开启密钥轮换
KMS提供了密钥轮换功能,您可以通过定期轮转来加强密钥使用的安全性,有效地提升业务数据的安全性。本文介绍KMS密钥轮转的原理和配置方法。
默认情况下,自定义密钥的自动密钥轮换处于禁用状态。当您启用(或重新启用)密钥轮换时,KMS会根据您设置的轮换周期自动轮换自定义密钥。开启密钥轮换后会产生一定费用,具体费用计算可参见开通密钥轮转如何收费?。
密钥轮换的两种方法
华为云服务提供了两种密钥轮换方法:
- 手动轮换密钥
方式一:创建一个新的密钥B,使用密钥B替换当前正在使用的密钥A。
方式二:对密钥A的密钥材料进行更改,继续使用密钥A。
示例:
以OBS服务为例:需要手动轮换密钥时,用户先在KMS界面创建一个新的自定义密钥,后在OBS界面将原自定义密钥替换为新的自定义密钥。
图1 手动轮换密钥工作原理
- 自动轮换密钥
KMS会根据设置的轮换周期(默认365天)自动轮换密钥,系统自动生成一个新的密钥B,并替换当前使用的密钥A。自动轮换密钥只会更改主密钥的密钥材料,即加密操作中所使用的加密材料。不管密钥材料有没有变更或变更了多少次,该主密钥仍是相同的逻辑资源。主密钥的属性(密钥ID、别名、描述、权限)不会发生变化。
自动密钥轮换具有以下特点:
- 为现有的自定义密钥开启密钥轮换后,KMS自动为该自定义密钥生成新的密钥材料。
- 自动密钥轮换对主密钥所保护的数据无效。它不会轮换主密钥生成的数据密钥,也不会对任何受主密钥保护的数据重新加密,并且它无法减轻数据密钥泄露的影响。
图2 自动密钥轮换工作原理
- 加密数据时,KMS会自动使用当前最新版本的自定义密钥来执行加密操作。
- 解密数据时,KMS会自动使用加密时所使用的自定义密钥来执行解密操作。
密钥支持的轮换方式
|
密钥的来源或状态 |
支持的密钥轮换方式 |
|---|---|
|
默认密钥 |
不支持密钥轮换。 |
|
自定义密钥 |
支持自动轮换密钥或手动轮换密钥,根据密钥算法类型决定。
|
|
已禁用的主密钥 |
禁用主密钥后,KMS不会对它进行轮换。但是,密钥轮换状态不会发生改变,并且在主密钥处于禁用状态时不能对其进行更改。重新启用主密钥后,如果已禁用的自定义密钥已超过轮换周期,KMS会立即轮换。如果已禁用的自定义密钥少于轮换周期,KMS会恢复之前的密钥轮换计划。 |
|
计划删除的主密钥 |
对于计划删除的主密钥,KMS不会对它进行轮换。如果取消删除,将恢复之前的密钥轮换状态。如果计划删除的自定义密钥已超过轮换周期,KMS会立即轮换。如果计划删除的用户主密钥少于轮换周期,KMS会恢复之前的密钥轮换计划。 |
用户可在“轮换策略”页面查看轮换详情,例如:上次轮换时间、轮换次数。
约束条件
- 如果自定义密钥开启密钥轮换以后,禁用了自定义密钥,KMS也不会轮换该自定义密钥。
当自定义密钥恢复到“启用”状态时,密钥轮换将立即重新激活。如果刚恢复“启用”状态的自定义密钥距离上次轮换的时间已超过轮换周期,KMS将在24小时内轮换该自定义密钥。
- 只有区域主密钥可以进行轮转,副本密钥不支持进行密钥轮转。
- 仅对称密钥支持开启密钥轮换。
- 密钥必须处于“启用”状态,且“密钥材料来源”为“密钥管理”,才支持开启密钥轮换,导入的密钥材料不支持自动轮转。
- 启用密钥轮换可能会生成额外的费用。费用详情查阅计费说明。
启用密钥轮换
- 登录DEW管理控制台。
- 单击管理控制台左上角
,选择区域或项目。
关闭密钥轮换
- 单击目标自定义密钥的名称,进入密钥详细信息页面。
- 单击“轮换策略”页签,进入“轮换策略”页面。
- 单击
,关闭密钥轮换。 - 在弹出的确认是否关闭密钥轮换提示框中,单击“确定”,完成关闭密钥轮换操作。
