KMS軟件密鑰管理實(shí)例中的密鑰

請?jiān)谀繕?biāo)地域購買KMS軟件密鑰管理實(shí)例后，將密鑰通過備份恢復(fù)的方式遷移過去。以將A地域的KMS實(shí)例A中的密鑰，遷移到B地域的KMS實(shí)例B中為例進(jìn)行介紹。

1. 在B地域，創(chuàng)建并啟用KMS實(shí)例B。具體操作，請參見購買和啟用KMS實(shí)例。

2. 在A地域，備份實(shí)例A的數(shù)據(jù)。

   說明

   KMS在每個(gè)地域免費(fèi)提供一個(gè)備份實(shí)例，支持備份一個(gè)KMS軟件密鑰管理實(shí)例的數(shù)據(jù)。如果您備份多個(gè)KMS軟件密鑰管理實(shí)例，需要額外購買備份實(shí)例。

   1. 登錄密鑰管理服務(wù)控制臺，在頂部菜單欄選擇地域后，在左側(cè)導(dǎo)航欄單擊安全運(yùn)營 > 備份管理。

   2. 在備份管理頁面，定位到目標(biāo)備份實(shí)例，單擊操作列的啟用。

   3. 在啟用備份對話框中，備份KMS實(shí)例選擇實(shí)例A，備份別名輸入自定義別名，然后單擊確認(rèn)。

      說明

      備份數(shù)據(jù)約需要5分鐘的時(shí)間，實(shí)例中的資源越多，所需要的備份時(shí)間越長。

3. 將實(shí)例A的數(shù)據(jù)，恢復(fù)到實(shí)例B中。

   • 境內(nèi)數(shù)據(jù)恢復(fù)

     1. 頁面上方選擇地域A，在備份管理頁面，單擊備份實(shí)例操作列的查看數(shù)據(jù)。

     2. 在全量密鑰頁簽勾選您要遷移的密鑰，在頁面下方單擊批量恢復(fù)。

     3. 在恢復(fù)備份數(shù)據(jù)面板，選擇恢復(fù)到B地域的KMS實(shí)例B中，單擊確定。

   • 跨境數(shù)據(jù)恢復(fù)

     1. 頁面上方選擇地域A，在備份管理頁面，單擊備份實(shí)例操作列的下載。

     2. 選擇備份日期后，單擊確定，請保存數(shù)據(jù)加密KEY并下載備份數(shù)據(jù)。

     3. 在頁面上方選擇地域B，在在備份管理頁面，單擊上傳備份。

     4. 輸入數(shù)據(jù)解密KEY、備份名稱（自定義的備份別名）后，單擊確定選擇實(shí)例A的備份文件，完成上傳。

     5. 在備份列表中，定位到您上傳的備份文件，單擊操作列的查看數(shù)據(jù)。

     6. 在全量密鑰、增量密鑰、輪轉(zhuǎn)密鑰頁簽，單擊操作列的數(shù)據(jù)恢復(fù)，選擇恢復(fù)目標(biāo)實(shí)例后，單擊確定。

4. 修改應(yīng)用，調(diào)用B地域的KMS。

   操作類型	說明
   管控類操作	通過阿里云SDK實(shí)現(xiàn)，需要將endpoint修改為B地域的KMS服務(wù)Endpoint。KMS服務(wù)Endpoint，請參見地域和接入地址。
   密碼運(yùn)算操作	通過KMS實(shí)例SDK實(shí)現(xiàn)，您需要替換代碼中的ClientKey、實(shí)例CA證書等。 在B地域創(chuàng)建訪問KMS實(shí)例B的應(yīng)用接入點(diǎn)。具體操作，請參見創(chuàng)建應(yīng)用接入點(diǎn)。 說明 創(chuàng)建完成后，請您保存以下內(nèi)容： ClientKey文件：即應(yīng)用身份憑證內(nèi)容（ClientKeyContent），文件名默認(rèn)為clientKey_****.json。 ClientKey口令：即憑證口令（ClientKeyPassword），文件名默認(rèn)為clientKey_****_Password.txt。 KMS實(shí)例CA證書：文件名默認(rèn)為PrivateKmsCA_kst-******.pem。 修改代碼。 使用KMS實(shí)例B及新創(chuàng)建的ClientKey等內(nèi)容替換KMS實(shí)例SDK初始化參數(shù)。以KMS實(shí)例SDK for Java為例，初始化Client實(shí)例時(shí)，您需要修改如下內(nèi)容： clientKeyFilePath或clientKeyContent：替換為新的ClientKey文件。 clientKeyPass：替換為新的ClientKey口令。 endpoint：替換為KMS實(shí)例B的域名地址，格式為kst-hzz659dfeee864za2****.cryptoservice.kms.aliyuncs.com。 caCertPath或caCert：替換為KMS實(shí)例B的CA證書。

KMS硬件密鑰管理實(shí)例中的密鑰、非KMS實(shí)例中的密鑰

KMS不支持遷移這部分密鑰，請參考下述方案實(shí)現(xiàn)解除對源地域密鑰的依賴。

• 密鑰用途為加密解密（ENCRYPT/DECRYPT）

  不管您使用對稱密鑰，還是非對稱密鑰，整體流程類似。

  1. 在源地域?qū)?shù)據(jù)密文、數(shù)據(jù)密鑰密文全部解密。

  2. 將解密后的數(shù)據(jù)、數(shù)據(jù)密鑰遷移到目標(biāo)地域。

  3. 在目標(biāo)地域購買KMS實(shí)例，并使用KMS實(shí)例中的密鑰進(jìn)行加密。

     1. 購買并啟用KMS實(shí)例。具體操作，請參見產(chǎn)品選型、購買和啟用KMS實(shí)例。

     2. 使用KMS實(shí)例加密自建應(yīng)用的數(shù)據(jù)。具體操作，請參見使用KMS密鑰在線加密和解密數(shù)據(jù)、使用KMS密鑰進(jìn)行信封加密。

  4. 建議您在源地域先禁用密鑰，最終確認(rèn)密鑰沒有調(diào)用后，然后計(jì)劃刪除密鑰。具體操作，請參見禁用密鑰、計(jì)劃刪除密鑰。

• 密鑰用途為簽名驗(yàn)簽（SIGN/VERIFY）

  1. 在源地域下載主密鑰的公鑰，保存該公鑰直至不再需要使用該公鑰進(jìn)行簽名驗(yàn)證。

     登錄密鑰管理服務(wù)控制臺，參照下圖查看并保存公鑰。

  2. 在目標(biāo)地域購買并啟用KMS實(shí)例。具體操作，請參見產(chǎn)品選型、購買和啟用KMS實(shí)例。

  3. 在KMS實(shí)例中創(chuàng)建密鑰。具體操作，請參見軟件密鑰或硬件密鑰。

  4. 使用KMS實(shí)例SDK進(jìn)行簽名驗(yàn)簽。具體操作，請參見KMS實(shí)例SDK。

  5. 建議您在源地域先禁用密鑰，最終確認(rèn)密鑰沒有調(diào)用后，然后計(jì)劃刪除密鑰。具體操作，請參見禁用密鑰、計(jì)劃刪除密鑰。