待迁移密钥规格 软件密钥管理实例 硬件密钥管理实例 Aliyun_AES_256(单版本)√Aliyun_AES_256(多版本)√RSA_2048(单版本)√EC_P256(单版本)√EC_P256K(单版本)√密钥保护级别为硬件(HSM)重要 仅 中国内地 的密钥支持迁移,非...
本文为您介绍如何对密钥管理服务(KMS)中的用户主密钥(CMK)进行自动轮转。密钥版本 KMS中的CMK支持多个密钥版本。每一个密钥版本是一个独立生成的密钥,同一个CMK下的多个密钥版本在密码学上互不相关。KMS通过生成一个新的密钥版本来...
在插件中引用密钥 在插件配置中,可以使用$ref{secretName} 语法引用已创建的密钥,其中 secretName 为密钥名称,下面是 Key-Auth 插件的配置示例:credentials:#引用名为secretName的密钥-$ref{secretName} keys:apikey-x-api-key 通过...
使用说明 概述 本接口通过随机数生成器产生数据密钥,使用KMS密钥的主版本对数据密钥加密,并返回数据密钥的明文和密文。您可以使用返回的数据密钥明文(Plaintext),在KMS之外对数据进行加密。请保存数据密钥密文和认证数据(Aad),以便...
使用说明 本接口通过随机数生成器产生数据密钥对,使用对称密钥的 主版本 对数据密钥对加密,并返回数据密钥对的公钥明文、私钥密文,不返回私钥明文。您可以使用数据密钥对,在KMS之外进行签名验签。请保存私钥密文...
调用GenerateDataKeyPairWithoutPlaintext接口生成非对称的数据密钥对。使用说明 重要 仅支持KMS软件密钥管理实例使用本接口,不支持KMS硬件密钥管理实例。本接口通过随机数生成器产生数据密钥对,使用对称密钥的 初始版本 对数据密钥对...
如果您使用的是阿里云KMS 1.0版本,为了获得更高的产品性能及体验,建议您将资源迁移到同地域下的KMS 3.0软件密钥管理实例或者硬件密钥管理实例。迁移后密钥和凭据在KMS实例中存储,密钥在该地域内具有唯一性,凭据在该地域下的阿里云账号...
使用说明 本接口通过随机数生成器产生数据密钥对,使用对称密钥的 主版本 对数据密钥对加密,并返回数据密钥对的公钥明文、私钥明文、私钥密文。您可以使用数据密钥对,在KMS之外进行签名验签。请保存私钥密文(PrivateKeyCiphertextBlob)...
使用说明 本接口通过随机数生成器产生数据密钥对,使用对称密钥的 初始版本 对数据密钥对加密,并返回数据密钥对的公钥明文、私钥明文、私钥密文。您可以使用数据密钥对,在KMS之外进行签名验签。请保存私钥密文(PrivateKeyCiphertextBlob...
以下密钥不允许配置自动轮转策略:非对称密钥 服务密钥 用户自带密钥(外部导入到KMS的密钥)不处于 Enabled 状态的密钥 本文将提供一个示例,为密钥ID为 1234abcd-12ab-34cd-56ef-12345678*的用户主密钥开启自动轮转,自动轮转的时间周期...
使用非对称密钥进行签名。接口说明 注意事项 RAM 用户或 RAM 角色调用该 OpenAPI 需要被授予的权限策略详情,请参见 访问控制。本接口可以通过共享网关或专属网关调用。详细介绍,请参见 阿里云 SDK。共享网关:通过公网、VPC 域名访问 KMS...
阿里云KMS免费提供默认密钥用于云产品服务端加密,无需购买实例。但若您需要构建自建应用密码方案、使用凭据功能或需要管理密钥生命周期等,则需付费购买软件或硬件密钥管理实例。本文介绍KMS实例的计费方式、计费周期、计费项、到期说明和...
轮转对称加密密钥 KMS生成的对称主密钥支持多个密钥版本,同时支持用户主密钥基于密钥版本进行自动轮转,您可以自定义密钥轮转的策略。在CMK包含多个版本时,KMS的加密动作(例如:Encrypt、GenerateDataKey和...
