华为云用户手册

约束条件 用户最多可创建200个凭据。 默认使用凭据管理为您创建的默认密钥“csms/default”作为当前凭据的加密密钥。您也可以前往KMS服务页面创建自定义对称密钥，并使用自定义加密密钥。 RDS凭据支持的数据库引擎为：MySQL。 TaurusDB凭据支持选择TaurusDB类型数据库。 首次开启轮转时，当用户确认授权后， CS MS会在当前区域当前项目下，帮助用户自动创建委托授权。因此，用户需要确认账号拥有 IAM 相关权限：iam:permissions:grantRoleToAgencyOnProject、iam:agencies:listAgencies、iam:roles:listRoles、iam:agencies:createAgency、iam:permissions:checkRoleForAgencyOnProject、iam:roles:createRole。 根据轮转凭据类型不同，创建的委托不同： RDS凭据 创建一个名为C SMS AccessFunctionGraph的委托 ，账号是op_svc_kms，权限名称是CSMSAccessFunctionGraph，使用项目级服务策略，包含 函数工作流 服务（FunctionGraph）的同步执行函数的权限（functiongraph:function:invoke）。 创建一个名为FunctionGraphAgencyForRotateRDSByCSMSV3委托 ，云服务是FunctionGraph，权限名称是FunctionGraphAgencyForRotateRDSByCSMSV3，使用项目级服务策略，包含： 凭据管理服务（CSMS）的相关权限：csms:secret:getVersion、csms:secret:listVersion、csms:secret:createVersion、csms:secret:getStage、csms:secret:get、csms:secret:updateStage。 虚拟私有云云服务（VPC）的相关权限：vpc:ports:create、vpc:vpcs:get、vpc:ports:get、vpc:ports:delete、vpc:subnets:get。 密钥管理服务（KMS）的相关权限：kms:cmk:createDataKey、kms:cmk:decryptDataKey。 云数据库（RDS）的相关权限：rds:password:update。 TaurusDB凭据 创建一个名为CSMSAccessFunctionGraph的委托 ，账号是op_svc_kms，权限名称是CSMSAccessFunctionGraph，使用项目级服务策略，包含函数工作流服务（FunctionGraph）的同步执行函数的权限（functiongraph:function:invoke）。 创建一个名为FunctionGraphAgencyForRotate GaussDB ByCSMSV3委托 ，云服务是FunctionGraph，权限名称是FunctionGraphAgencyForRotateGaussDBByCSMSV3，使用项目级服务策略，包含： 凭据管理服务（CSMS）的相关权限：csms:secretVersion:get、csms:secretVersion:list、csms:secretVersion:create、csms:secretStage:get、csms:secret:get、csms:secretStage:update。 虚拟私有云云服务（VPC）的相关权限：vpc:ports:create、vpc:vpcs:get、vpc:ports:get、vpc:ports:delete、vpc:subnets:get。 密钥管理服务（KMS）的相关权限：kms:dek:create、kms:dek:decrypt。 云数据库TaurusDB的相关权限：gaussdb:user:modify。

双用户轮转 双用户轮转多用于轮转频次较高、轮转可靠性要求高的账号，托管两个相同权限的账号，每次轮转SYSPREVIOUS的凭据版本，保证密码重置切换的瞬间，程序访问不被中断。在轮转时先将新版本的凭据改为SYSPENDING状态，通过调用RDS接口重置密码，重置完成后新版本凭据的SYSPENDING状态会改为SYSCURRENT，之前SYSCURRENT状态的凭据变为SYSPREVIOUS，即视为完成整个轮转流程。 在创建时选择或者新建两个数据库账户作为凭据值储存 两个凭据值交替轮转，用户每次都是去获取的SYSCURRENT的凭据值

轮转凭据使用流程 流程说明： 创建一个轮转凭据。 设置凭据名称、标签等。 配置自动轮转策略。 应用系统在使用过程中需要访问数据库时，可以向CSMS服务请求访问凭据，获取凭据值，调用API接口详情请参见查询凭据版本和凭据值。 应用系统通过访问返回的凭据值解析明文数据，获取账号和密码后，可以访问该用户对应的目标数据库。 开启自动轮转后，数据库实例所托管的密码将定时轮转更新，请确认使用该数据库实例的应用端已完成代码适配，可在数据库连接建立时，动态获取最新凭据。 不要轻易缓存凭据中的任何信息，避免账号密码轮转后失效，导致数据库连接失败。

