创建密钥

前提条件

使用IAM用户创建密钥时，已授予该IAM用户KMS CMKFullAccess及以上权限策略，详细操作请参见创建用户并授权使用DEW。

约束条件

• 用户最多可创建20个自定义密钥，不包含默认密钥。
• 创建的对称密钥使用的是AES算法密钥，AES-256密钥可用于小量数据的加解密或用于加解密数据密钥。
• 创建的非对称密钥使用的是RSA密钥或ECC密钥，RSA密钥可用于加解密、数字签名及验签，ECC密钥仅用于数字签名及验签。
• 因为默认密钥的别名后缀为“/default”，所以用户创建的密钥别名后缀不能为“/default”。
• 数据加密服务不限定密钥的调用次数。

应用场景

• 对象存储服务中对象的服务端加密。
• 云硬盘中数据的加密。
• 私有镜像的加密。
• 云数据库中数据库实例的磁盘加密。
• 自定义密钥直接加解密小数据。
• 用户应用程序的DEK加解密。
• 消息认证码生成与校验。
• 非对称密钥可用于数字签名及验签。

创建密钥

1. 登录管理控制台。
2. 单击管理控制台左上角，选择区域或项目。
3. 单击页面左侧，选择“安全 > 数据加密服务”，默认进入“密钥管理”界面。
4. 单击界面右上角“创建密钥”。
5. 进入“创建密钥”页面，填写密钥参数。
   • 密钥算法：选择密钥算法。KMS支持的密钥算法说明如表1所示。

     表1 KMS支持的密钥算法类型

     密钥类型	算法类型	密钥规格	说明	适用场景
     对称密钥	AES	AES_256	AES对称密钥	数据的加解密 加解密数据密钥 说明： 小量数据的加解密可通过控制台在线工具进行。 大量数据的加解密需要调用API接口进行。
     非对称密钥	RSA	RSA_2048 RSA_3072 RSA_4096	RSA非对称密钥	数字签名和验签 数据的加解密 说明： 非对称密钥适用于签名和验签场景，加密数据效率不高，加解密数据推荐使用对称密钥。
     	ECC	EC_P256 EC_P384	椭圆曲线密码，使用NIST推荐的椭圆曲线	数字签名和验签

   • 密钥用途：可选择“SIGN_VERIFY”、“ENCRYPT_DECRYPT”。
     • 对于AES_256对称密钥，默认值“ENCRYPT_DECRYPT”。
     • 对于RSA非对称密钥，可选择“ENCRYPT_DECRYPT”或“SIGN_VERIFY”，省略参数为默认值“SIGN_VERIFY”。
     • 对于ECC非对称密钥，默认值“SIGN_VERIFY”。
     

     创建密钥时请选择“密钥用途”，密钥创建后不可修改。

   • 企业项目：该参数针对企业用户使用。

     如果您是企业用户，且已创建企业项目，则请从下拉列表中为密钥选择需要绑定的企业项目，默认项目为“default”。

     未开通企业管理的用户页面则没有“企业项目”参数项，无需进行配置。

6. 单击“确定”，完成密钥创建。

相关操作

• 对象存储服务中对象的服务端加密方法，具体请参见《对象存储服务用户指南》的“使用服务端加密方式上传文件”章节。
• 云硬盘中数据加密方法，具体请参见《云硬盘用户指南》的“创建云硬盘”章节。
• 私有镜像的加密方法，具体请参见《镜像服务用户指南》的“加密镜像”章节。
• 云数据库中数据库实例的磁盘加密方法，具体请参见《云数据库RDS快速入门》的“购买实例”章节。
• 创建DEK、不含明文的DEK方法，具体请参见《数据加密服务接口参考》的“创建数据密钥”与“创建不含明文数据密钥”章节。
• 用户应用程序的DEK加解密方法，具体请参见《数据加密服务接口参考》的“加密数据密钥”与“解密数据密钥”章节。