操作场景
该任务指导用户通过密钥管理界面开启密钥轮换。
广泛重复的使用加密密钥,会对加密密钥的安全造成风险。为了确保加密密钥的安全性,用户需要为用户主密钥创建新的密钥材料。
用户可以通过以下两种方式创建新的密钥材料:
创建新的用户主密钥。
为现有的用户主密钥开启密钥轮换,KMS自动为用户主密钥生成新的密钥材料。
密钥轮换只会更改用户主密钥的密钥材料,用户主密钥的属性(密钥ID、别名、描述、权限)不会发生变化。
开启密钥轮换后,密钥管理服务会根据设置的轮换周期(默认365天)自动轮换密钥,每次轮换都会生成一个新版本的用户主密钥,轮换的密钥加解密数据的方式如下所示:
加密数据时,KMS会自动使用当前最新版本的用户主密钥来执行加密操作。
解密数据时,KMS会自动使用加密时所使用的用户主密钥来执行解密操作。
密钥管理服务会保留与该用户主密钥关联的所有版本的用户主密钥。这使得KMS可以解密使用该用户主密钥加密的任何密文。
默认主密钥和外部导入的密钥不支持密钥轮换。
前提条件
已获取ManageOne运营面(B2B场景为ManageOne租户面)VDC管理员或VDC业务员登录帐号与密码。
密钥处于“启用”状态。
“密钥材料来源”为“密钥管理服务”。