使用限制 单账号跟踪的事件可以通过 云审计 控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的 CTS /system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到 对象存储服务 (OBS)或 云日志 服务(LTS)，才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。 云审计控制台对用户的操作事件日志保留7天，过期自动删除，不支持人工删除。

开启操作保护 登录管理控制台。 在“控制台”页面右上方的用户名处，在下拉列表中选择“安全设置”。 图1 安全设置 进入“安全设置”页面，单击“敏感操作”进入页面。在“操作保护”行，单击“立即启用”。 进入“操作保护设置”页面，选择“开启”，单击“确定”后，开启操作保护。 开启后，您以及账号中的IAM用户进行敏感操作时，例如查看凭据值、删除密钥等，需要输入验证码进行验证，避免误操作带来业务风险与损失。 用户如果进行敏感操作，将进入“操作保护”页面，选择认证方式，包括邮箱、手机和虚拟MFA三种认证方式。 如果用户只绑定了手机，则认证方式只能选择手机。 如果用户只绑定了邮箱，则认证方式只能选择邮件。 如果用户未绑定邮箱、手机和虚拟MFA，进行敏感操作时，华为云将提示用户绑定邮箱、手机或虚拟MFA。 如需修改验证手机、邮箱、虚拟MFA设备，请在账号中修改。

标签策略简介 标签策略是策略的一种类型，可帮助您在组织账号中对资源添加的标签进行标准化管理。标签策略对未添加标签的资源或未在标签策略中定义的标签不会生效。 例如：标签策略规定为某资源添加的标签A，需要遵循标签策略中定义的大小写规则和标签值。如果标签A使用的大小写、标签值不符合标签策略，则资源将会被标记为不合规。 标签策略有如下两种应用方式： 1. 事后检查 —— 资源标签如果违反标签策略，则在资源在合规性结果中显示为不合规。 2. 事前拦截 —— 标签策略开启强制执行后，则会阻止在指定的资源类型上完成不合规的标记操作。

标签命名规则 每个标签由一对键值对（Key-Value）组成。 每个 数据加密 服务资源最多可以添加20个标签。 对于每个资源，每个标签键（Key）都必须是唯一的，每个标签键（Key）只能有一个值（Value）。 标签共由两部分组成：“标签键”和“标签值”，其中，“标签键”和“标签值”的命名规则如表 标签参数说明所示。 标签以键值对的形式表示，用于标识存储库，便于对存储库进行分类和搜索。此处的标签仅用于存储库的过滤和管理。一个存储库最多添加10个标签。 如您的组织已经设定数据加密服务的相关标签策略，则需按照标签策略规则为密钥、凭据等添加标签。标签如果不符合标签策略的规则，则可能会导致密钥、凭据创建失败，请联系组织管理员了解标签策略详情。 表1 标签参数说明 参数 规则 样例 标签键 必填。 对于同一个自定义密钥，标签键唯一。 长度不超过128个字符。 首尾不能包含空格。 不能以_sys_开头。 可以包含以下字符： 中文 英文 数字 空格 特殊字符_.:=+-@ cost 标签值 可以为空。 长度不超过255个字符。 可以包含以下字符： 中文 英文 数字 空格 特殊字符_.:=+-@ 100

密钥所有者和接受者权限说明 密钥所有者可以对密钥执行任何操作，接受者仅可以执行部分操作，接受者支持的操作说明如表 密钥接受者支持的操作列表所示。 表1 密钥接受者支持的操作列表 角色 支持的操作 操作说明 接受者 kms:cmk:get 通过控制台或API进行访问 kms:cmk:createDataKey 仅能通过API访问 kms:cmk:createDataKeyWithoutPlaintext 仅能通过API访问 kms:cmk:encryptDataKey 仅能通过API访问 kms:cmk:decryptDataKey 仅能通过API访问 kms:cmk:encryptData 通过控制台或API进行访问 kms:cmk:decryptData 通过控制台或API进行访问 kms:cmk:sign 仅能通过API访问 kms:cmk:verify 仅能通过API访问 kms:cmk:generateMac 仅能通过API访问 kms:cmk:verifyMac 仅能通过API访问 kms:cmk:getPublicKey 通过控制台或API进行访问 kms:cmk:getRotation 通过控制台或API进行访问 kms:cmk:getTags 通过控制台或API进行访问

