概述

可信密钥服务（Trusted Key Service，TKS），旨在为用户提供基于硬件保护的高安全、高可用的密钥管理和代理服务。

创建可信密钥环

1. 进入「可信密钥服务」点击「创建可信密钥环」；
2. 输入合法的密钥环名称和密钥环描述，点击「确定」提交执行，即可在可信密钥环查看新增的记录。

创建可信密钥

通过火山引擎TKS随机创建可信密钥

1. 进入「可信密钥服务」选择任意密钥环点击操作栏「详情」；
2. 进入密钥环详情点击「创建可信密钥」；
3. 根据提示输入合法的必填参数，密钥来源选择【火山引擎TKS】，点击「确定」提交执行。

通过外部导入方式创建可信密钥

1. 进入「可信密钥服务」选择任意密钥环数据点击操作栏「详情」；
2. 进入密钥环详情点击「创建可信密钥」；
3. 根据提示输入合法的必填参数，密钥来源选择【外部导入】，点击「确定」提交执行。

外部导入

• 依赖程序
  • python3.7+
  • cryptography （安装pip install cryptography）
• 导入密钥
  • 准备密钥文件secret-key.bin

# 作为示例，以下命令将会生成一个长度为16 Bytes (128bits) 的随机密钥到secret-key.bin文件中
openssl rand -out secret-key.bin 16

# 作为示例，以下命令将会生成一个长度为32 Bytes (256 bits) 的随机密钥到secret-key.bin文件中
openssl rand -out secret-key.bin 32

• 在可信密钥服务模块先创建密钥环及可信密钥，选择“外部导入”方式，配置后可获得导入材料，保存密钥导入材料为tks-import-material.txt

• 获取密钥导入脚本

wget https://jeddak-cc-infra.tos-cn-beijing.volces.com/tks/tks-client-script.py

• 执行上述脚本

python tks-client-script.py -s=secret-key.bin -m=tks-import-material.txt

• 执行完毕后，将会产生密钥导入参数client-import-param.txt以及加密密钥client-encrypted-key.txt，通过可信密钥服务页面找到对应的密钥名称，点击「导入密钥」，分别填写导入参数和加密密钥两个素材，完成密钥导入。

配置可信密钥策略

1. 未配置策略的密钥记录里，操作项里面点击「配置证明策略」；
2. 从已有的策略中单项选择策略并点击「确定」；
3. 查看密钥服务的策略状态，策略状态由「未配置」变更为「已配置」。

更新密钥证明策略

1. 已配置策略的密钥记录，操作项里面点击「更新证明策略」；
2. 从已有的策略中指定某个策略并点击「确定」，更新成功后只有符合新策略的请求才可以拿到密钥。