SDK 中的 SecretID 和 SecretKey 在哪里获取?
您需使用主账号登录 API 密钥管理控制台 获取您的 SecretID 和 SecretKey。请您务必保存好您的 SecretID 和 SecretKey 不被泄露。 如何创建用户主密钥 CMK ?
创建用户主密钥 CMK 是否有个数限制?
是。每账户每区域下限制创建200个 CMK,计划删除状态下的除外。不包含云产品密钥。如需创建更多的 CMK,请 提交工单 或联系腾讯云商务。 创建密钥时,密钥材料来源可以选择外部,这个是外部是指什么?BYOK 方案是指什么?
外部是指使用用户自己的密钥密钥材料。
BYOK(Bring Your Own Key)是实现用户使用自己密钥材料的一个方案,其方式是通过 KMS 服务生成一个密钥材料为空的 CMK,并将自己的密钥材料导入到该用户主密钥中,形成一个外部密钥 CMK(EXTERNAL CMK),再由 KMS 服务进行该外部密钥的分发管理。
修改用户主密钥的别名或描述信息,通过接口请求的方式,需要多久才能生效?
接口成功请求后会立即生效 。
是否支持轮换用户主密钥 CMK ?如何开启?
注意:
不支持轮换的用户主密钥:
非对称的用户主密钥 CMK 。
使用外部密钥材料的用户主密钥 CMK。
开启轮换后,业务是否需要做更改?
密钥轮换只会更改用户主密钥的密钥材料,用户主密钥的属性(密钥 ID、别名、描述、权限)不会发生变化。
开启密钥轮换后,密钥管理服务会根据设置的轮换周期(默认365天)自动轮换密钥,每次轮换都会生成一个新版本的用户主密钥,轮换的密钥加解密数据的方式如下所示:
加密数据时,KMS 会自动使用当前最新版本的用户主密钥来执行加密操作。
解密数据时,KMS 会自动使用加密时所使用的用户主密钥来执行解密操作。
如何选择数据加密算法?
对称加解密:对称加解密算法包括 SM4 和 AES,其算法的选择是系统根据创建主密钥时上传的地区自动分配,例如地区选择的是“中国区”,即系统会选择 SM4 算法。
非对称加解密:非对称加解密算法包括模长为2048比特的 RSA 密钥和 SM2,其算法的选择由您创建主密钥时选择的地区和 KeyUsage 共同决定。
注意:
通过 API 接口方式创建用户主密钥,建议在创建之前先查询当前地区支持的 加密方式,从而确保创建的正确性。