数据加密服务监控指标 表1 密钥管理支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） delkey_remaing_time 密钥剩余时间 该指标表示计划删除状态的密钥距离被删除还剩下的时间 ≥ 0 小时 密钥 5分钟 matrial_remaing_time 密钥材料的剩余有效时间 该指标表示外部导入的密钥材料的剩余有效时间 ≥ 0 小时 密钥 5分钟 charge_access_count 计费请求次数 该指标表示所有计费请求次数 ≥ 0 小时 密钥 5分钟 表2 凭据管理支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） del_secret_remaining_time 计划删除凭据剩余时间 该指标表示计划删除凭据的剩余时间 ≥ 0 小时 凭据 5分钟

相关操作 对象存储服务中对象的服务端加密方法，具体请参见《对象存储服务控制台指南》的“使用服务端加密方式上传文件”章节。 云硬盘中数据加密方法，具体请参见《云硬盘用户指南》的“购买云硬盘”章节。 私有镜像的加密方法，具体请参见《 镜像服务 用户指南》的“加密镜像”章节。 云数据库中数据库实例的磁盘加密方法，具体请参见《云数据库RDS快速入门》的“购买实例”章节。 创建DEK、不含明文的DEK方法，具体请参见《数据加密服务API参考》的“创建数据密钥”与“创建不含明文数据密钥”章节。 用户应用程序的DEK加解密方法，具体请参见《数据加密服务API参考》的“加密数据密钥”与“解密数据密钥”章节。

约束条件 用户最多可创建100个自定义密钥，不包含默认密钥。创建副本密钥会占用该区域自定义密钥配额。 创建的对称密钥使用的是AES算法密钥，AES-256密钥可用于小量数据的加解密或用于加解密数据密钥，HMAC密钥用于数据完成性校验。 创建的非对称密钥使用的是RSA密钥或ECC密钥，RSA密钥可用于加解密、数字签名及验签，ECC密钥仅用于数字签名及验签。 因为默认密钥的别名后缀为“/default”，所以用户创建的密钥别名后缀不能为“/default”。 通过API接口方式调用KMS密钥时，每月每个密钥可免费调用20000次。。

DEW自定义策略样例 示例：授权用户创建密钥 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "kms:cmk:create", "kms:cmk:getMaterial", "kms:cmkTag:create", "kms:cmkTag:batch", "kms:cmk:importMaterial" ] } ] }

约束条件 购买专属加密实例时，需要通过提交工单的方式设置“UKey接收信息”。只有拥有“Ticket Administrator”权限的账号才可以提交工单。 购买铂金版（国内）专属加密实例成功后，华为 云安全 专家会联系您。您可以提供Ukey收件地址，华为云会通过您提供的地址将配套的Uke邮寄给您。 铂金版（国内）专属加密实例仅支持包年/包月付费方式，购买后不能直接删除。 为了保障业务的高可靠性，您需要至少购买两个及以上专属加密实例，一个专属加密实例仅适用于测试，如需购买一个专属加密实例请联系华为云安全专家。

约束条件 标准版专属加密实例仅支持包年/包月付费方式，购买后不能直接删除。 为了保障业务的高可靠性，您需要至少购买两个及以上专属加密实例，一个专属加密实例仅适用于测试，如需购买一个专属加密实例请联系华为云安全专家。 购买专属加密实例时，需要通过提交工单的方式设置“UKey接收信息”。 购买成功后，华为云将按照您提供的Ukey收件地址将规划的Ukey邮寄给您，您可以使用Ukey初始化并授权您的业务APP访问专属加密实例。 同时，您需要激活专属加密实例，激活后，系统会为您分配符合您业务需求的专属加密实例。