GenerateAndExportDataKey 生成一个数据密钥并加密导出 随机生成一个数据密钥,通过您指定的主密钥(CMK)和公钥加密后,返回CMK加密数据密钥的密文和公钥加密数据密钥的密文。Encrypt 使用对称主密钥加密明文 使用对称密钥将明文加密为密...
调用AsymmetricSign接口使用非对称密钥进行签名。注意事项 非KMS实例中的密钥:进行密码运算时,仅支持通过阿里云SDK调用OpenAPI。KMS实例中的密钥:进行密码运算时,支持如下两种方式。方式一(推荐):通过KMS实例SDK调用KMS实例API。...
密钥服务接口 用户主密钥管理 密钥管理接口用于密钥的创建、属性修改以及生命周期管理。API 描述 CreateKey 创建用户主密钥。用户可以选择由KMS生成密钥材料,也可以选择自己上传密钥材料(即是BYOK,此时 CreateKey 是BYOK的第一步)。...
使用非对称密钥进行加密。接口说明 注意事项 RAM 用户或 RAM 角色调用该 OpenAPI 需要被授予的权限策略详情,请参见 访问控制。本接口可以通过共享网关或专属网关调用。详细介绍,请参见 阿里云 SDK。共享网关:通过公网、VPC 域名访问 KMS...
软件密钥轮转消耗 KMS 实例的密钥配额,每个密钥版本消耗一个配额,例如密钥有 V1、V2、V3 三个密钥版本,则消耗 3 个密钥配额。仅由 KMS 生成密钥材料的密钥支持轮转,自行导入密钥材料的密钥(BYOK)不支持轮转。仅处于已启用状态的密钥...
使用非对称密钥进行解密。接口说明 注意事项 RAM 用户或 RAM 角色调用该 OpenAPI 需要被授予的权限策略详情,请参见 访问控制。本接口可以通过共享网关或专属网关调用。详细介绍,请参见 阿里云 SDK。共享网关:通过公网、VPC 域名访问 KMS...
调用AsymmetricEncrypt接口使用非对称密钥进行加密。注意事项 非KMS实例中的密钥:进行密码运算时,仅支持通过阿里云SDK调用OpenAPI。KMS实例中的密钥:进行密码运算时,支持如下两种方式。方式一(推荐):通过KMS实例SDK调用KMS实例API。...
调用AsymmetricDecrypt接口使用非对称密钥进行解密。注意事项 非KMS实例中的密钥:进行密码运算时,仅支持通过阿里云SDK调用OpenAPI。KMS实例中的密钥:进行密码运算时,支持如下两种方式。方式一(推荐):通过KMS实例SDK调用KMS实例API。...
前提条件 已创建企业版实例,且您的实例必须为高级版。具体操作,请参见 创建企业版实例。已开通密钥管理服务,具体操作,请参见 开通密钥管理服务。创建非对称密钥 密钥管理服务控制台。在页面左上角的地域下拉列表,选择密钥所在的地域。...
使用非对称密钥进行验签。接口说明 注意事项 RAM 用户或 RAM 角色调用该 OpenAPI 需要被授予的权限策略详情,请参见 访问控制。本接口可以通过共享网关或专属网关调用。详细介绍,请参见 阿里云 SDK。共享网关:通过公网、VPC 域名访问 KMS...
可租借的密钥包括以下两种:线下密钥管理基础设施(Key Management Infrastructure,简称KMI)里的密钥 在 阿里云加密服务 中自主管理的HSM中的密钥 说明 通过安全合规的密钥交换算法,导入到KMS的托管密码机中的密钥不会被任何机制所导出...
调用AsymmetricVerify接口使用非对称密钥进行验签。注意事项 非KMS实例中的密钥:进行密码运算时,仅支持通过阿里云SDK调用OpenAPI。KMS实例中的密钥:进行密码运算时,支持如下两种方式。方式一(推荐):通过KMS实例SDK调用KMS实例API。...
阿里云密钥管理服务KMS(Key Management Service)新增了专属KMS产品形态,可以为您提供租户侧独享存储和密钥运算的密钥管理服务,提高使用安全性。本文介绍如何将KMS密钥迁移到专属KMS。迁移的内容 重要 如果不做迁移,您可以继续使用阿里...
ACK Serverless集群Pro版 支持使用在阿里云密钥管理服务KMS(Key Management Service)中创建的密钥来加密Kubernetes Secret密钥,以降低敏感信息泄露的风险。本文主要介绍如何使用KMS中管理的密钥对已创建 ACK Serverless集群Pro版 中的...
生成一个随机的数据密钥,用于本地数据加密。接口说明 RAM 用户或 RAM 角色调用该 OpenAPI 需要被授予的权限策略详情,请参见 访问控制。本接口可以通过共享网关或专属网关调用。详细介绍,请参见 阿里云 SDK。共享网关:通过公网、VPC ...
调用GenerateDataKey接口生成一个随机的数据密钥,用于本地数据加密。注意事项 非KMS实例中的密钥:进行密码运算时,仅支持通过阿里云SDK调用OpenAPI。KMS实例中的密钥:进行密码运算时,支持如下两种方式。方式一(推荐):通过KMS实例SDK...
阿里云SDK不仅支持通过调用OpenAPI执行创建实例、创建密钥等管控类操作,还支持执行加密解密、获取凭据值等业务类操作。其中管控类操作仅可通过共享网关访问,而业务类操作既支持通过共享网关也能通过专属网关访问。本文介绍业务如何通过...
用于将明文数据通过KMS密钥加密为密文。使用说明 仅当密钥为KMS软件密钥管理实例中的对称密钥时,支持使用本接口。关于密钥规格、加密模式以及密钥版本的详细信息,请参见 密钥管理类型和密钥规格。AdvanceEncrypt和 Encrypt 都用于将明文...
密钥管理服务已与操作审计服务集成,您可以在操作审计中查询用户操作密钥管理服务产生的管控事件。密钥管理服务支持将管控事件投递到日志服务SLS的LogStore或对象存储OSS的存储空间中,满足实时审计、问题回溯分析等需求。密钥管理服务记录...
密钥管理服务已与操作审计服务集成,您可以在操作审计中查询用户操作密钥管理服务产生的管控事件。密钥管理服务支持将管控事件投递到日志服务SLS的LogStore或对象存储OSS的存储空间中,满足实时审计、问题回溯分析等需求。密钥管理服务记录...
为密钥创建新的密钥版本。仅软件密钥管理实例中的对称密钥支持创建密钥版本,且密钥状态必须处于启用中。您可以调用 DescribeKey 接口查询密钥状态。每创建一个密钥版本,就会消耗一个密钥额度。本文将提供一个示例,为密钥ID为 key-hzz62f...
使用对称密钥将明文加密为密文。接口说明 注意事项 RAM 用户或 RAM 角色调用该 OpenAPI 需要被授予的权限策略详情,请参见 访问控制。本接口可以通过共享网关或专属网关调用。详细介绍,请参见 阿里云 SDK。共享网关:通过公网、VPC 域名...
调用Encrypt接口使用对称密钥将明文加密为密文。注意事项 非KMS实例中的密钥:进行密码运算时,仅支持通过阿里云SDK调用OpenAPI。KMS实例中的密钥:进行密码运算时,支持如下两种方式。方式一(推荐):通过KMS实例SDK调用KMS实例API。详细...
如果您使用的密钥类型不支持基于密钥版本的自动轮转,您可以基于使用场景,直接轮转使用的用户主密钥(CMK),通过人工的方式实现密钥轮转。由于这种方式建立在CMK之上,对于支持和不支持自动轮转的CMK而言,都可以作为特殊场景下的替代...
相比对称加密,非对称密钥通常用于在信任程度不对等的系统之间,实现数字签名验签或者加密传递敏感信息。非对称密钥由一对公钥和私钥组成,他们在密码学上互相关联,其中的公钥可以被分发给任何人,而私钥必须被安全的保护起来,只有受信任...
KMS外部密钥管理实例支持将KMS密钥与您云外密钥管理设施中的密钥进行关联,云产品或应用通过引用KMS实例中的密钥ID完成加解密操作,且加解密操作时云外密钥管理设施中的密钥不会离开密钥管理设施边界,该功能也称为持有自己的密钥(Hold ...
关于密钥规格、加密模式以及密钥版本的详细信息,请参见 密钥管理类型和密钥规格。注意事项 所有请求参数使用Protocol Buffers编码后(即Request Body),内容长度不能超过3 MB,超过3 MB后服务端会拒绝处理并返回HTTP 413状态码。建议单次...