创建密钥

前提条件

账号拥有KMS CMKFullAccess及以上权限。

约束条件

• 用户最多可创建20个自定义密钥，不包含默认密钥。
• 创建的对称密钥使用的是AES算法密钥，AES-256密钥可用于小量数据的加解密或用于加解密数据密钥。
• 创建的非对称密钥使用的是RSA密钥或ECC密钥，RSA密钥可用于加解密、数字签名及验签，ECC密钥仅用于数字签名及验签。
• 因为默认密钥的别名后缀为“/default”，所以用户创建的密钥别名后缀不能为“/default”。
• 数据加密服务不限定密钥的调用次数。

应用场景

• 对象存储服务中对象的服务端加密。
• 云硬盘中数据的加密。
• 私有镜像的加密。
• 云数据库中数据库实例的磁盘加密。
• 自定义密钥直接加解密小数据。
• 用户应用程序的DEK加解密。
• 消息认证码生成与校验。
• 非对称密钥可用于数字签名及验签。

创建密钥

1. 登录管理控制台。
2. 单击页面左侧，选择“安全 > 数据加密服务”，默认进入“密钥管理”界面。
3. 单击界面右上角“创建密钥”。
4. 在弹出的“创建密钥”对话框中，填写密钥参数。
   • 别名：待创建密钥的别名。
     

     • 输入字符支持数字、字母、“_”、“-”、“:”和“/”。
     • 支持长度为1 ~ 255个字符。
   • 密钥算法：选择密钥算法。KMS支持的密钥算法说明如表1所示。

     表1 KMS支持的密钥算法类型

     密钥类型	算法类型	密钥规格	说明	用途
     对称密钥	AES	AES_256	AES对称密钥	小量数据的加解密或用于加解密数据密钥。
     非对称密钥	RSA	RSA_2048 RSA_3072 RSA_4096	RSA非对称密钥	小量数据的加解密或数字签名。
     	ECC	EC_P256 EC_P384	椭圆曲线密码，使用NIST推荐的椭圆曲线	数字签名

   • 密钥用途：可选择“SIGN_VERIFY”、“ENCRYPT_DECRYPT”、“GENERATE_VERIFY_MAC”。
     • 对于AES_256对称密钥，默认值“ENCRYPT_DECRYPT”。
     • 对于RSA非对称密钥，可选择“ENCRYPT_DECRYPT”或“SIGN_VERIFY”，省略参数为默认值“SIGN_VERIFY”。
     • 对于ECC非对称密钥，默认值“SIGN_VERIFY”。
     

     创建密钥时请选择“密钥用途”，密钥创建后不可修改。

   • （可选）描述：可根据自己的需要为自定义密钥添加描述。
     

     支持长度为1 ~ 255个字符。

   • 企业项目：该参数针对企业用户使用。

     如果您是企业用户，且已创建企业项目，则请从下拉列表中为密钥选择需要绑定的企业项目，默认项目为“default”。

     未开通企业管理的用户页面则没有“企业项目”参数项，无需进行配置。

5. （可选）用户可根据自己的需要为自定义密钥添加标签，输入“标签键”和“标签值”。
   

   • 当用户在创建密钥完成后，需要为该自定义密钥添加标签，可单击该自定义密钥的别名，进入密钥详情页面，单击“标签”， 为该自定义密钥添加标签。
   • 同一个自定义密钥下，一个标签键只能对应一个标签值；不同的自定义密钥下可以使用相同的标签键。
   • 用户最多可以给单个自定义密钥添加20个标签。
   • 当同时添加多个标签，需要删除其中一个待添加的标签时，可单击该标签所在行的“删除”，删除标签。

6. 单击“确定”，在页面右上角弹出“创建密钥成功”，则说明密钥创建完成。

   用户可在密钥列表上查看已完成创建的密钥，密钥默认状态为“启用”。

相关操作

• 对象存储服务中对象的服务端加密方法，具体请参见《对象存储服务用户指南》的“使用服务端加密方式上传文件”章节。
• 云硬盘中数据加密方法，具体请参见《云硬盘用户指南》的“创建云硬盘”章节。
• 私有镜像的加密方法，具体请参见《镜像服务用户指南》的“加密镜像”章节。
• 云数据库中数据库实例的磁盘加密方法，具体请参见《云数据库RDS快速入门》的“购买实例”章节。
• 创建DEK、不含明文的DEK方法，具体请参见《数据加密服务接口参考》的“创建数据密钥”与“创建不含明文数据密钥”章节。
• 用户应用程序的DEK加解密方法，具体请参见《数据加密服务接口参考》的“加密数据密钥”与“解密数据密钥”章节。