本文介绍如何使用exSymKey命令导出HSM上的对称密钥。功能说明 exSymKey命令可将HSM的对称密钥以明文的形式导出到磁盘文件上。如需要导出加密后的对称密钥,请使用 wrapKey。只有密钥的所有者(即创建该密钥的CU用户)才能导出它。共享密钥...
密钥常用于保护特定的数据,因此,数据的安全依赖于密钥的安全。您可以通过密钥版本化和定期轮转来加强密钥使用的安全性,实现数据保护的安全策略和最佳实践。实现安全目标 您可以通过周期性轮转密钥,达成以下安全目标:减少每个密钥加密...
支持的对称密钥规格 对称密钥加密是最常用的敏感数据加密保护方式之一,加密过程和解密过程使用相同的密钥内容,KMS可以安全保管对称密钥的密钥材料以防止被非法窃取或使用,确保被加密数据的安全。密钥规格 对称密钥主要用于数据的加密...
密钥创建完成后,默认为启用状态。您可以禁用密钥,被禁用的密钥无法用于加密和解密。操作步骤 登录 密钥管理服务控制台。在页面左上角的地域下拉列表,选择密钥所在的地域。在左侧导航栏,单击 用户主密钥。找到待禁用的密钥,单击右侧 ...
使用说明 本接口通过随机数生成器产生数据密钥对,使用对称密钥的 初始版本 对数据密钥对加密,并返回数据密钥对的公钥明文、私钥明文、私钥密文。您可以使用数据密钥对,在KMS之外进行签名验签。请保存私钥密文(PrivateKeyCiphertextBlob...
概述 本文主要介绍阿里云密钥管理服务如何删除密钥。详细信息 密钥管理服务主密钥一旦删除,将无法恢复,使用该主密钥加密的内容及产生的数据密钥也将无法解密。因此,对于主密钥的删除,KMS只提供计划删除密钥的方式(周期为7~30天),而...
调用GenerateDataKeyPairWithoutPlaintext接口生成非对称的数据密钥对。使用说明 重要 仅支持KMS软件密钥管理实例使用本接口,不支持KMS硬件密钥管理实例。本接口通过随机数生成器产生数据密钥对,使用对称密钥的 初始版本 对数据密钥对...
使用说明 本接口通过随机数生成器产生数据密钥对,使用对称密钥的 主版本 对数据密钥对加密,并返回数据密钥对的公钥明文、私钥明文、私钥密文。您可以使用数据密钥对,在KMS之外进行签名验签。请保存私钥密文(PrivateKeyCiphertextBlob)...
本文介绍如何使用deleteKey命令删除HSM上的密钥。功能说明 deleteKey命令可从 HSM 中删除密钥,一次只能删除一个密钥。删除某密钥对中的一个密钥不会影响该密钥对中的另一个密钥。只有密钥所有者才能删除密钥,共享密钥的用户可以在加密...
创建密钥和凭据时支持设置标签,您也可以在创建完成后,通过控制台或者API绑定、解绑标签。本文介绍如何管理密钥和凭据的标签。管理密钥标签 支持您为单个密钥绑定、解绑标签,也支持批量为密钥绑定、解绑标签。通过控制台 登录 密钥管理...
如果您使用的是阿里云KMS 1.0版本,为了获得更高的产品性能及体验,建议您将资源迁移到同地域下的KMS 3.0软件密钥管理实例或者硬件密钥管理实例。迁移后密钥和凭据在KMS实例中存储,密钥在该地域内具有唯一性,凭据在该地域下的阿里云账号...
使用说明 本接口通过随机数生成器产生数据密钥对,使用对称密钥的 主版本 对数据密钥对加密,并返回数据密钥对的公钥明文、私钥密文,不返回私钥明文。您可以使用数据密钥对,在KMS之外进行签名验签。请保存私钥密文...
选择合适的密钥 您可以根据数据保护需求,选择托管在KMS中的不同类型密钥用于服务端加密:服务托管的密钥 如果您介意密钥管理带来的开销,云产品可以为您在KMS中托管一个用于服务端加密的默认密钥,称为服务密钥。服务密钥由对应云产品管理...
