开通密钥管理服务后，您可以在控制台轻松地创建不同类型的密钥，以满足各类业务场景的需求。同时密钥集中托管在KMS服务中，便于统一管理，满足安全与合规要求。

前提条件

已开通密钥管理服务。

步骤一：创建应用接入点

1. 登录密钥管理服务控制台。

2. 在页面最上方的导航栏选择服务所在的区域。

3. 进入“应用接入点”页面，点击创建应用接入点。

   

4. 在弹出的创建对话框，根据页面提示进行配置。
   配置项说明：

   配置项	说明
   应用接入点名称	自定义名称
   企业项目	选择所属的企业项目
   虚拟私有云	选择当前区域下的虚拟私有云（Virtual Private Cloud，VPC） 说明 此处对应的是您应用所在的虚拟私有云（VPC），即需要连通KMS服务的虚拟私有云（VPC）。
   子网	选择当前VPC内子网。

5. 创建成功后，您可以在应用接入点列表获取“接入点地址”，后续集成SDK时需要。

   

6. 选择需要创建AKSK的应用接入点，单击“详情”，进入应用接入点详情页，选择“身份凭证”页签。

   

7. 单击“创建AccessKey”即可创建访问凭证，请在弹窗中复制或下载该访问凭证。

   

步骤二：创建密钥

1. 在密钥列表的“用户主密钥”中，单击 创建密钥 ，在弹出的创建密钥对话框，根据页面提示进行配置；

   

   配置项说明：

   配置项	说明
   密钥类型	取值： 对称密钥类型： AES_256 Ctyun_SM4 非对称密钥类型： RSA_2048 Ctyun_SM2
   密钥用途	Encrypt/Decrypt：数据加密和解密。 Sign/Verify：产生和验证数字签名。 说明 对称密钥不支持Sign/Verify用途。
   别名	用户主密钥的可选标识。 更多操作，请参见别名管理。
   保护级别	Software：通过软件模块对密钥进行保护。 Hsm：将密钥托管在密码机中，使密钥获得高安全等级的专用硬件的保护。
   描述	密钥的说明信息。
   轮转周期	自动轮转的时间周期。取值： 不开启：不开启轮转 30天 90天 180天 自定义：7~730天 说明 仅对称密钥（AES_256、Ctyun_SM4）支持设置自动轮转周期。
   密钥材料来源	取值： 天翼云KMS：密钥材料将由KMS生成。 外部：KMS将不会生成密钥材料，您需要将自己的密钥材料导入KMS。更多信息，请参见导入密钥材料。 说明 仅对称密钥的AES_256支持设置导入密钥材料。
   企业项目	选择密钥归属的企业项目，默认为default。

2. 点击确定，完成密钥创建。您可以在密钥列表查看密钥ID、密钥状态、密钥类型、密钥用途、密钥保护级别等信息。

   

步骤三：使用密钥

您可以将创建的密钥集成到自建应用中，实现应用层的密码技术改造。同时可用于已集成KMS服务的云产品中，满足云产品服务端加密。

• 自建应用集成KMS实现密码技术改造

  • KMS服务提供极简的OpenAPI，您可以轻松实现调用，用于数据加解密、签名验签等场景。

    具体调用方式，请参见API参考。

  • KMS提供SDK，方便用户集成，并通过私网服务地址访问KMS服务。

    具体调用方式，请参见SDK参考。

• 云产品集成KMS密钥实现服务端加密

  当前KMS服务已为云硬盘、对象存储、弹性文件、关系数据库MySQL版产品提供服务端加密能力，您在创建云资源时，可一键开启加密，加密过程透明无感知。更多信息，请参见云产品服务端加密。