密钥更新

操作场景

创建KMS密钥后，用户可使用密钥对HDFS分区进行加密，为保证数据安全性，管理员可定时对密钥进行手动或者自动更新。

前提条件

• 已安装KMS服务，且服务正常运行并已对接第三方KMS服务器。
• 用户已创建密钥。

操作步骤

手动更新密钥

1. 登录KMS服务所在集群的FusionInsight Manager。
2. 选择“集群 > 待操作集群的名称 > 服务 > KMS”，打开KMS服务页面。
3. 选择“更多 > 更新所有密钥”，在“验证身份”窗口输入管理员密码，单击“确定”。
4. 在弹出的“更新所有密钥”窗口中单击“确定”，系统开始更新密钥，等待操作完成。

自动更新密钥

1. 登录KMS服务所在集群的FusionInsight Manager。
2. 选择“集群 > 待操作集群的名称 > 服务 > KMS > 配置 > 全部配置”，打开KMS服务配置页面。
3. 在左侧参数导航树中选择“KMS > 更新”。
4. 按需求修改相关参数，设置自动更新密钥。具体参数信息如表1所示：

   表1 自动更新密钥参数

   参数名	默认值	描述
   kms.auto.key-rollover.enabled	true	设置KMS是否启用自动更新密钥特性。
   kms.auto.key-rollover.cron.expression	0 1 * * 6	KMS进行自动更新密钥操作的CRON表达式，用于控制自动更新密钥操作的开始时间。 仅当“kms.auto.rollover-key.enabled”设置为“true”时本参数才有效，默认值“0 1 * * 6”表示在每周六的1点执行任务。
   kms.auto.key-rollover.keys.list	ALL_KEYS	KMS进行自动更新的密钥列表，用逗号分隔。如果设置为“ALL_KEYS”，表示对所有密钥进行自动更新。 仅当“kms.auto.rollover-key.enabled”设置为“true”时本参数才有效。

密钥更新结束之后，可以选择“运维 > 告警 > 事件”，在事件页面查看密钥更新详情。