更新时间:2024-03-21 GMT+08:00

功能特性

密钥管理,即密钥管理服务(Key Management Service, KMS),是一种安全、可靠、简单易用的密钥托管服务,帮助您轻松创建和管理密钥,保护密钥的安全。

KMS通过使用硬件安全模块HSM(Hardware Security Module, HSM)保护密钥的安全,所有的用户密钥都由HSM中的根密钥保护,避免密钥泄露。并且HSM模块满足FIPS 140-2 Level 3安全要求。

KMS对密钥的所有操作都会进行访问控制及日志跟踪,提供所有密钥的使用记录,满足审计和合规性要求。

功能介绍

  • 用户可通过密钥管理界面,对用户主密钥进行以下操作:
    • 创建、查看、启用、禁用、计划删除、取消删除用户主密钥
    • 修改用户主密钥的别名和描述
    • 在线工具加解密小数据
    • 导入密钥、删除密钥材料
    • 添加、搜索、编辑、删除标签
    • 创建、撤销、查询授权
  • 用户可通过密钥管理的接口执行以下操作:
    • 对数据加密密钥进行创建、加密或解密操作。
    • 对授予的权限进行退役授权操作

    具体请参见《数据加密服务接口参考》

  • 生成硬件真随机数

    用户可通过密钥管理的接口生成512bit的随机数,为加密系统提供基于硬件真随机数的密钥材料和加密参数,具体请参见《数据加密服务接口参考》

KMS支持的密钥算法

KMS创建的对称密钥使用的是AES加解密算法。KMS创建的非对称密钥支持RSA、ECC算法。

表1 KMS支持的密钥算法类型

密钥类型

算法类型

密钥规格

说明

适用场景

对称密钥

AES

AES_256

AES对称密钥

  • 数据的加解密
  • 加解密数据密钥
    说明:

    小量数据的加解密可通过控制台在线工具进行。

    大量数据的加解密需要调用API接口进行。

非对称密钥

RSA

  • RSA_2048
  • RSA_3072
  • RSA_4096

RSA非对称密钥

  • 数字签名和验签
  • 数据的加解密
    说明:

    非对称密钥适用于签名和验签场景,加密数据效率不高,加解密数据推荐使用对称密钥。

ECC

  • EC_P256
  • EC_P384

椭圆曲线密码,使用NIST推荐的椭圆曲线

数字签名和验签

通过外部导入的密钥支持的密钥包装加解密算法如表 密钥包装算法说明所示。

表2 密钥包装算法说明

密钥包装算法

说明

设置

RSAES_OAEP_SHA_256

具有“SHA-256”哈希函数的OAEP的RSA加密算法。

请您根据自己的HSM功能选择加密算法。

如果您的HSM支持“RSAES_OAEP_SHA_256”加密算法,推荐使用“RSAES_OAEP_SHA_256”加密密钥材料。