代理連接選擇公網(wǎng)接入時,需要輸入XKI Proxy外部代理的域名地址。
終端節(jié)點服務
僅當外部代理連接選擇VPC終端節(jié)點服務時,需要選擇終端節(jié)點服務。
啟動KMS實例所選擇可用區(qū)務必與終端節(jié)點服務可用區(qū)保持一致。
配置外部代理
手動配置:手動配置外部代理路徑、業(yè)務服務證書指紋、XKI Proxy代理的AccessKey ID、AccessKey Secret。
上傳配置文件:通過上傳文件進行配置。
如果購買實例時選擇了憑據(jù)數(shù)量,請等待約30分鐘,然后刷新頁面。如果未選擇憑據(jù)數(shù)量,請等待約10分鐘,然后刷新頁面。當狀態(tài)變更為已啟用時,表示KMS外部密鑰管理實例啟用成功。