创建密钥

前提条件

账号拥有KMS CMKFullAccess及以上权限。

约束条件

• 用户最多可创建100个自定义密钥，不包含默认密钥。创建副本密钥会占用该区域自定义密钥配额。
• 创建的对称密钥使用的是AES算法密钥，AES-256密钥可用于小量数据的加解密或用于加解密数据密钥，HMAC密钥用于数据完成性校验。
• 创建的非对称密钥使用的是RSA密钥或ECC密钥，RSA密钥可用于加解密、数字签名及验签，ECC密钥仅用于数字签名及验签。
• 因为默认密钥的别名后缀为“/default”，所以用户创建的密钥别名后缀不能为“/default”。
• 数据加密服务密钥通过接口每月每个密钥可免费调用次数20000次。

应用场景

• 对象存储服务中对象的服务端加密。
• 云硬盘中数据的加密。
• 私有镜像的加密。
• 云数据库中数据库实例的磁盘加密。
• 自定义密钥直接加解密小数据。
• 用户应用程序的DEK加解密。
• 消息认证码生成与校验。
• 非对称密钥可用于数字签名及验签。

创建密钥

1. 登录管理控制台。
2. 单击管理控制台左上角，选择区域或项目。
3. 单击页面左侧，选择“安全与合规 > 数据加密服务”，默认进入“密钥管理”界面。
4. 单击界面右上角“创建密钥”。
5. 进入“创建密钥”页面，填写密钥参数。
   图1 创建密钥
   
   • 密钥名称：待创建的密钥的名称。
     

     • 输入字符支持数字、字母、“_”、“-”、“:”和“/”。
     • 支持长度为1 ~ 255个字符。
   • 密钥算法：选择密钥算法。KMS支持的密钥算法说明如表1所示。

     表1 KMS支持的密钥算法类型

     密钥类型	算法类型	密钥规格	说明	用途
     对称密钥	AES	AES_256	AES对称密钥	小量数据的加解密或用于加解密数据密钥。
     对称密钥	SM4	SM4	国密SM4对称密钥	小量数据的加解密或用于加解密数据密钥。
     摘要密钥	SHA	HMAC_256 HMAC_384 HMAC_512	SHA摘要密钥	数据防篡改 数据完整性校验
     摘要密钥	SM3	HMAC_SM3	国密SM3摘要密钥	数据防篡改 数据完整性校验
     非对称密钥	RSA	RSA_2048 RSA_3072 RSA_4096	RSA非对称密钥	小量数据的加解密或数字签名。
     	ECC	EC_P256 EC_P384	椭圆曲线密码，使用NIST推荐的椭圆曲线	数字签名
     非对称密钥	SM2	SM2	国密SM2非对称密钥	小量数据的加解密或数字签名。

   • 密钥用途：可选择“SIGN_VERIFY”、“ENCRYPT_DECRYPT”、“GENERATE_VERIFY_MAC”。
     • 对于AES_256对称密钥，默认值“ENCRYPT_DECRYPT”。
     • 对于HMAC对称密钥，默认值“GENERATE_VERIFY_MAC”。
     • 对于RSA非对称密钥，可选择“ENCRYPT_DECRYPT”或“SIGN_VERIFY”，省略参数为默认值“SIGN_VERIFY”。
     • 对于ECC非对称密钥，默认值“SIGN_VERIFY”。
     • 对于SM2非对称密钥，可选择“ENCRYPT_DECRYPT”或“SIGN_VERIFY”，省略参数为默认值“SIGN_VERIFY”。
     

     创建密钥时请选择“密钥用途”，密钥创建后不可修改。

   • （可选）描述：可根据自己的需要为自定义密钥添加描述。
     

     支持长度为1 ~ 255个字符。

   • 企业项目：该参数针对企业用户使用。

     如果您是企业用户，且已创建企业项目，则请从下拉列表中为密钥选择需要绑定的企业项目，默认项目为“default”。

     未开通企业管理的用户页面则没有“企业项目”参数项，无需进行配置。

     

     • 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。更多关于企业项目的信息，请参见《什么是企业项目管理？》。
     • 如需开通企业项目，请参考如何开通企业项目/企业多账号。
   • 所属密钥库：选择密钥归属的密钥库。如果需新建密钥库，请参见创建密钥库 。
   • 密钥材料来源：支持选择密钥管理和外部。
     

     需要导入密钥材料时，需要选择外部，生成外部密钥后，通过密钥列表中的导入密钥材料进行导入操作。

6. （可选）用户可根据自己的需要为自定义密钥添加标签。

   标签以键值对的形式表示，用于标识存储库，便于对存储库进行分类和搜索。此处的标签仅用于存储库的过滤和管理。一个存储库最多添加10个标签。如您的组织已经设定数据加密服务的相关标签策略，则需按照标签策略规则为密钥、凭据等添加标签。标签如果不符合标签策略的规则，则可能会导致密钥、凭据创建失败，请联系组织管理员了解标签策略详情。

   

   • 当用户在创建密钥完成后，需要为该自定义密钥添加标签，可单击该自定义密钥的别名，进入密钥详情页面，单击“标签”， 为该自定义密钥添加标签。
   • 同一个自定义密钥下，一个标签键只能对应一个标签值；不同的自定义密钥下可以使用相同的标签键。
   • 用户最多可以给单个自定义密钥添加20个标签。
   • 当同时添加多个标签，需要删除其中一个待添加的标签时，可单击该标签所在行的“删除”，删除标签。

7. 单击“确定”，在页面右上角弹出“创建密钥成功”，则说明密钥创建完成。

   用户可在密钥列表上查看已完成创建的密钥，密钥默认状态为“启用”。

相关操作

• 对象存储服务中对象的服务端加密方法，具体请参见《对象存储服务控制台指南》的“使用服务端加密方式上传文件”章节。
• 云硬盘中数据加密方法，具体请参见《云硬盘用户指南》的“购买云硬盘”章节。
• 私有镜像的加密方法，具体请参见《镜像服务用户指南》的“加密镜像”章节。
• 云数据库中数据库实例的磁盘加密方法，具体请参见《云数据库RDS快速入门》的“购买实例”章节。
• 创建DEK、不含明文的DEK方法，具体请参见《数据加密服务API参考》的“创建数据密钥”与“创建不含明文数据密钥”章节。
• 用户应用程序的DEK加解密方法，具体请参见《数据加密服务API参考》的“加密数据密钥”与“解密数据密钥”章节。