文档中心

是否可以导出用户主密钥？

不可以。为确保用户主密钥的安全，用户只能在KMS中创建，并通过API接口调用实现加密等操作，无法导出用户主密钥。

哪些云服务支持密钥管理系统加密数据？

KMS 服务无缝对接云硬盘、对象存储和弹性文件产品，通过 KMS 提供信封加密的方式对云产品数据进行加密。

用户自建主密钥与默认主密钥有何区别？

用户主密钥：是用户通过控制台或 API 来创建的用户主密钥。您可以对用户密钥进行创建/设置别名/上传自带密钥材料/启用/禁用/轮转/版本管理/删除等操作。用户主密钥按照标准资费进行计费。

默认主密钥：是用户首次通过云服务调用KMS实现加密时，由系统自动生成的主密钥，别名以云产品命名，如“alias/ecs”。不支持禁用/删除/轮转/上传自带密钥材料等操作。默认主密钥免费提供密钥管理服务，API调用费与用户主密钥一同统计收费。

如果用户主密钥被禁用/删除，用户数据是否还可以解密？

不可以。被禁用的密钥无法用于加密和解密。若想继续使用密钥解密，则需将密钥变为启用中。

若用户主密钥被彻底删除，KMS将不再保留任何该密钥的数据，使用该密钥加密的数据将无法解密；

因此密钥管理不支持立即删除操作，仅支持计划删除，在用户设置的计划删除的期限到达时删除密钥，用户可以通过KMS界面取消计划删除用户主密钥。

若用户主密钥是通过KMS导入的密钥，且仅删除了密钥材料，则可以将本地备份的密钥材料再次导入原来的空密钥，回收用户数据。若密钥材料没有在本地备份，则无法回收用户数据。

用户最多可以创建多少个主密钥？

对于对称密钥，暂不限制创建个数。对于非对称密钥，目前限制密钥的版本数量，即同一用户在同一资源池最多创建50个版本。