密钥管理服务已与操作审计服务集成,您可以在操作审计中查询用户操作密钥管理服务产生的管控事件。密钥管理服务支持将管控事件投递到日志服务SLS的LogStore或对象存储OSS的存储空间中,满足实时审计、问题回溯分析等需求。密钥管理服务记录...
当一个别名与某一个用户主密钥相关联时,在以下API接口中,可以将访问参数中的密钥ID用别名代替:DescribeKey Encrypt GenerateDataKey GenerateDataKeyWithoutPlaintext 说明 当RAM用户使用别名代替密钥ID进行上述操作时,RAM用户必须拥有...
密钥策略是基于资源的策略,用于控制哪些阿里云账号、RAM用户、RAM角色有权限来管理或使用KMS密钥,KMS实例中的每个密钥必须有且只有一个密钥策略。本文介绍密钥策略的详细信息。密钥策略与访问控制RAM的权限策略的关系 密钥策略支持将当前...
密钥管理服务已与操作审计服务集成,您可以在操作审计中查询用户操作密钥管理服务产生的管控事件。密钥管理服务支持将管控事件投递到日志服务SLS的LogStore或对象存储OSS的存储空间中,满足实时审计、问题回溯分析等需求。密钥管理服务记录...
创建一个主密钥。接口说明 RAM 用户或 RAM 角色调用该 OpenAPI 需要被授予的权限策略详情,请参见 访问控制。阿里云 KMS 支持常见的对称密钥规格和非对称密钥规格。具体内容,请参见 密钥管理类型和密钥规格。调试 您可以在OpenAPI ...
生成一个随机的数据密钥,用于本地数据加密。接口说明 RAM 用户或 RAM 角色调用该 OpenAPI 需要被授予的权限策略详情,请参见 访问控制。本接口可以通过共享网关或专属网关调用。详细介绍,请参见 阿里云 SDK。共享网关:通过公网、VPC ...
本文介绍如何使用genSymKey生成对称密钥。功能说明 genSymKey命令可在HSM上生成对称密钥。如果命令成功后返回HSM分配给密钥的密钥句柄,您可以使用该密钥句柄作为密钥的标识。重要 在运行此命令之前,必须启动key_mgmt_tool并以 CU身份 ...
密钥别名(Key Alias)是指特定密钥的简称,是密钥的可选标识。您可以在API接口调用中使用别名来代替密钥ID,方便您管理密钥。本文介绍如何创建及管理密钥的别名。注意事项 别名必须拥有前缀 alias/。除前缀以外,长度为1~255个字符,支持...
密钥管理服务KMS(Key Management Service)支持密钥和凭据数据备份管理功能,在误删除、容灾等场景下,可以帮助您快速恢复数据,避免数据丢失。本文介绍如何备份和恢复数据。警告 如果您未对密钥和凭据进行备份,或者备份数据过期,密钥和...
同步密钥的密钥ID、密钥版本、密钥材料、密钥状态、删除保护,不同步密钥策略、密钥别名、密钥标签。重要 对配置了跨地域同步的密钥进行轮转时,KMS会先将创建的密钥版本同步到副本实例,然后再将主实例、副本实例的该密钥版本修改为主版本...
调用GenerateDataKey接口生成一个随机的数据密钥,用于本地数据加密。注意事项 非KMS实例中的密钥:进行密码运算时,仅支持通过阿里云SDK调用OpenAPI。KMS实例中的密钥:进行密码运算时,支持如下两种方式。方式一(推荐):通过KMS实例SDK...
本文介绍如何使用exSymKey在HSM上导入对称密钥。功能说明 imSymKey命令可将明文存储的密钥文件导入HSM中。要导入加密后密钥文件,请使用 unWrapKey。可借助 exSymKey 和 imSymKey 完成对称密钥的备份或迁移。imSymKey命令仅导入对称密钥。...
操作类型 OpenAPI 实例API 计算性能为1000(次/秒)计算性能为2000(次/秒)计算性能为4000(次/秒)计算性能为10000(次/秒)计算性能为20000(次/秒)处理对称算法 使用对称密钥对数据进行加密解密、生成数据密钥等操作。列表中的API接口...
本文介绍如何使用findKey在HSM查找密钥。功能说明 findKey命令可在HSM通过密钥属性的值来查找密钥。findKey是特定于用户的,它只会返回当前用户可使用的密钥,包括当前用户拥有的密钥和共享密钥。重要 在运行此命令之前,必须启动key_mgmt_...
