文档首页 > > 用户指南> 密钥管理> 轮换密钥> 背景信息

背景信息

分享
更新时间:2020/08/17 GMT+08:00

广泛重复的使用加密密钥,会对加密密钥的安全造成风险。为了确保加密密钥的安全性,您需要为用户主密钥创建新的密钥材料。

您可以通过以下两种方式创建新的密钥材料。

  • 手动轮换密钥
    您可以在KMS界面创建新的用户主密钥来代替原有的用户主密钥。

    若华为云服务(例如:OBS)使用KMS的用户主密钥加解密数据,需要手动轮换密钥时,用户需要在KMS界面创建一个新的用户主密钥,并在OBS界面将原用户主密钥替换为新的用户主密钥。

  • 自动轮换密钥

    为现有的用户主密钥开启密钥轮换,KMS自动为该用户主密钥生成新的密钥材料。

    密钥轮换只会更改用户主密钥的密钥材料,用户主密钥的属性(密钥ID、别名、描述、权限)不会发生变化。

    开启密钥轮换后,KMS会根据设置的轮换周期(默认365天)自动轮换密钥,每次轮换都会生成一个新版本的用户主密钥,如图1所示。

    图1 密钥轮换工作原理

    KMS会保留与该用户主密钥关联的所有版本的用户主密钥。这使得KMS可以解密使用该用户主密钥加密的任何密文。

    • 加密数据时,KMS会自动使用当前最新版本的用户主密钥来执行加密操作。
    • 解密数据时,KMS会自动使用加密时所使用的用户主密钥来执行解密操作。
    表1 自动轮换密钥的工作方式

    密钥的来源或状态

    是否可以进行自动轮换密钥

    默认主密钥

    无法管理其密钥轮换。

    导入的用户主密钥

    不支持自动轮换密钥,您可以手动轮换密钥。

    已禁用的CMK

    禁用CMK后,KMS不会对它进行轮换。但是,密钥轮换状态不会发生改变,并且在CMK处于禁用状态时不能对其进行更改。重新启用CMK后,如果备份的用户主密钥已超过轮换周期,KMS会立即轮换。如果备份的用户主密钥少于轮换周期,KMS会恢复之前的密钥轮换计划。

    计划删除的CMK

    对于计划删除的CMK,KMS不会对它进行轮换。如果取消删除,将恢复之前的密钥轮换状态。如果备份的用户主密钥已超过轮换周期,KMS会立即轮换。如果备份的用户主密钥少于轮换周期,KMS会恢复之前的密钥轮换计划。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好!
反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问