SDK 中的 SecretID 和 SecretKey 在哪里获取?
如何创建用户主密钥 CMK ?
创建用户主密钥 CMK 是否有个数限制?
创建密钥时,密钥材料来源可以选择外部,外部是指什么?BYOK 方案是指什么?
外部是指使用用户自己的密钥材料。
BYOK(Bring Your Own Key)是实现用户使用自己密钥材料的一个方案,其方式是通过 KMS 服务生成一个密钥材料为空的 CMK,并将自己的密钥材料导入到该用户主密钥中,形成一个外部密钥 CMK(EXTERNAL CMK),再由 KMS 服务进行该外部密钥的分发管理。
修改用户主密钥的别名或描述信息,通过接口请求的方式,需要多久才能生效?
接口成功请求后会立即生效。
是否支持轮换用户主密钥 CMK ?如何开启?
注意:
不支持轮换的用户主密钥:
非对称的用户主密钥 CMK
使用外部密钥材料的用户主密钥 CMK
开启轮换后,业务是否需要做更改?
密钥轮换只会更改用户主密钥的密钥材料,用户主密钥的属性(密钥 ID、别名、描述、权限)不会发生变化。
开启密钥轮换后,密钥管理服务会根据设置的轮换周期(默认365天)自动轮换密钥,每次轮换都会生成一个新版本的用户主密钥,轮换的密钥加解密数据的方式如下所示:
加密数据时,KMS 会自动使用当前最新版本的用户主密钥来执行加密操作。
解密数据时,KMS 会自动使用加密时所使用的用户主密钥来执行解密操作。
如何选择数据加密算法?
对称加解密:对称加解密算法包括 SM4和 AES256,其算法的选择是系统根据创建主密钥时上传的地区自动分配。如地区选择的是“中国国内站”,即系统会选择 SM4算法;当选择的是“非中国国内站”,则系统会选择 AES256算法。
非对称加解密:非对称加解密算法包括模长为2048比特的 RSA 密钥和 SM2,其算法的选择由您创建主密钥时选择的地区和 KeyUsage 共同决定。
注意:
