开通密钥管理服务后,您可以在控制台轻松地创建不同类型的密钥,以满足各类业务场景的需求。同时密钥集中托管在KMS服务中,便于统一管理,满足安全与合规要求。
前提条件
- 已开通密钥管理服务。
快速接入流程
步骤一:创建应用接入点
- 登录密钥管理服务控制台。
- 在页面最上方的导航栏选择服务所在的区域。
- 进入“应用接入点”页面,点击创建应用接入点。
- 在弹出的创建对话框,根据页面提示进行配置。
配置项说明:
| 配置项 | 说明 |
|---|---|
| 应用接入点名称 | 自定义名称 |
| 企业项目 | 选择所属的企业项目 |
| 虚拟私有云 | 选择当前低于下的虚拟私有云(Virtual Private Cloud,VPC) 说明:此处对应的是您应用所在的虚拟私有云(VPC),即需要联通KMS服务的虚拟私有云(VPC)。 |
| 子网 | 选择当前VPC内子网。 |
- 创建成功后,您可以在应用接入点列表获取“服务端地址”,后续集成SDK时需要。
- 点击列表操作列“管理AccessKEY”,创建AKSK。
- 访问凭证创建成功后,请在弹窗中复制或下载该访问凭证。
步骤二:创建密钥
- 在密钥列表的“用户主密钥”中,单击 创建密钥 ,在弹出的创建密钥对话框,根据页面提示进行配置;
配置项说明
配置项
说明
密钥类型
取值:
对称密钥类型:
AES_256
Ctyun_SM4
非对称密钥类型:
RSA_2048
Ctyun_SM2
密钥用途
取值:
Encrypt/Decrypt:数据加密和解密。
Sign/Verify:产生和验证数字签名。
说明:对称密钥不支持Sign/Verify用途。
别名
用户主密钥的可选标识。
更多操作,请参见别名管理。
保护级别
取值:
Software:通过软件模块对密钥进行保护。
Hsm:将密钥托管在密码机中,使密钥获得高安全等级的专用硬件的保护。
描述
密钥的说明信息。
轮转周期
自动轮转的时间周期。取值:
不开启:不开启轮转
30天
90天
180天
自定义:7~730天
说明:仅对称密钥(AES_256、Ctyun_SM4)支持设置自动轮转周期。
密钥材料来源
取值:
天翼云KMS:密钥材料将由KMS生成。
外部:KMS将不会生成密钥材料,您需要将自己的密钥材料导入KMS。更多信息,请参见导入密钥材料。
说明:仅对称密钥的AES_256支持设置导入密钥材料。
企业项目 选择密钥归属的企业项目,默认为default。
- 点击确定,完成密钥创建。您可以在密钥列表查看密钥ID、密钥状态、密钥类型、密钥用途、密钥保护级别等信息。
步骤三:使用密钥
您可以将创建的密钥集成到自建应用中,实现应用层的密码技术改造。同时可用于已集成KMS服务的云产品中,满足云产品服务端加密。
- 自建应用集成KMS实现密码技术改造
KMS服务提供极简的OpenAPI,您可以轻松实现调用,用于数据加解密、签名验签等场景;
具体调用方式,请参见API参考。
KMS提供SDK,方便用户集成,并通过私网服务地址访问KMS服务。
具体调用方式,请参见SDK参考。
- 云产品集成KMS密钥实现服务端加密
当前KMS服务已为云硬盘、对象存储、弹性文件、关系数据库MySQL版产品提供服务端加密能力,您在创建云资源时,可一键开启加密,加密过程透明无感知。更多信息,请参见云产品服务端加密。