您可以在密钥策略中添加或删除RAM用户、RAM角色,以设置密钥的管理员和使用者。本文介绍如何设置密钥策略。注意事项 仅KMS实例中的密钥支持密钥策略。您可以在创建密钥时设置密钥策略,也可以在创建后进行设置。创建时设置,请参见 创建...
opt/hsm/bin/key_mgmt_tool Command:loginHSM-u CU-s yourCuUserName-p yourCuUserPassword 导入对称密钥材料 以导入AES-256对称密钥材料为例介绍。创建对称密钥材料。说明 如果您已有密钥材料,请跳过本步骤。但需要注意文件中只能包含...
key_mgmt_tool命令行工具在hsm_proxy HSM 客户端启用后可帮助您管理HSM中CU用户的密钥。您可以创建、删除密钥以及查看密钥属性。本文介绍如何使用key_mgmt_tool命令行工具。前置条件 启动hsm_proxy HSM 客户端,详情请参见 启动HSM客户端...
导入密钥材料。接口说明 RAM 用户或 RAM 角色调用该 OpenAPI 需要被授予的权限策略详情,请参见 访问控制。调用 CreateKey 创建主密钥时,可以选择其密钥材料来源为外部,即将 Origin 设置为 EXTERNAL。此 API 用于将密钥材料导入符合上述...
软件密钥轮转消耗 KMS 实例的密钥配额,每个密钥版本消耗一个配额,例如密钥有 V1、V2、V3 三个密钥版本,则消耗 3 个密钥配额。仅由 KMS 生成密钥材料的密钥支持轮转,自行导入密钥材料的密钥(BYOK)不支持轮转。仅处于已启用状态的密钥...
当您为密钥开启删除保护后,将无法通过控制台或API删除该密钥,从而避免误删除密钥。本文为您介绍如何开启删除保护。前提条件 请确保您已经创建了密钥,且密钥不处于待删除状态。具体操作,请参见 创建密钥。操作步骤 登录 密钥管理服务...
密钥管理服务KMS(Key Management Service)是您的一站式密钥管理和数据加密服务平台、一站式凭据安全管理平台,提供简单、可靠、安全、合规的数据加密保护和凭据管理能力。KMS帮助您降低在密码基础设施、数据加解密产品和凭据管理产品上的...
用于将明文数据通过KMS密钥加密为密文。使用说明 仅当密钥为KMS软件密钥管理实例中的对称密钥时,支持使用本接口。关于密钥规格、加密模式以及密钥版本的详细信息,请参见 密钥管理类型和密钥规格。AdvanceEncrypt和 Encrypt 都用于将明文...
调用DeleteKeyMaterial接口删除已导入的密钥材料。此操作不会删除密钥材料对应的主密钥(CMK)。如果主密钥处于待删除状态,删除密钥材料不会改变密钥状态和预计删除时间;如果主密钥不处于待删除状态,删除密钥材料会使得密钥状态变更为...
AES 8:RSA_OAEP(密钥长度必须=(Mod_len-2*Hash_len-2)字节)9:NIST_TDEA_WRAP(密钥长度必须是 4 字节的倍数)10:AES_GCM 11:CLOUDHSM_AES_GCM 12:RSA_PKCS(密钥长度必须=(Mod_len-11)字节)-t 哈希类型。封装方法为RSA_AES(7...
调用CreateKey接口创建一个主密钥。阿里云KMS支持常见的对称密钥规格和非对称密钥规格。具体内容,请参见 密钥管理类型和密钥规格。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer...
PKCS#11library表包含了一个因密钥类型而异的属性列表。它指出了在使用HSM的特定加密功能时,特定的属性是否支持某个特定的密钥类型。属性 描述 可以在对象创建后改变吗?默认值 CKA_SIGN 布尔类型,如果密钥支持签名,则CK_TRUE。是 FALSE...
本文介绍如何使用unWrapKey命令向HSM导入加密密钥。功能说明 unWrapKey命令将已加密的 对称密钥 或 私有密钥 从文件导入到 HSM 中,操作对象是由 wrapKey 命令导出的加密密钥。可借助unWrapKey和 wrapKey 完成密钥的备份和迁移。重要 在...