是否可以導出用戶主密鑰？

不可以。為確保用戶主密鑰的安全，用戶只能在KMS中創建，并通過API接口調用實現加密等操作，無法導出用戶主密鑰。

創建密鑰時，若您選擇密鑰材料來源于天翼云，則KMS系統會自動為用戶主密鑰生成密鑰材料，且密鑰材料無法單獨刪除、不可導出，僅支持隨用戶主密鑰一并刪除；

創建密鑰時，若您選擇密鑰材料來源于外部，則支持手動刪除密鑰材料。

哪些云服務支持密鑰管理系統加密數據？

KMS服務無縫對接云硬盤、對象存儲和彈性文件、數據庫產品，提供服務端加密能力。您只需要在創建云硬盤時，勾選“加密”功能，則可一鍵開啟硬盤加密功能，加密過程透明無感知。

產品底層通過信封加密的方式，實現云產品中數據的加密。

用戶自建主密鑰與默認主密鑰有何區別？

用戶主密鑰：是用戶通過控制臺或 API 來創建的用戶主密鑰。您可以對用戶密鑰進行創建/設置別名/上傳自帶密鑰材料/啟用/禁用/輪轉/版本管理/刪除等操作。用戶主密鑰按照標準資費進行計費。

默認主密鑰：是用戶首次通過云服務調用KMS實現加密時，由系統自動生成的主密鑰，別名以云產品命名，如“alias/ecs”。不支持禁用/刪除/輪轉/上傳自帶密鑰材料等操作。默認主密鑰免費提供密鑰管理服務，API調用費與用戶主密鑰一同統計收費。

如果用戶主密鑰被禁用/刪除，用戶數據是否還可以解密？

不可以。被禁用的密鑰無法用于加密和解密。若想繼續使用密鑰解密，則需將密鑰變為啟用中。

若用戶主密鑰被徹底刪除，KMS將不再保留任何該密鑰的數據，使用該密鑰加密的數據將無法解密；

因此密鑰管理不支持立即刪除操作，僅支持計劃刪除，在用戶設置的計劃刪除的期限到達時刪除密鑰，用戶可以通過KMS界面取消計劃刪除用戶主密鑰。

若用戶主密鑰是通過KMS導入的密鑰，且僅刪除了密鑰材料，則可以將本地備份的密鑰材料再次導入原來的空密鑰，回收用戶數據。若密鑰材料沒有在本地備份，則無法回收用戶數據。

用戶最多可以創建多少個主密鑰？

對于對稱密鑰，暫不限制創建個數。對于非對稱密鑰，目前限制密鑰的版本數量，即同一用戶在同一資源池最多創建50個版本。