文档简介:
密钥常用于保护特定的数据,因此,数据的安全依赖于密钥的安全。您可以通过密钥版本化和定期轮转来加强密钥使用的安全性,实现数据保护的安全策略和最佳实践。
密钥版本概述
KMS中的用户CMK支持多个密钥版本。每一个密钥版本是一个独立生成的密钥,同一个CMK下的多个密钥版本在密码学上互不相关。
-
对于对称密钥,密钥版本可通过自动轮转策略,由系统自动生成。
-
对于非对称密钥,可人工创建新的密钥版本。
设置自动轮转
对称密钥支持设置自动轮转,生成新的密钥版本。对称密钥版本分为主版本和非主版本:
主版本(Primary Key Version)
-
系统根据自动轮转策略,定期生成新的密钥版本,并自动设为主版本。
-
主版本是CMK的活跃加密密钥(Active Encryption Key)。每个CMK在任何时间点上有且仅有一个主版本。
-
调用GenerateDataKey、Encrypt等加密API接口时,KMS使用指定CMK的主版本对明文进行加密。
非主版本(Non-primary Key Version)
-
非主版本是CMK的非活跃加密密钥(Inactive Encryption Key)。每个CMK可以有零到多个非主版本。非主版本历史上曾经是主版本,在当时被用作活跃加密密钥。
-
密钥轮转产生新的主版本后,KMS不会删除或禁用非主版本,它们需要被用作解密数据。
创建密钥版本
由于公私钥使用场景的特殊性,KMS不支持对非对称的用户主密钥进行自动轮转。可在指定用户主密钥中人工创建新的密钥版本,生成全新的一对公钥和私钥。
除此之外,和对称类型的用户主密钥不同,非对称的用于主密钥没有主版本(PrimaryKeyVersion)的概念,因此使用非对称密码运算的接口除需指定用户主密钥标志符(或别名)之外,还需指定密钥版本。
不适用范围
KMS管理的以下类型的密钥不支持多个版本:
-
云产品的默认密钥:特定云产品托管在KMS上的、用于加密保护您的数据的默认密钥。这类密钥由特定云产品为用户代为管理,为您的数据提供最基本的加密保护。
-
用户自带密钥(BYOK):您导入到KMS中的密钥。这类CMK的Origin属性为External,KMS不负责为用户生成密钥材料,无法自动发起轮转行为。更多信息,请参见导入密钥材料。
操作步骤
设置自动轮转(对称密钥)
1. 登录密钥管理服务控制台。
2. 在页面最上方的导航栏的资源池下拉列表,选择密钥所在的区域。
3. 在左侧导航栏,单击密钥管理服务,进入密钥列表。
4. 定位到待设置的对称密钥,点击密钥ID,进入密钥详情页。
5. 在密钥版本区域,点击设置轮转策略。
6. 在设置轮转策略对话框,选择轮转周期,30天、90天、180天,或自定义天数。
7. 设置了自动轮转策略后,将显示密钥下次轮转时间,点击确定完成设置。
8. 可通过相同的步骤更改轮转周期,也可取消轮转策略。
创建密钥版本(非对称密钥)
1. 登录密钥管理服务控制台。
2. 在页面最上方的导航栏的资源池下拉列表,选择密钥所在的区域。
3. 在左侧导航栏,单击密钥管理服务,进入密钥列表。
4. 定位待设置的非对称密钥,点击密钥ID,进入密钥详情页。
5. 在密钥版本区域,点击创建密钥版本。
6. 在弹出的对话框内,点击确定。
7. 在密钥版本列表,可查看密钥版本ID、创建日期。点击查看公钥,在弹出的对话框,可复制或下载公钥。