前提条件 在实例化专属加密实例后，用户需要获取以下信息，初始化专属加密实例、安装安全代理软件并授权。 表1 信息获取 名称 说明 来源 Ukey 保存专属加密实例的权限管理信息。 订单付款后，且实例化专属加密实例成功后，由专属加密服务邮寄到您的Ukey收件地址。 专属加密实例管理工具 配合Ukey，远程管理专属加密实例。 安全专家会通过您提供的联系方式联系您，将配套的软件和相关指导文档发送给您。 专属加密实例配套文档 《专属加密实例用户手册》和《专属加密实例安装手册》。 安全代理软件 与专属加密实例建立安全通道。 SDK 用于提供专属加密实例的API接口，用户通过调用SDK与专属加密实例建立安全连接。 专属加密实例管理节点（例如：ECS） 运行专属加密实例管理工具，与专属加密实例处于同一VPC，并分配弹性IP地址用于远程连接。 请您根据自己的需要进行购买，详细操作请参见购买弹性云服务器。 业务APP节点（例如：ECS） 运行安全代理软件和用户的业务APP，与专属加密实例处于同一VPC。

Tenant Guest系统角色说明 如果您已为IAM子账号配置了Tenant Guest系统角色权限时，除了拥有全部云服务只读权限外（除IAM），由于历史原因，还会额外拥有以下KMS相关的操作权限： kms:cmk:create：创建密钥 kms:cmk:createDataKey：创建数据密钥 kms:cmk:createDataKeyWithoutPlaintext：创建不含明文数据密钥 kms:cmk:encryptDataKey：加密数据密钥 kms:cmk:decryptDataKey：解密数据密钥 kms:cmk:retireGrant：退役授权 kms:cmk:decryptData：解密数据 kms:cmk:encryptData：加密数据 kms::generateRandom：生成随机数 如果您想为某个IAM子账号配置Tenant Guest系统角色权限，但不想拥有上述权限，您需要额外为该IAM子用户配置自定义的拒绝策略。配置自定义策略请参考DEW自定义策略。

示例流程 图1 给用户授权DEW权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予加密密钥所有权限“KMS CMKFullAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限。 在“服务列表”中选择数据加密服务，进入DEW主界面，选择“密钥对管理”，如果提示权限不足，表示“KMS CMKFullAccess”已生效。 在“服务列表”中选择除数据加密服务外的任一服务，如果提示权限不足，表示“KMS CMKFullAccess”已生效。

前提条件 给用户组授权之前，请您了解用户组可以添加的DEW权限，并结合实际需求进行选择，DEW支持的系统权限如表 KMS系统策略、表 KPS系统策略、表 CSMS系统策略所示。 如果您需要对除DEW之外的其它服务授权，IAM支持服务的所有权限请参见系统权限。 表1 KMS系统策略 系统角色/策略名称 描述 类别 依赖关系 KMS Administrator 密钥管理服务(KMS)管理员，拥有该服务下的所有权限。 系统角色 无 KMS CMKFullAccess 密钥管理服务(KMS)的加密密钥所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 KMS CMKReadOnlyAccess 密钥管理服务(KMS)的加密密钥只读权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 表2 KPS系统策略 系统角色/策略名称 描述 类别 依赖关系 DEW KeypairFullAccess 数据加密服务中密钥对管理服务(KPS)的所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 DEW KeypairReadOnlyAccess 数据加密服务中密钥对管理服务(KPS)的查看权限。拥有该权限的用户仅能查看密钥对管理服务(KPS)数据。 系统策略 无 表3 CSMS系统策略 系统角色/策略名称 描述 类别 依赖关系 CSMS FullAccess 数据加密服务中凭据管理服务(CSMS)的所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 CSMS ReadOnlyAccess 数据加密服务中凭据管理服务(CSMS)的只读权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 表4列出了DEW常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表4 常用操作与系统权限的关系 操作 KMS Administrator KMS CMKFullAccess DEW KeypairFullAccess DEW KeypairReadOnlyAccess 创建密钥 √ √ x x 启用密钥 √ √ x x 禁用密钥 √ √ x x 计划删除密钥 √ √ x x 取消计划删除密钥 √ √ x x 修改密钥别名 √ √ x x 修改密钥描述 √ √ x x 创建随机数 √ √ x x 创建数据密钥 √ √ x x 创建不含明文数据密钥 √ √ x x 加密数据密钥 √ √ x x 解密数据密钥 √ √ x x 获取密钥导入参数 √ √ x x 导入密钥材料 √ √ x x 删除密钥材料 √ √ x x 创建授权 √ √ x x 撤销授权 √ √ x x 退役授权 √ √ x x 查询授权列表 √ √ x x 查询可退役授权列表 √ √ x x 加密数据 √ √ x x 解密数据 √ √ x x 签名消息 √ √ x x 验证签名 √ √ x x 开启密钥轮换 √ √ x x 修改密钥轮换周期 √ √ x x 关闭密钥轮换 √ √ x x 查询密钥轮换状态 √ √ x x 查询密钥实例 √ √ x x 查询密钥标签 √ √ x x 查询项目标签 √ √ x x 批量添加删除密钥标签 √ √ x x 添加密钥标签 √ √ x x 删除密钥标签 √ √ x x 查询密钥列表 √ √ x x 查询密钥信息 √ √ x x 查询公钥信息 √ √ x x 查询实例数 √ √ x x 查询配额 √ √ x x 查询密钥对列表 x x √ √ 创建或导入密钥对 x x √ x 查询密钥对 x x √ √ 删除密钥对 x x √ x 更新密钥对描述 x x √ x 绑定密钥对 x x √ x 解绑密钥对 x x √ x 查询绑定任务信息 x x √ √ 查询失败的任务 x x √ √ 删除所有失败的任务 x x √ x 删除失败的任务 x x √ x 查询正在处理的任务 x x √ √

