跨地域遷移密鑰
為便于更高效地為您提供優(yōu)質(zhì)服務(wù),部分老舊地域和可用區(qū)的基礎(chǔ)設(shè)置需要升級改造,如果您收到了部分地域升級遷移通知,請您及時(shí)遷移KMS的密鑰和憑據(jù)。本文介紹如何跨地域遷移密鑰。
云產(chǎn)品加密
根據(jù)云產(chǎn)品加密數(shù)據(jù)遷移方案完成數(shù)據(jù)遷移,具體請查看對應(yīng)云產(chǎn)品的官方文檔。
自建應(yīng)用加密
遷移前請先關(guān)閉密鑰輪轉(zhuǎn)功能。具體操作,請參見密鑰輪轉(zhuǎn)。
KMS軟件密鑰管理實(shí)例中的密鑰
請?jiān)谀繕?biāo)地域購買KMS軟件密鑰管理實(shí)例后,將密鑰通過備份恢復(fù)的方式遷移過去。以將A地域的KMS實(shí)例A中的密鑰,遷移到B地域的KMS實(shí)例B中為例進(jìn)行介紹。
在B地域,創(chuàng)建并啟用KMS實(shí)例B。具體操作,請參見購買和啟用KMS實(shí)例。
在A地域,備份實(shí)例A的數(shù)據(jù)。
說明KMS在每個(gè)地域免費(fèi)提供一個(gè)備份實(shí)例,支持備份一個(gè)KMS軟件密鑰管理實(shí)例的數(shù)據(jù)。如果您備份多個(gè)KMS軟件密鑰管理實(shí)例,需要額外購買備份實(shí)例。
登錄密鑰管理服務(wù)控制臺,在頂部菜單欄選擇地域后,在左側(cè)導(dǎo)航欄單擊 。
在備份管理頁面,定位到目標(biāo)備份實(shí)例,單擊操作列的啟用。
在啟用備份對話框中,備份KMS實(shí)例選擇實(shí)例A,備份別名輸入自定義別名,然后單擊確認(rèn)。
說明備份數(shù)據(jù)約需要5分鐘的時(shí)間,實(shí)例中的資源越多,所需要的備份時(shí)間越長。
將實(shí)例A的數(shù)據(jù),恢復(fù)到實(shí)例B中。
境內(nèi)數(shù)據(jù)恢復(fù)
頁面上方選擇地域A,在備份管理頁面,單擊備份實(shí)例操作列的查看數(shù)據(jù)。
在全量密鑰頁簽勾選您要遷移的密鑰,在頁面下方單擊批量恢復(fù)。
在恢復(fù)備份數(shù)據(jù)面板,選擇恢復(fù)到B地域的KMS實(shí)例B中,單擊確定。
跨境數(shù)據(jù)恢復(fù)
頁面上方選擇地域A,在備份管理頁面,單擊備份實(shí)例操作列的下載。
選擇備份日期后,單擊確定,請保存數(shù)據(jù)加密KEY并下載備份數(shù)據(jù)。
在頁面上方選擇地域B,在在備份管理頁面,單擊上傳備份。
輸入數(shù)據(jù)解密KEY、備份名稱(自定義的備份別名)后,單擊確定選擇實(shí)例A的備份文件,完成上傳。
在備份列表中,定位到您上傳的備份文件,單擊操作列的查看數(shù)據(jù)。
在全量密鑰、增量密鑰、輪轉(zhuǎn)密鑰頁簽,單擊操作列的數(shù)據(jù)恢復(fù),選擇恢復(fù)目標(biāo)實(shí)例后,單擊確定。
修改應(yīng)用,調(diào)用B地域的KMS。
操作類型
說明
管控類操作
通過阿里云SDK實(shí)現(xiàn),需要將endpoint修改為B地域的KMS服務(wù)Endpoint。KMS服務(wù)Endpoint,請參見地域和接入地址。
密碼運(yùn)算操作
通過KMS實(shí)例SDK實(shí)現(xiàn),您需要替換代碼中的ClientKey、實(shí)例CA證書等。
在B地域創(chuàng)建訪問KMS實(shí)例B的應(yīng)用接入點(diǎn)。具體操作,請參見創(chuàng)建應(yīng)用接入點(diǎn)。
