功能特性
密钥管理,即密钥管理服务(Key Management Service, KMS),是一种安全、可靠、简单易用的密钥托管服务,帮助您轻松创建和管理密钥,保护密钥的安全。
KMS通过使用硬件安全模块HSM(Hardware Security Module, HSM)保护密钥的安全,所有的用户密钥都由HSM中的根密钥保护,避免密钥泄露。并且HSM模块满足FIPS 140-2 Level 3安全要求。
KMS对密钥的所有操作都会进行访问控制及日志跟踪,提供所有密钥的使用记录,满足审计和合规性要求。
功能介绍
KMS支持的密钥算法
KMS创建的对称密钥使用的是AES、SM4加解密算法。KMS创建的非对称密钥支持RSA、ECC、SM2算法。
密钥类型 |
算法类型 |
密钥规格 |
说明 |
适用场景 |
---|---|---|---|---|
对称密钥 |
AES |
AES_256 |
AES对称密钥 |
|
摘要密钥 |
SHA |
|
摘要密钥 |
|
非对称密钥 |
RSA |
|
RSA非对称密钥 |
|
非对称密钥 |
ECC |
|
椭圆曲线密码,使用NIST推荐的椭圆曲线 |
数字签名和验签 |
非对称密钥 |
ML-DSA
说明:
ML-DSA算法需提交工单申请开通。 |
|
机器学习(ML)算法 |
抗量子数字签名和验签 |
通过外部导入的密钥支持的密钥包装加解密算法如下表所示。
密钥包装算法 |
说明 |
设置 |
---|---|---|
RSAES_OAEP_SHA_256 |
具有“SHA-256”哈希函数的OAEP的RSA加密算法。 |
请您根据自己的HSM功能选择加密算法。 如果您的HSM支持“RSAES_OAEP_SHA_256”加密算法,推荐使用“RSAES_OAEP_SHA_256”加密密钥材料。 |
密钥区域性
KMS通过密钥区域性,实现密钥跨区域使用。每组用户主密钥与副本密钥具有相同的密钥材料,因此可以实现单区域的加密数据在不同区域进行解密,解决因跨区导致的无法解密。
您可以独立管理多个区域的密钥,副本密钥同样支持创建密钥别名、启用、禁用、标签、授权、在线加解密。副本密钥的轮换无法自主设置,需按照主密钥的轮换设置进行同步轮换。
密钥区域性原理如图 密钥区域性所示。
使用场景 |
说明 |
---|---|
灾备场景 |
如果密钥所在区域出现欠费资源冻结或异常无法处理数据解密,替换使用另一区域中的副本密钥进行正常数据处理,保证业务不中断。 |
跨区域签名验签 |
如果由于业务需要,客户业务处于不同区域,可通过不同区域密钥实现签名验签解密,提升业务对接高效性。 |