为什么需要轮换密钥 广泛重复的使用加密密钥，会对加密密钥的安全造成风险。为了确保加密密钥的安全性，建议您定期轮换密钥，更改原密钥的密钥材料。 定期轮换密钥有如下优点： 减少每个密钥加密的数据量 一个密钥的安全性与被它加密的数据量呈反比。数据量通常是指同一个密钥加密的数据总字节数或总消息数。 增强应对安全事件的能力 在系统安全设计的初期，设计密钥轮换功能并将其作为日常运维手段。这样可以使系统在特定安全事件发生时具备实际执行能力。 加强对数据的隔离能力 轮换密钥使得轮换前后产生的密文数据形成隔离效果。特定密钥的安全事件可以被快速定义影响范围，从而采取进一步措施。

密钥支持的轮换方式 表1 密钥轮换方式 密钥的来源或状态 支持的密钥轮换方式 默认密钥 不支持密钥轮换。 自定义密钥 支持自动轮换密钥或手动轮换密钥，根据密钥算法类型决定。 对称密钥：支持自动轮换密钥和手动轮换密钥。 非对称密钥：仅支持手动轮换密钥。 已禁用的主密钥 禁用主密钥后，KMS不会对它进行轮换。但是，密钥轮换状态不会发生改变，并且在主密钥处于禁用状态时不能对其进行更改。重新启用主密钥后，如果已禁用的自定义密钥已超过轮换周期，KMS会立即轮换。如果已禁用的自定义密钥少于轮换周期，KMS会恢复之前的密钥轮换计划。 关于禁用密钥的信息，请参见已禁用的主密钥。 计划删除的主密钥 对于计划删除的主密钥，KMS不会对它进行轮换。如果取消删除，将恢复之前的密钥轮换状态。如果计划删除的自定义密钥已超过轮换周期，KMS会立即轮换。如果计划删除的用户主密钥少于轮换周期，KMS会恢复之前的密钥轮换计划。 关于计划删除密钥的信息，请参见计划删除的主密钥。 用户可在“轮换策略”页面查看轮换详情，例如：上次轮换时间、轮换次数。

