什么是数据加密服务

密钥管理服务

（Key Management Service, KMS）

密钥管理是一种安全、可靠、简单易用的密钥托管服务，帮助您轻松创建和管理密钥，保护密钥的安全。

KMS通过使用硬件安全模块（Hardware Security Module，HSM）保护密钥安全，HSM模块满足FIPS 140-2 Leave 3安全要求。帮助用户轻松创建和管理密钥，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。

密钥概述

云凭据管理服务

（Cloud Secret Management Service，CSMS）

凭据管理是一种安全、可靠、简单易用的凭据托管服务。

用户或应用程序通过凭据管理服务，创建、检索、更新、删除凭据，轻松实现对敏感凭据的全生命周期和统一管理，有效避免程序硬编码或明文配置等问题导致的敏感信息泄密以及权限失控带来的业务风险。

创建凭据

密钥对管理服务

（Key Pair Service, KPS）

密钥对管理是一种安全、可靠、简单易用的SSH密钥对托管服务，帮助用户集中管理SSH密钥对，保护SSH密钥对的安全。

KPS是利用HSM产生的硬件真随机数来生成密钥对，并提供了一套完善和可靠的密钥对的管理方案，帮助用户轻松创建、导入和管理SSH密钥对。生成的SSH密钥对的公钥文件均保存在KPS中，私钥文件由用户自己下载保存在本地，从而保障了SSH密钥对的私有性和安全性。

创建密钥对

专属加密

（Dedicated Hardware Security Module，Dedicated HSM）

专属加密是一种云上数据加密的服务，可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。

Dedicated HSM为您提供加密硬件，帮助您保护弹性云服务器上数据的安全性和完整性，满足监管合规要求。同时，用户能够对专属加密实例生成的密钥进行安全可靠的管理，也能使用多种加密算法来对数据进行可靠的加解密运算。

专属加密

硬件安全模块

（Hardware Security Module，HSM）

硬件安全模块是一种用于保护和管理强认证系统所使用的密钥同时提供相关密码学操作的计算机硬件设备。

-

用户主密钥

（Customer Master Key，CMK）

用户主密钥是用户或云服务通过密钥管理创建的密钥，是一种密钥加密密钥，主要用于加密并保护数据加密密钥。一个用户主密钥可以加密多个数据加密密钥。

用户主密钥分为自定义密钥和默认密钥。

什么是用户主密钥？

默认密钥

（Default Key）

默认密钥是对象存储服务（Object Storage Service，OBS）等其他云服务自动通过密钥管理为用户创建的用户主密钥，其别名后缀为“/default”。

什么是默认密钥？

密钥材料

（Key Material）

密钥材料是密码运算操作的重要输入之一，与密钥ID、基本元数据共同组成用户主密钥（Customer Master Key，CMK）。

-

信封加密

（Envelope Encryption）

信封加密是一种加密手段，将加密数据的数据密钥封入信封中存储、传递和使用，不再使用用户主密钥直接加解密数据。

信封加密方式有什么优势？

数据加密密钥

（Data Encrypt Key，DEK）

数据加密密钥是用于加密数据的密钥。

什么是数据加密密钥？

对称密钥加密

对称密钥加密又称专用密钥加密。信息的发送方和接收方使用相同密钥去加密和解密数据。

优点：加密和解密速度快。

缺点：每对密钥需保持唯一性，所以用户量大时密钥管理困难。

适用场景：加密大量数据。

密钥概述

非对称密钥加密

非对称密钥加密又称公开密钥加密。它需要使用一对密钥来分别完成加密和解密的操作，一个公开发布，即公开密钥，另一个由用户自己秘密保存，即私用密钥。

优点：加密和解密使用密钥不同，所以安全性高。

缺点：加密和解密速度较慢。

适用场景：对敏感信息加密。

密钥概述

密钥对

密钥对是非对称密钥中的一个公钥和对应的私钥，默认采用RSA _2048位的加密方式。

密钥对管理

私有密钥对

私有密钥对是仅支持当前帐号查看或使用的密钥对。

创建密钥对

帐号密钥对

帐号密钥对是支持本帐号下所有用户查看或使用的密钥对。

升级密钥对