注意:
TBDS在容器形态下支持选配云鼎KMS,主机形态不支持。KMS密钥需要到独立的管理页面进行配置。
集群默认开启 Ranger KMS,如果需要开启云鼎 KMS(选配),可参考如下配置步骤:
登录管控服务TCS,登录租户端。
获取 API 密钥。
记录下 SecretId 和 SecretKey。用密钥管理员账号登录密钥管理系统,创建 KMS 主密钥,系统登录网址:http://{IP}:{port}/web/。
点击左侧导航栏用户密钥,进入用户密钥界面。密钥管理员可通过此界面创建和管理密钥信息。
配置参数说明:配置参数 说明 密钥名称 - 必填;同一区域内,密钥的唯一标识;
- 密钥名称只能为字母、数字及字符_和-,且不能以 “KMS-” 开头。
描述信息 选填;用来说明您计划保护的数据类型或计划与 CMK 配合使用的应用程序。 密钥用途 必选;选择对称加解密、非对称加解密或者非对称签名验签。 加密算法 当密钥用途为非对称加解密、非对称签名验签时加密算法可选; - 非对称加解密:RSA_2048、Kyber_AES ;
- 非对称签名验签:RSA_2048、ECC、Dilithium 。
当密钥用途为对称加解密时,加密算法不可选,默认大陆地区为 SM4,其他地区为 AES_256 。密钥材料来源 必选;选择密钥生成方式,KMS 生成或者用户自有密钥导入。 注意:
密钥材料来源为外部时,只支持用途为对称加解密。
在用户密钥界面,点击目标密钥ID,即可查看该密钥的详细信息。
记录下主密钥 ID。修改 Ranger KMS 配置。
install_kms.properties。TENCENT_KMS_ENABLED=true TENCENT_MASTERKEY_ID=第三步获取的ID TENCENT_CLIENT_ID=第二步获取的SecretId TENCENT_CLIENT_SECRET=第二步获取的SecretKey TENCENT_CLIENT_REGION=没用到,不用管 TENCENT_ENDPOINT=kms.api3.auto-deploy.tcs-master.fsphere.cn # 后四段后缀随环境变化
重启 Ranger KMS。创建 key。
登录 RangerUI 创建 key。