密钥轮换的两种方法 华为云服务提供了两种密钥轮换方法： 手动轮换密钥 方式一：创建一个新的密钥B，使用密钥B替换当前正在使用的密钥A。 方式二：对密钥A的密钥材料进行更改，继续使用密钥A。 示例： 以OBS服务为例：需要手动轮换密钥时，用户先在KMS界面创建一个新的自定义密钥，后在OBS界面将原自定义密钥替换为新的自定义密钥。 图1 手动轮换密钥工作原理 自动轮换密钥 KMS会根据设置的轮换周期（默认365天）自动轮换密钥，系统自动生成一个新的密钥B，并替换当前使用的密钥A。自动轮换密钥只会更改主密钥的密钥材料，即加密操作中所使用的加密材料。不管密钥材料有没有变更或变更了多少次，该主密钥仍是相同的逻辑资源。主密钥的属性（密钥ID、别名、描述、权限）不会发生变化。 自动密钥轮换具有以下特点： 为现有的自定义密钥开启密钥轮换后，KMS自动为该自定义密钥生成新的密钥材料。 自动密钥轮换对主密钥所保护的数据无效。它不会轮换主密钥生成的数据密钥，也不会对任何受主密钥保护的数据重新加密，并且它无法减轻数据密钥泄露的影响。 图2 自动密钥轮换工作原理 KMS会保留与该自定义密钥关联的所有版本的自定义密钥。这使得KMS可以解密使用该自定义密钥加密的任何密文。 加密数据时，KMS会自动使用当前最新版本的自定义密钥来执行加密操作。 解密数据时，KMS会自动使用加密时所使用的自定义密钥来执行解密操作。

继续导入密钥材料 返回控制台“导入密钥材料”对话框（步骤 6），在“导入密钥材料”配置项，添加“密钥材料”文件。 图6 导入密钥材料 表7 密钥材料说明 场景 说明 对称密钥 使用包装密钥加密后的密钥材料。 例如：步骤三：使用包装密钥加密密钥材料中的“EncryptedKeyMaterial.bin”文件。 非对称密钥 使用包装密钥加密后的临时密钥材料、私钥密文。 例如：步骤三：使用包装密钥加密密钥材料中的临时密钥材料“EncryptedKeyMaterial.bin”、私钥密文“out_rsa_private_key.der/out_sm2_private_key”。 单击“下一步”，进入“密钥导入令牌”页面。根据表8设置参数。 图7 导入密钥令牌 表8 导入密钥令牌参数说明 参数 操作说明 密钥ID 创建密钥时，随机生成的密钥ID。 密钥材料失效模式 永不失效：导入的密钥材料永久不失效。 失效时间：用户可指定导入的密钥材料的失效时间，默认失效时间为24小时。 密钥材料失效后，KMS会在24小时内自动删除密钥材料，删除后密钥将无法使用，且密钥状态变更为“等待导入”。 单击“确定”，页面右上角弹出“密钥导入成功”，则说明导入密钥成功。 密钥ID、导入的密钥材料需要全部匹配，密钥材料才能导入成功，否则会导入失败。 用户可在密钥列表中查看到导入的密钥信息，导入密钥的默认状态为“启用”。

通过调用API接口下载 调用“get-parameters-for-import”接口，获取包装密钥和导入令牌。 public_key：调用API接口返回的base64编码的包装密钥内容。 import_token：调用API接口返回的base64编码的导入令牌内容。 以获取密钥ID为“43f1ffd7-18fb-4568-9575-602e009b7ee8”，加密算法为“RSAES_OAEP_SHA_256”的包装密钥和导入令牌为例。 请求样例 { "key_id": "43f1ffd7-18fb-4568-9575-602e009b7ee8", "wrapping_algorithm":"RSAES_OAEP_SHA_256" } 响应样例 { "key_id": "43f1ffd7-18fb-4568-9575-602e009b7ee8", "public_key":"public key base64 encoded data", "import_token":"import token base64 encoded data", "expiration_time":1501578672 } 保存包装密钥，包装密钥需要按照以下步骤转换格式。使用转换格式后的包装密钥加密的密钥材料才能成功导入管理控制台。 复制包装密钥“public_key”的内容，粘贴到“.txt”文件中，并保存为“PublicKey.b64”。 使用OpenSSL，执行以下命令，对“PublicKey.b64”文件内容进行base64转码，生成二进制数据，并将转码后的文件保存为“PublicKey.bin”。 openssl enc -d -base64 -A -in PublicKey.b64 -out PublicKey.bin 保存导入令牌，复制导入令牌“import_token”的内容，粘贴到“.txt”文件中，并保存为“ImportToken.b64”。

