是否可以导出用户主密钥？

不可以。为确保用户主密钥的安全，用户只能在KMS中创建，并通过API接口调用实现加密等操作，无法导出用户主密钥。

创建密钥时，若您选择密钥材料来源于天翼云，则KMS系统会自动为用户主密钥生成密钥材料，且密钥材料无法单独删除、不可导出，仅支持随用户主密钥一并删除；

创建密钥时，若您选择密钥材料来源于外部，则支持手动删除密钥材料。

哪些云服务支持密钥管理系统加密数据？

KMS服务无缝对接云硬盘、对象存储和弹性文件、数据库产品，提供服务端加密能力。您只需要在创建云硬盘时，勾选“加密”功能，则可一键开启硬盘加密功能，加密过程透明无感知。

产品底层通过信封加密的方式，实现云产品中数据的加密。

用户主密钥：是用户通过控制台或 API 来创建的用户主密钥。您可以对用户密钥进行创建/设置别名/上传自带密钥材料/启用/禁用/轮转/版本管理/删除等操作。用户主密钥按照标准资费进行计费。

默认主密钥：是用户首次通过云服务调用KMS实现加密时，由系统自动生成的主密钥，别名以云产品命名，如“alias/ecs”。不支持禁用/删除/轮转/上传自带密钥材料等操作。默认主密钥免费提供密钥管理服务，API调用费与用户主密钥一同统计收费。

不可以。被禁用的密钥无法用于加密和解密。若想继续使用密钥解密，则需将密钥变为启用中。

若用户主密钥被彻底删除，KMS将不再保留任何该密钥的数据，使用该密钥加密的数据将无法解密；

因此密钥管理不支持立即删除操作，仅支持计划删除，在用户设置的计划删除的期限到达时删除密钥，用户可以通过KMS界面取消计划删除用户主密钥。

若用户主密钥是通过KMS导入的密钥，且仅删除了密钥材料，则可以将本地备份的密钥材料再次导入原来的空密钥，回收用户数据。若密钥材料没有在本地备份，则无法回收用户数据。

对于对称密钥，暂不限制创建个数。对于非对称密钥，目前限制密钥的版本数量，即同一用户在同一资源池最多创建50个版本。