文档首页/ 数据加密服务 DEW/ 产品介绍/ 密钥管理/ 功能特性
更新时间:2025-06-20 GMT+08:00
查看PDF
分享

功能特性

密钥管理,即密钥管理服务(Key Management Service, KMS),是一种安全、可靠、简单易用的密钥托管服务,帮助您轻松创建和管理密钥,保护密钥的安全。

KMS通过使用硬件安全模块HSM(Hardware Security Module, HSM)保护密钥的安全,所有的用户密钥都由HSM中的根密钥保护,避免密钥泄露。并且HSM模块满足FIPS 140-2 Level 3安全要求。

KMS对密钥的所有操作都会进行访问控制及日志跟踪,提供所有密钥的使用记录,满足审计和合规性要求。

功能介绍

  • 用户可通过密钥管理界面,对用户主密钥进行以下操作:
    • 创建、查看、启用、禁用、计划删除、取消删除用户主密钥
    • 修改用户主密钥的别名和描述
    • 在线工具加解密小数据
    • 添加、搜索、编辑、删除标签
    • 创建、撤销、查询授权
  • 用户可通过密钥管理的接口执行以下操作:
    • 对数据加密密钥进行创建、加密或解密操作
    • 对授予的权限进行退役授权操作
    • 消息或消息摘要的签名、签名验证
    • 生成、校验消息认证码

    具体请参见《数据加密服务API参考》

  • 生成硬件真随机数

    用户可通过密钥管理的接口生成512bit的随机数,为加密系统提供基于硬件真随机数的密钥材料和加密参数,具体请参见《数据加密服务API参考》

KMS支持的密钥算法

KMS创建的对称密钥使用的是AES、SM4加解密算法。KMS创建的非对称密钥支持RSA、ECC、SM2算法。

表1 KMS支持的密钥算法类型

密钥类型

算法类型

密钥规格

说明

适用场景

对称密钥

AES

AES_256

AES对称密钥
  • 数据的加解密
  • 加解密数据密钥
    说明:

    小量数据的加解密可通过控制台在线工具进行。

    大量数据的加解密需要调用API接口进行。

摘要密钥

SHA
  • HMAC_256
  • HMAC_384
  • HMAC_512

摘要密钥
  • 数据防篡改
  • 数据完整性校验

非对称密钥

RSA
  • RSA_2048
  • RSA_3072
  • RSA_4096

RSA非对称密钥
  • 数字签名和验签
  • 数据的加解密
    说明:

    非对称密钥适用于签名和验签场景,加密数据效率不高,加解密数据推荐使用对称密钥。

非对称密钥

ECC
  • EC_P256
  • EC_P384

椭圆曲线密码,使用NIST推荐的椭圆曲线

数字签名和验签

非对称密钥

ML-DSA

说明:

ML-DSA算法需提交工单申请开通。
  • ML-DSA-44
  • ML-DSA-65
  • ML-DSA-87

机器学习(ML)算法

抗量子数字签名和验签

通过外部导入的密钥支持的密钥包装加解密算法如下表所示。

表2 密钥包装算法说明

密钥包装算法

说明

设置

RSAES_OAEP_SHA_256

具有“SHA-256”哈希函数的OAEP的RSA加密算法。

请您根据自己的HSM功能选择加密算法。

如果您的HSM支持“RSAES_OAEP_SHA_256”加密算法,推荐使用“RSAES_OAEP_SHA_256”加密密钥材料。

密钥区域性

KMS通过密钥区域性,实现密钥跨区域使用。每组用户主密钥与副本密钥具有相同的密钥材料,因此可以实现单区域的加密数据在不同区域进行解密,解决因跨区导致的无法解密。

您可以独立管理多个区域的密钥,副本密钥同样支持创建密钥别名、启用、禁用、标签、授权、在线加解密。副本密钥的轮换无法自主设置,需按照主密钥的轮换设置进行同步轮换。

密钥区域性原理如图 密钥区域性所示。

图1 密钥区域性
表3 密钥区域性使用场景

使用场景

说明

灾备场景

如果密钥所在区域出现欠费资源冻结或异常无法处理数据解密,替换使用另一区域中的副本密钥进行正常数据处理,保证业务不中断。

跨区域签名验签

如果由于业务需要,客户业务处于不同区域,可通过不同区域密钥实现签名验签解密,提升业务对接高效性。
父主题: 密钥管理