使用已有自定义密钥时,需要注意:禁用密钥、设置密钥删除计划或者删除密钥材料都会造成密钥不可用,从而使基于该密钥加密备份的实例运维操作失败,可能会影响实例的可用性。基于该加密备份的恢复操作也会失败。需要使用主账号或者具有如下...
使用已有自定义密钥时,需要注意:禁用密钥、设置密钥删除计划或者删除密钥材料都会造成密钥不可用,从而使基于该密钥加密备份的实例运维操作失败,可能会影响实例的可用性。基于该加密备份的恢复操作也会失败。需要使用阿里云主账号或者...
非授权人员 通过云平台软件或数据库连接工具直接 获取敏感数据明文,从而有效抵御内外部安全威胁,保障数据安全。功能介绍 数据安全中心的列加密功能包含 加密设置 与 账号权限管理 两大部分,前者用于定义加密算法、方式及范围(如数据库...
如果没有自定义密钥,需要单击 前往创建,在密钥管理服务控制台创建密钥并导入自带的密钥材料。详情请参见 创建密钥。更换密钥 访问 RDS实例列表,在上方选择地域,然后单击目标实例ID。在左侧导航栏单击 数据安全性。在 TDE 页签单击 TDE...
绑定密钥对:选择 绑定 一个已有的密钥对,或为其 创建 一个新的密钥对并完成绑定。绑定密钥对后,请先用新的密钥对尝试登录一次,确保可以成功访问实例。禁用密码登录:登录实例内部,执行以下脚本,修改SSH服务配置文件。bin/bash#备份...
使用KMS托管用户主密钥 当使用KMS托管用户主密钥用于客户端数据加密时,无需向OSS加密客户端提供任何加密密钥,只需要在上传Object时指定KMS用户主密钥ID(即CMK ID)。具体工作原理如下图所示。加密并上传Object 获取加密密钥。通过CMK ID...
本示例使用了阿里云Credentials工具托管AccessKey,来实现API访问的身份验证。com.aliyun.credentials.Client credentialClient = new com.aliyun.credentials.Client();authConfig.endpoint="region_endpoint;在实际使用中,请按照您实际...
OSS客户端加密是在数据上传至OSS之前,由用户在本地对数据进行加密处理,确保只有密钥持有者才能解密数据,增强数据在传输和存储过程中的安全性。免责声明 使用客户端加密功能时,您需要对主密钥的完整性和正确性负责。因您维护不当导致主...
阿里云访问密钥(AccessKey)是调用API访问云资源的安全口令,您可以使用AccessKey签名API请求内容以通过服务端的安全验证。本文介绍如何获取AccessKey。什么是AccessKey 访问密钥AccessKey(简称AK)是阿里云提供给用户的永久访问凭据,由...
为了提高 MPS 与用户系统之间的交互的安全性,MPS 会对所有的服务端接口进行加签与验证,并且提供了密钥管理界面,供您进行密钥配置。推送 API 接口配置 MPS 提供 REST 接口供您调用。为确保安全性,MPS 需要对调用者的身份进行验证。在...
开启密钥轮转后,新密钥只对新写入的Object生效,密钥轮转前的存量Object的加密密钥保持不变。如果您通过OSS更新KMS加密密钥,则新密钥仅适用于新写入的文件加密。更新密钥前写入的存量文件仍使用旧密钥加密。因此,更新密钥后不能删除旧...
为了提供更加弹性、灵活的伸缩服务,伸缩配置支持设置密钥对、标签、实例RAM角色和实例自定义数据参数项。本文为您介绍四个特性的作用并演示其使用方式。前提条件 使用本教程进行操作前,请确保您已经注册了阿里云账号。如还未注册,请先...
使用指定的证书主体名称、证书主题别名、密钥用法、扩展密钥用法颁发数字证书。接口说明 默认从 CSR 中获取证书主体名称颁发证书。当指定了证书主体名称时,CSR 中的证书主体名称将失效,即使用指定的证书主体名称颁发证书。必须根据应用...