对称密钥 方法一：使用下载的包装密钥在自己的HSM中加密密钥材料，详细信息请参考您的HSM操作指南。 方法二：使用OpenSSL生成密钥材料，并用下载的“包装密钥”对密钥材料进行加密。 如果用户需要使用openssl pkeyutl命令，OpenSSL需要是1.0.2及以上版本。 如果用户使用SM2公钥包装，需要支持gmssl命令。 在已安装OpenSSL工具的客户端上，执行以下命令，生成密钥材料（256位对称密钥），并将生成的密钥材料以“PlaintextKeyMaterial.bin”命名保存。 AES256对称密钥 openssl rand -out PlaintextKeyMaterial.bin 32 SM4国密 openssl rand -out PlaintextKeyMaterial.bin 16 使用下载的“包装密钥”加密密钥材料，并将加密后的密钥材料按“EncryptedKeyMaterial.bin”命名保存。 如果“包装密钥”由控制台下载，以下命令中的PublicKey.bin参数请以下载的包装密钥名称wrappingKey_密钥ID进行替换。 表2 使用下载的包装密钥加密生成的密钥材料 包装密钥算法 加密生成的密钥材料 RSAES_OAEP_SHA_256 openssl pkeyutl -in PlaintextKeyMaterial.bin -inkey PublicKey.bin -out EncryptedKeyMaterial.bin -keyform der -pubin -encrypt -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 SM2_ENCRYPT gmssl pkeyutl -encrypt -pkeyopt ec_scheme:sm2 -pkeyopt ec_encrypt_param:sm3 -in PlaintextKeyMaterial.bin -pubin -inkey PublicKey.bin -keyform der -out EncryptedKeyMaterial.bin

操作流程 场景 操作步骤 已有密钥材料 创建密钥材料来源为外部的密钥：创建一个密钥材料来源为外部的空密钥。 导入密钥材料（导入已有密钥材料）：导入密钥材料、导入令牌到创建的空密钥。 通过调用API接口下载密钥材料 创建密钥材料来源为外部的密钥：创建一个密钥材料来源为外部的空密钥。 下载包装密钥和导入令牌（通过调用API接口下载）：通过调用API接口下载包装密钥、导入令牌。 使用包装密钥加密密钥材料：使用HSM或OpenSSL，将包装密钥加密为密钥材料。 导入密钥材料（导入已有密钥材料）：导入密钥材料、导入令牌到创建的空密钥。 通过KMS控制台下载密钥材料 创建密钥材料来源为外部的密钥：创建一个密钥材料来源为外部的空密钥。 下载包装密钥和导入令牌（通过KMS控制台下载）：通过KMS控制台下载包装密钥。导入令牌由控制台自动引导。 须知： 下载包装密钥后，请勿关闭或中途退出“导入密钥材料”对话框，加密密钥材料后，需要继续在该对话框，执行导入密钥材料（继续导入密钥材料）。 使用包装密钥加密密钥材料：使用HSM或OpenSSL，将包装密钥加密为密钥材料。 导入密钥材料（继续导入密钥材料）：导入密钥材料到创建的空密钥。

注意事项 安全性 用户需要确保符合自己安全要求的随机源生成密钥材料。用户在使用导入密钥时，需要对自己密钥材料的安全性负责。请保存密钥材料的原始备份，以便在意外删除密钥材料时，能及时将备份的密钥材料重新导入KMS。 可用性与持久性 在将密钥材料导入KMS之前，用户需要确保密钥材料的可用性和持久性。 导入的密钥材料与通过KMS创建密钥时自动生成的密钥材料的区别，如表1所示。 表1 导入的密钥材料与通过KMS创建密钥时自动生成的密钥材料的区别 密钥材料来源 区别 导入的密钥 可以手动删除密钥材料，但不能删除该自定义密钥及其元数据。 不支持密钥轮换功能。 在导入密钥材料时，可以设置密钥材料失效时间，密钥材料失效后，KMS将在24小时以内自动删除密钥材料，但不会删除该自定义密钥及其元数据。 建议用户在本地密钥管理基础设施中安全地备份一份密钥材料，以便密钥材料失效或误删除时重新导入该密钥材料。 说明： RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384、SM2算法密钥不能手动删除密钥材料，不能设置密钥材料的失效时间，只能永久有效。 KMS创建的密钥 不能手动删除密钥材料。 仅对称密钥支持密钥轮换功能。 不能设置密钥材料的失效时间。 关联性 当用户将密钥材料导入自定义密钥时，该自定义密钥与该密钥材料永久关联，不能将其他密钥材料导入该自定义密钥中。 唯一性 当用户使用导入的密钥加密数据时，加密后的数据必须使用加密时采用的自定义密钥（即自定义密钥的元数据及密钥材料与导入的密钥匹配）才能解密数据，否则解密会失败。

