約束條件

• 用戶最多可創建20個自定義密鑰，不包含默認密鑰。
• 創建的對稱密鑰使用的是AES-256加解密算法，密鑰長度為256bit，可用于小量數據的加解密或用于加解密數據密鑰。
• 創建的非對稱密鑰使用的是RSA密鑰或ECC密鑰，RSA密鑰可用于加解密、數字簽名及驗簽，ECC密鑰僅用于數字簽名及驗簽。
• 因為默認密鑰的別名后綴為“/default”，所以用戶創建的密鑰別名后綴不能為“/default”。
• 數據加密服務不限定主密鑰的調用次數。

應用場景

• 對象存儲服務中對象的服務端加密。
• 云硬盤中數據的加密。
• 私有鏡像的加密。
• 自定義密鑰直接加解密小數據。
• 用戶應用程序的DEK加解密。
• 非對稱密鑰可用于數字簽名及驗簽。

創建密鑰

步驟 1 登錄管理控制臺。

步驟 2 單擊管理控制臺左上角，選擇區域。

步驟 3 單擊“服務列表”，選擇“安全> 數據加密服務”，默認進入“密鑰管理”界面。

步驟 4 單擊界面右上角“創建密鑰”。

步驟 5 在彈出的“創建密鑰”對話框中，填寫密鑰參數。

• 別名：待創建密鑰的別名。

                    
說明
                    
輸入字符支持數字、字母、“_”、“-”、“:”和“/”。
支持長度為1 ~ 255個字符。
                    
                  
                  

• 密鑰算法：選擇密鑰算法。KMS支持的密鑰算法說明如下表所示。

密鑰類型
算法類型
密鑰規格
說明
用途
對稱密鑰
AES
AES_256
AES對稱密鑰
小量數據的加解密或用于加解密數據密鑰。
對稱密鑰
SM4
SM4
國密SM4對稱密鑰
小量數據的加解密或用于加解密數據密鑰。
非對稱密鑰
RSA
RSA_2048、RSA_3072、RSA_4096
RSA非對稱密鑰
小量數據的加解密或數字簽名。
ECC
EC_P256、EC_P384
橢圓曲線密碼，使用NIST推薦的橢圓曲線
數字簽名
非對稱密鑰
SM2
SM2
國密SM2非對稱密鑰
小量數據的加解密或數字簽名。

• 密鑰用途：可選擇“SIGN_VERIFY”或“ENCRYPT_DECRYPT”。
  • 對于對稱密鑰，默認值“ENCRYPT_DECRYPT”。
  • 對于RSA非對稱密鑰，可選擇“ENCRYPT_DECRYPT”或“SIGN_VERIFY”，省略參數為默認值“SIGN_VERIFY”。
  • 對于ECC非對稱密鑰，默認值“SIGN_VERIFY”。
  • 對于SM2非對稱密鑰，可選擇“ENCRYPT_DECRYPT”或“SIGN_VERIFY”，省略參數為默認值“SIGN_VERIFY”。

                    
說明
                    
創建密鑰時請選擇“密鑰用途”，密鑰創建后不可修改。
（可選）描述：可根據自己的需要為自定義密鑰添加描述。
企業項目：該參數針對企業用戶使用。
如果您是企業用戶，且已創建企業項目，則請從下拉列表中為密鑰選擇需要綁定的企業項目，默認項目為“default”
未開通企業管理的用戶頁面則沒有“企業項目”參數項，無需進行配置。
                    
                  
                  

步驟 6 （可選）用戶可根據自己的需要為自定義密鑰添加標簽，輸入“標簽鍵”和“標簽值”。

                    
說明
                    
當用戶在創建密鑰時，沒有為該自定義密鑰添加標簽。若用戶需要為該自定義密鑰添加標簽，可單擊該自定義密鑰的別名，進入密鑰詳情頁面，單擊“標簽”，為該自定義密鑰添加標簽。
同一個自定義密鑰下，一個標簽鍵只能對應一個標簽值；不同的自定義密鑰下可以使用相同的標簽鍵。
用戶最多可以給單個自定義密鑰添加20個標簽。
當同時添加多個標簽，需要刪除其中一個待添加的標簽時，可單擊該標簽所在行的“刪除”，刪除標簽。
                    
                  
                  

步驟 7 單擊“確定”，在頁面右上角彈出“創建密鑰成功”，則說明密鑰創建完成。

用戶可在密鑰列表上查看已完成創建的密鑰，密鑰默認狀態為“啟用”。