使用已有自定义密钥时,需要注意以下几点:禁用密钥、设置密钥删除计划或者删除密钥材料都会造成密钥不可用。撤销授权关系后,重启 PolarDB 集群会导致 PolarDB 集群不可用。需要使用阿里云账号或者具有AliyunSTSAssumeRoleAccess权限的...
BYOK是业界普遍认可的一项更高级的安全技术,是指通过安全的方式,将用户线下生成的密钥导入到云上的KMS托管的HSM中,并且保障HSM不能导出此密钥,而用户可以随时删掉云上的密钥,保留下一次导入同一个密钥的能力。详细配置方式请参见 数据...
支持DTS、DMS等生态工具,应用可“0”改造迁移。开启数据保护规则后,服务端任意访问返回数据均为加密 用户可按需配置数据保护规则(详见 管理数据保护规则),指定保护目标及方式(如加密)。全密态数据库查询时自动识别受保护数据,按...
访问KMS服务时通过RAM权限策略限制对凭据的访问时,KMS Agent需要具有获取凭据值的权限,由于凭据值是加密存储的,还需要具有解密密钥的权限,请在设置Agent的权限时遵循权限最小化原则。业务应用访问KMS Agent。KMS Agent启动时生成SSRF ...
密钥管理服务是一个综合的云上数据加密服务,它提供密钥管理服务KMS、加密服务HSM,为您解决数据安全、密钥安全、密钥管理、凭据管理等问题。
密钥管理类型 导入对称密钥材料 导入非对称密钥材料 默认密钥 主密钥:√服务密钥:×主密钥:×服务密钥:×软件密钥√硬件密钥√注意事项 请确保使用了符合要求的随机数发生器生成密钥材料。为密钥首次导入密钥材料后,密钥即和该密钥...
密钥类型 密钥子类型 用户自建应用密码运算 云产品服务端加密 数据加解密 签名验签 默认密钥 默认主密钥 不支持 支持 服务密钥 用户主密钥 软件密钥 支持 硬件密钥 外部密钥 支持 不支持 密钥管理功能对比 不同密钥提供的 生命周期管理能力...
KMS提供了密钥轮转功能,您可以通过定期轮转来加强密钥使用的安全性,有效地提升业务数据的安全性。本文介绍KMS密钥轮转的原理和配置方法。为什么需要密钥轮转 减少每个密钥加密的数据量,降低密码分析(Cryptanalysis)攻击风险。一个密钥...
问题列表 KMS是否支持删除密钥 服务密钥是否支持删除 用户主密钥(CMK)删除后,使用该密钥加密的用户数据及产生的数据密钥是否还可以解密 KMS如何保障密钥的安全性 KMS是否支持导入密钥材料 密钥状态为不可用或调用密钥相关API时返回...
当您为专属KMS标准版实例创建密钥后,可以根据实际需求禁用密钥、开启删除保护或计划删除密钥。禁用密钥 密钥创建完成后,默认为启用状态。您可以禁用密钥,被禁用的密钥无法用于加密解密、签名验签。登录 密钥管理服务控制台。在页面左上...
KMS为您提供密钥的全生命周期管理和安全存储能力,本文介绍如何创建密钥、禁用密钥、开启删除保护、计划删除密钥及为密钥设置标签。创建密钥 默认密钥 默认密钥包含服务密钥、主密钥,服务密钥由云产品创建及管理生命周期,主密钥由您创建...
待迁移密钥规格 软件密钥管理实例 硬件密钥管理实例 Aliyun_AES_256(单版本)√Aliyun_AES_256(多版本)√RSA_2048(单版本)√EC_P256(单版本)√EC_P256K(单版本)√密钥保护级别为硬件(HSM)重要 仅 中国内地 的密钥支持迁移,非...
您可以使用密钥管理服务KMS(Key Management Service)轻松地创建密钥,使用密钥加密自己的数据。操作步骤 登录 密钥管理服务控制台。在页面左上角的地域下拉列表,选择密钥所在的地域。在左侧导航栏,单击 用户主密钥。单击 创建密钥。在...
当您导入密钥材料后,可以直接删除密钥材料,此时密钥将无法继续使用,由该密钥加密的密文也无法被解密。本文为您介绍如何删除密钥材料。前提条件 请确保您已经导入密钥材料。具体操作,请参见 导入密钥材料。背景信息 当您导入密钥材料后...