约束条件 为安全起见，建议用户获取初始密码后，执行清除密码操作，清除系统中记录的初始密码信息。 该操作不会影响弹性云服务器的正常登录与运行。清除密码后，系统不能恢复获取密码功能，因此，请在执行清除密码操作前，记录弹性云服务器密码信息。详细信息请参见《弹性云服务器用户指南》。 用户也可以通过调用API接口的方式获取Windows弹性云服务器的初始密码，请参考《弹性云服务器API参考》。 获取的弹性云服务器的私钥文件必须是“.pem”格式。 如果是“.ppk”格式文件，请参考如何将“.ppk”格式的私钥文件转化为“.pem”格式进行转换。

本地使用Linux操作系统 如果您是在Linux操作系统上登录Linu弹性云服务器，可以按照下面方式登录。下面步骤以私钥文件是“kp-123.ppk”为例进行介绍。 在您的Linux计算机的命令行中执行以下命令，变更权限。 chmod 600 /path/kp-123.ppk path为密钥文件的存放路径。 执行以下命令登录弹性云服务器。 ssh -i /path/kp-123 root@弹性IP地址 path为密钥文件的存放路径。 弹性IP地址为弹性云服务器绑定的弹性IP地址。

操作指引 当用户需要在云上使用专属加密服务时，可通过Dedicated HSM界面购买专属加密实例。购买专属加密实例后，用户需要通过Dedicated HSM界面实例化专属加密实例。当用户收到Dedicated HSM邮寄的Ukey后，通过Ukey初始化，并管控专属加密实例。用户通过专属加密实例管理工具授权业务APP，允许业务用户通过业务APP访问专属加密实例。操作指引如图1所示。 图1 操作指引 操作指引说明如表1所示。 表1 操作指引说明 编号 操作步骤 说明 操作角色 1 购买专属加密实例 通过Dedicated HSM界面购买专属加密实例，详细操作请参见购买专属加密实例。 用户 2 激活专属加密实例 您购买专属加密实例后，通过Dedicated HSM界面实例化专属加密实例。您需要选择专属加密实例所属的虚拟私有云，以及专属加密实例的功能类型，详细操作请参见激活专属加密实例。 用户 3 获取UKey、配套初始化文档及软件 安全专家将通过您提供的Ukey收件地址将Ukey邮寄给您。 Ukey是Dedicated HSM提供给您的身份识别卡，此卡仅购买专属加密实例的用户持有，请妥善保管。 安全专家将会为您提供初始化专属加密实例的软件及相关指导文档。 如果您对软件或指导文档的使用有疑问，请联系安全专家进行指导。 说明： 可通过提交工单方式提供Ukey收件地址以及联系安全专家指导。 专属加密服务安全专家 4 初始化、管控（UKey认证） 在专属加密实例管理节点上安装为您提供的管理工具。 使用Ukey和管理工具初始化专属加密实例，并注册相应的管理员，管控专属加密实例，对密钥进行管理。 详细操作请参见初始化专属加密实例。 用户 5 安装安全代理软件并授权 在业务APP节点上安装为您提供的安全代理软件并执行相关初始化操作。 详细操作请参见安装安全代理软件并授权。 用户 6 访问 业务APP通过API或者SDK的方式访问专属加密实例。 用户

约束条件 如果用户未设置登录弹性云服务器的密码，或者忘记登录密码，可以到弹性云服务器管理控制台重置该弹性云服务器的登录密码，详细信息请参见《弹性云服务器用户指南》。 当用户创建弹性云服务器使用的是“密钥对方式”登录时，用户解绑密钥对后，如果需要重新绑定密钥对，需要关机重新绑定密钥对。 为了能正常登录弹性云服务器，解绑密钥对后，请在弹性云服务器界面及时重置密码，详细信息请参见《弹性云服务器用户指南》。