- 最新动态
- 功能总览
- 产品介绍
- 计费说明
- 快速入门
- 用户指南
- 最佳实践
- API参考
- SDK参考
- 场景代码示例
-
常见问题
-
密钥管理类
- 什么是密钥管理?
- 什么是用户主密钥?
- 什么是默认密钥?
- 自定义密钥与默认密钥有什么区别?
- 什么是数据加密密钥?
- 为什么不能立即删除用户主密钥?
- 哪些云服务使用KMS加密数据?
- 华为云服务如何使用KMS加密数据?
- 信封加密方式有什么优势?
- 在KMS中创建的自定义密钥的个数是否有限制?
- 是否可以从KMS中导出用户主密钥?
- 如果自定义密钥被彻底删除,用户数据是否还可以解密?
- 如何使用在线工具加解密数据?
- 是否可以更新KMS管理的密钥?
- 在什么场景下推荐使用导入的密钥?
- 密钥材料被意外删除时如何处理?
- 默认密钥如何生成?
- 没有权限操作KMS,该如何处理?
- 如何修补OpenSSL以使用-id-aes256-wrap-pad包装非对称密钥?
- 如何修补GmSSL以使用-sms4-wrap-pad包装非对称密钥?
- KMS支持的密钥算法类型
- 请求KMS异常,错误码401,应该如何处理?
- 进行SM2签名时,如何计算SM3摘要?
- 调用encrypt-data接口,返回的密文和明文有什么关系?
- KMS如何保护创建的密钥?
- 如何使用非对称密钥对公钥对签名结果进行验签?
- 外部导入的密钥支持轮转吗?
- 密钥管理服务支持离线加解密数据吗?
- 为什么SM2算法签名结果不是64字节?
- 如何将原始EC私钥转换成PKCS8格式的私钥对象?
- 如何将原始SM2私钥转换成PKCS8格式的私钥对象?
- 凭据管理类
-
密钥对管理类
- 密钥对的配额是多少?
- 如何创建密钥对?
- 什么是私有密钥对和账号密钥对?
- 导入通过PuTTYgen工具创建的密钥对失败如何处理?
- 使用IE9浏览器无法导入密钥对如何处理?
- 如何使用私钥登录Linux弹性云服务器?
- 如何通过私钥获取Windows弹性云服务器的登录密码?
- 绑定密钥对失败如何处理?
- 替换密钥对失败如何处理?
- 重置密钥对失败如何处理?
- 解绑密钥对失败如何处理?
- 替换密钥对后,服务器需要重启吗?
- 关闭弹性云服务器的密码登录方式后如何重新开启?
- 解绑密钥对后用户无法登录ECS时如何处理?
- 私钥不慎遗失怎么办?
- 如何转换私钥文件格式?
- 密钥对在创建主机成功之后可以更改吗?
- 密钥对是否支持多用户共享?
- 如何获取密钥对的私钥或公钥文件?
- 账号密钥首次创建、首次升级时系统报错如何处理?
- 私有密钥对升级账号密钥对后,会占用账号密钥对配额吗?
- 用户联邦身份登录时,私有密钥对升级账号密钥对之后,为什么私有密钥对会不可见?
- 专属加密类
- 计费类
- 通用类
-
密钥管理类
- 视频帮助
- 文档下载
- 通用参考
链接复制成功!
密钥轮换概述
为什么需要轮换密钥
广泛重复的使用加密密钥,会对加密密钥的安全造成风险。为了确保加密密钥的安全性,建议您定期轮换密钥,更改原密钥的密钥材料。
定期轮换密钥有如下优点:
密钥轮换的两种方法
华为云服务提供了两种密钥轮换方法:
- 手动轮换密钥
方式一:创建一个新的密钥B,使用密钥B替换当前正在使用的密钥A。
方式二:对密钥A的密钥材料进行更改,继续使用密钥A。
示例:
以OBS服务为例:需要手动轮换密钥时,用户先在KMS界面创建一个新的自定义密钥,后在OBS界面将原自定义密钥替换为新的自定义密钥。
图1 手动轮换密钥工作原理 - 自动轮换密钥
KMS会根据设置的轮换周期(默认365天)自动轮换密钥,系统自动生成一个新的密钥B,并替换当前使用的密钥A。自动轮换密钥只会更改主密钥的密钥材料,即加密操作中所使用的加密材料。不管密钥材料有没有变更或变更了多少次,该主密钥仍是相同的逻辑资源。主密钥的属性(密钥ID、别名、描述、权限)不会发生变化。
自动密钥轮换具有以下特点:
- 为现有的自定义密钥开启密钥轮换后,KMS自动为该自定义密钥生成新的密钥材料。
- 自动密钥轮换对主密钥所保护的数据无效。它不会轮换主密钥生成的数据密钥,也不会对任何受主密钥保护的数据重新加密,并且它无法减轻数据密钥泄露的影响。
图2 自动密钥轮换工作原理
- 加密数据时,KMS会自动使用当前最新版本的自定义密钥来执行加密操作。
- 解密数据时,KMS会自动使用加密时所使用的自定义密钥来执行解密操作。
密钥支持的轮换方式
密钥的来源或状态 |
支持的密钥轮换方式 |
---|---|
默认密钥 |
不支持密钥轮换。 |
自定义密钥 |
支持自动轮换密钥或手动轮换密钥,根据密钥算法类型决定。
|
已禁用的主密钥 |
禁用主密钥后,KMS不会对它进行轮换。但是,密钥轮换状态不会发生改变,并且在主密钥处于禁用状态时不能对其进行更改。重新启用主密钥后,如果已禁用的自定义密钥已超过轮换周期,KMS会立即轮换。如果已禁用的自定义密钥少于轮换周期,KMS会恢复之前的密钥轮换计划。 关于禁用密钥的信息,请参见已禁用的主密钥。 |
计划删除的主密钥 |
对于计划删除的主密钥,KMS不会对它进行轮换。如果取消删除,将恢复之前的密钥轮换状态。如果计划删除的自定义密钥已超过轮换周期,KMS会立即轮换。如果计划删除的用户主密钥少于轮换周期,KMS会恢复之前的密钥轮换计划。 关于计划删除密钥的信息,请参见计划删除的主密钥。 |
用户可在“轮换策略”页面查看轮换详情,例如:上次轮换时间、轮换次数。
轮换密钥的定价
启用密钥轮换可能会生成额外的费用。费用详情查阅计费说明。