密钥服务接口 用户主密钥管理 密钥管理接口用于密钥的创建、属性修改以及生命周期管理。API 描述 CreateKey 创建用户主密钥。用户可以选择由KMS生成密钥材料,也可以选择自己上传密钥材料(即是BYOK,此时 CreateKey 是BYOK的第一步)。...
KMS外部密钥管理实例支持将KMS密钥与您云外密钥管理设施中的密钥进行关联,云产品或应用通过引用KMS实例中的密钥ID完成加解密操作,且加解密操作时云外密钥管理设施中的密钥不会离开密钥管理设施边界,该功能也称为持有自己的密钥(Hold ...
您可以使用密钥管理服务KMS(Key Management Service)轻松地创建密钥,使用密钥加密自己的数据。操作步骤 登录 密钥管理服务控制台。在页面左上角的地域下拉列表,选择密钥所在的地域。在左侧导航栏,单击 用户主密钥。单击 创建密钥。在...
当您为专属KMS标准版实例创建对称密钥材料来源为外部的密钥时,专属KMS不会为您创建的用户主密钥(CMK)在密码机集群生成对称密钥材料,此时您可以将自己的对称密钥材料导入到CMK中。本文为您介绍如何导入外部对称密钥材料。背景信息 您...
当您为专属KMS基础版实例创建密钥后,可以根据实际需求禁用密钥、开启删除保护或计划删除密钥。禁用密钥 密钥创建完成后,默认为启用状态。您可以禁用密钥,被禁用的密钥无法用于加密解密、签名验签。登录 密钥管理服务控制台。在页面左上...
密钥管理服务KMS(Key Management Service)面向阿里云产品提供默认加密能力,加密时您可以使用云产品默认创建的服务密钥,也可以使用在KMS中自行创建的密钥。本文介绍云产品集成KMS加密的优势以及加密机制等。阿里云产品集成KMS加密的优势...
密钥服务(Key Service)密钥服务为您提供密钥安全存储和生命周期管理、使用密钥进行数据加密和解密、数字签名和验签等密码运算服务。关于密钥服务的更多信息,请参见 密钥服务概述。凭据管理(Secrets Manager)凭据管理为您提供凭据的全...
重要 软件密钥、硬件密钥、默认密钥中的服务密钥和主密钥均可进行信封加密,但默认密钥中的服务密钥和主密钥仅用于云产品服务端加密,不能用于用户自建应用加密,软件密钥、硬件密钥不仅可用于云产品服务端加密,也可用于用户自建应用加密...
使用说明 概述 本接口通过随机数生成器产生数据密钥,使用KMS密钥的初始版本对数据密钥加密,并返回数据密钥的明文和密文。您可以使用返回的数据密钥明文(Plaintext),在KMS之外对数据进行加密。请保存数据密钥密文(CiphertextBlob)、...
密钥服务是KMS的核心组件,提供密钥的全托管和保护能力,支持基于云原生接口的极简数据加密和数字签名。托管和保护密钥 功能 说明 参考文档 托管和管理密钥 您在KMS托管的密钥叫做用户主密钥CMK(Customer Master Key)。您可以对CMK进行...
使用说明 概述 本接口通过随机数生成器产生数据密钥,使用KMS密钥的初始版本对数据密钥加密,并返回数据密钥的明文和密文。您可以使用返回的数据密钥明文(Plaintext),在KMS之外对数据进行加密。请保存数据密钥密文(CiphertextBlob)、...
使用说明 概述 本接口通过随机数生成器产生数据密钥,使用KMS密钥的主版本对数据密钥加密,并返回数据密钥的明文和密文。您可以使用返回的数据密钥明文(Plaintext),在KMS之外对数据进行加密。请保存数据密钥密文和认证数据(Aad),以便...
用户主密钥(CMK)一旦删除,将无法恢复,使用该CMK加密的内容及产生的数据密钥也将无法解密。因此,对于CMK的删除,KMS只提供计划删除的方式,而不提供直接删除的方式。本文介绍如何计划删除密钥。背景信息 为CMK设置预删除周期后,密钥...