說明創(chuàng)建完成后,請您保存以下內(nèi)容:
ClientKey文件:即應(yīng)用身份憑證內(nèi)容(ClientKeyContent),文件名默認(rèn)為
clientKey_****.json
。ClientKey口令:即憑證口令(ClientKeyPassword),文件名默認(rèn)為
clientKey_****_Password.txt
。KMS實(shí)例CA證書:文件名默認(rèn)為PrivateKmsCA_kst-******.pem。
修改代碼。
使用KMS實(shí)例B及新創(chuàng)建的ClientKey等內(nèi)容替換KMS實(shí)例SDK初始化參數(shù)。以KMS實(shí)例SDK for Java為例,初始化Client實(shí)例時(shí),您需要修改如下內(nèi)容:
clientKeyFilePath
或clientKeyContent
:替換為新的ClientKey文件。clientKeyPass
:替換為新的ClientKey口令。endpoint
:替換為KMS實(shí)例B的域名地址,格式為kst-hzz659dfeee864za2****.cryptoservice.kms.aliyuncs.com
。caCertPath
或caCert
:替換為KMS實(shí)例B的CA證書。
KMS硬件密鑰管理實(shí)例中的密鑰、非KMS實(shí)例中的密鑰
KMS不支持遷移這部分密鑰,請參考下述方案實(shí)現(xiàn)解除對源地域密鑰的依賴。
密鑰用途為加密解密(ENCRYPT/DECRYPT)
不管您使用對稱密鑰,還是非對稱密鑰,整體流程類似。
在源地域?qū)?shù)據(jù)密文、數(shù)據(jù)密鑰密文全部解密。
將解密后的數(shù)據(jù)、數(shù)據(jù)密鑰遷移到目標(biāo)地域。
在目標(biāo)地域購買KMS實(shí)例,并使用KMS實(shí)例中的密鑰進(jìn)行加密。
購買并啟用KMS實(shí)例。具體操作,請參見產(chǎn)品選型、購買和啟用KMS實(shí)例。
使用KMS實(shí)例加密自建應(yīng)用的數(shù)據(jù)。具體操作,請參見使用KMS密鑰在線加密和解密數(shù)據(jù)、使用KMS密鑰進(jìn)行信封加密。
建議您在源地域先禁用密鑰,最終確認(rèn)密鑰沒有調(diào)用后,然后計(jì)劃刪除密鑰。具體操作,請參見禁用密鑰、計(jì)劃刪除密鑰。
密鑰用途為簽名驗(yàn)簽(SIGN/VERIFY)
在源地域下載主密鑰的公鑰,保存該公鑰直至不再需要使用該公鑰進(jìn)行簽名驗(yàn)證。
登錄密鑰管理服務(wù)控制臺,參照下圖查看并保存公鑰。
在目標(biāo)地域購買并啟用KMS實(shí)例。具體操作,請參見產(chǎn)品選型、購買和啟用KMS實(shí)例。
使用KMS實(shí)例SDK進(jìn)行簽名驗(yàn)簽。具體操作,請參見KMS實(shí)例SDK。
建議您在源地域先禁用密鑰,最終確認(rèn)密鑰沒有調(diào)用后,然后計(jì)劃刪除密鑰。具體操作,請參見禁用密鑰、計(jì)劃刪除密鑰。
非KMS實(shí)例中的密鑰,具體是指哪些?
登錄密鑰管理服務(wù)控制臺,在頂部菜單欄選擇地域信息后,單擊密鑰管理頁面,所有在默認(rèn)密鑰頁簽中展示的即非KMS實(shí)例中的密鑰。
如果您使用的是KMS 3.0版本,默認(rèn)密鑰頁簽會展示一個(gè)主密鑰,多個(gè)服務(wù)密鑰。如果您使用的舊版本KMS,默認(rèn)密鑰頁簽會展示您所有的主密鑰(即下圖紅框中的主密鑰),但這些密鑰您在新版控制臺僅可查看,如您需要修改密鑰屬性,請返回舊版控制臺操作。