更新时间:2024-12-09 GMT+08:00
分享

创建密钥

该任务指导用户通过密钥管理界面创建自定义密钥。

自定义密钥包括“对称密钥”“非对称密钥”

前提条件

账号拥有KMS CMKFullAccess及以上权限。

约束条件

  • 用户最多可创建100个自定义密钥,不包含默认密钥。创建副本密钥会占用该区域自定义密钥配额。
  • 创建的对称密钥使用的是AES算法密钥,AES-256密钥可用于小量数据的加解密或用于加解密数据密钥,HMAC密钥用于数据完成性校验。
  • 创建的非对称密钥使用的是RSA密钥或ECC密钥,RSA密钥可用于加解密、数字签名及验签,ECC密钥仅用于数字签名及验签。
  • 因为默认密钥的别名后缀为“/default”,所以用户创建的密钥别名后缀不能为“/default”
  • 通过API接口方式调用KMS密钥时,每月每个密钥可免费调用20000次。。

应用场景

创建密钥

  1. 登录管理控制台
  2. 单击管理控制台左上角,选择区域或项目。
  3. 单击页面左侧,选择安全与合规 > 数据加密服务,默认进入“密钥管理”界面。
  4. 单击界面右上角“创建密钥”
  5. 进入“创建密钥”页面,填写密钥参数。

    图1 创建密钥
    表1 密钥参数配置

    参数

    描述

    密钥名称

    待创建的密钥的名称。

    说明:
    • 输入字符支持数字、字母、“_”、“-”、“:”和“/”。
    • 支持长度为1 ~ 255个字符。

    密钥算法

    选择密钥算法,KMS支持的密钥算法说明如表2所示。

    密钥用途

    密钥的用途,密钥用途创建后不支持修改。可选择“SIGN_VERIFY”“ENCRYPT_DECRYPT”“GENERATE_VERIFY_MAC”

    • 对于AES_256对称密钥,默认值“ENCRYPT_DECRYPT”
    • 对于HMAC对称密钥,默认值“GENERATE_VERIFY_MAC”
    • 对于RSA非对称密钥,可选择“ENCRYPT_DECRYPT”“SIGN_VERIFY”,省略参数为默认值“SIGN_VERIFY”
    • 对于ECC非对称密钥,默认值“SIGN_VERIFY”
    • 对于SM2非对称密钥,可选择“ENCRYPT_DECRYPT”“SIGN_VERIFY”,省略参数为默认值“SIGN_VERIFY”

    企业项目

    该参数针对企业用户使用。

    如果您是企业用户,且已创建企业项目,则请从下拉列表中为密钥选择需要绑定的企业项目,默认项目为“default”

    未开通企业管理的用户页面则没有“企业项目”参数项,无需进行配置。

    说明:

    所属密钥库

    选择密钥归属的密钥库。如果需新建密钥库,请参见创建密钥库

    密钥材料来源

    • 密钥管理
    • 外部

    高级配置

    • 描述信息

      密钥的描述信息。

    • 标签

      可根据自己的需要为凭据添加标签。更多标签相关操作请参见标签管理

      说明:

      最多可以给单个凭据添加20个标签。

    • 密钥算法:选择密钥算法。KMS支持的密钥算法说明如表2所示。
      表2 KMS支持的密钥算法类型

      密钥类型

      算法类型

      密钥规格

      说明

      用途

      对称密钥

      AES

      • AES_256

      AES对称密钥

      小量数据的加解密或用于加解密数据密钥。

      对称密钥

      SM4

      • SM4

      国密SM4对称密钥

      小量数据的加解密或用于加解密数据密钥。

      摘要密钥

      SHA

      • HMAC_256
      • HMAC_384
      • HMAC_512

      SHA摘要密钥

      • 数据防篡改
      • 数据完整性校验

      摘要密钥

      SM3

      • HMAC_SM3

      国密SM3摘要密钥

      • 数据防篡改
      • 数据完整性校验

      非对称密钥

      RSA

      • RSA_2048
      • RSA_3072
      • RSA_4096

      RSA非对称密钥

      小量数据的加解密或数字签名。

      ECC

      • EC_P256
      • EC_P384

      椭圆曲线密码,使用NIST推荐的椭圆曲线

      数字签名

      非对称密钥

      SM2

      • SM2

      国密SM2非对称密钥

      小量数据的加解密或数字签名。

  6. 单击“确定”,完成密钥创建。用户可在密钥列表上查看已完成创建的密钥,密钥材料来源为“密钥管理”时默认状态为“启用”;密钥材料来源为“外部”时默认状态为“等待导入”

相关操作

  • 对象存储服务中对象的服务端加密方法,具体请参见《对象存储服务控制台指南》“使用服务端加密方式上传文件”章节。
  • 云硬盘中数据加密方法,具体请参见《云硬盘用户指南》的“购买云硬盘”章节。
  • 私有镜像的加密方法,具体请参见《镜像服务用户指南》“加密镜像”章节。
  • 云数据库中数据库实例的磁盘加密方法,具体请参见《云数据库RDS快速入门》“购买实例”章节。
  • 创建DEK、不含明文的DEK方法,具体请参见《数据加密服务API参考》“创建数据密钥”“创建不含明文数据密钥”章节。
  • 用户应用程序的DEK加解密方法,具体请参见《数据加密服务API参考》“加密数据密钥”“解密数据密钥”章节。

相关文档