- 最新动态
- 功能总览
- 产品介绍
- 计费说明
- 快速入门
- 用户指南
- 最佳实践
- API参考
- SDK参考
- 场景代码示例
-
常见问题
-
密钥管理类
- 什么是密钥管理?
- 什么是用户主密钥?
- 什么是默认密钥?
- 自定义密钥与默认密钥有什么区别?
- 什么是数据加密密钥?
- 为什么不能立即删除用户主密钥?
- 哪些云服务使用KMS加密数据?
- 华为云服务如何使用KMS加密数据?
- 信封加密方式有什么优势?
- 在KMS中创建的自定义密钥的个数是否有限制?
- 是否可以从KMS中导出用户主密钥?
- 如果自定义密钥被彻底删除,用户数据是否还可以解密?
- 如何使用在线工具加解密数据?
- 是否可以更新KMS管理的密钥?
- 在什么场景下推荐使用导入的密钥?
- 密钥材料被意外删除时如何处理?
- 默认密钥如何生成?
- 没有权限操作KMS,该如何处理?
- 如何修补OpenSSL以使用-id-aes256-wrap-pad包装非对称密钥?
- 如何修补GmSSL以使用-sms4-wrap-pad包装非对称密钥?
- KMS支持的密钥算法类型
- 请求KMS异常,错误码401,应该如何处理?
- 进行SM2签名时,如何计算SM3摘要?
- 调用encrypt-data接口,返回的密文和明文有什么关系?
- KMS如何保护创建的密钥?
- 如何使用非对称密钥对公钥对签名结果进行验签?
- 外部导入的密钥支持轮转吗?
- 密钥管理服务支持离线加解密数据吗?
- 为什么SM2算法签名结果不是64字节?
- 如何将原始EC私钥转换成PKCS8格式的私钥对象?
- 如何将原始SM2私钥转换成PKCS8格式的私钥对象?
- 凭据管理类
-
密钥对管理类
- 密钥对的配额是多少?
- 如何创建密钥对?
- 什么是私有密钥对和账号密钥对?
- 导入通过PuTTYgen工具创建的密钥对失败如何处理?
- 使用IE9浏览器无法导入密钥对如何处理?
- 如何使用私钥登录Linux弹性云服务器?
- 如何通过私钥获取Windows弹性云服务器的登录密码?
- 绑定密钥对失败如何处理?
- 替换密钥对失败如何处理?
- 重置密钥对失败如何处理?
- 解绑密钥对失败如何处理?
- 替换密钥对后,服务器需要重启吗?
- 关闭弹性云服务器的密码登录方式后如何重新开启?
- 解绑密钥对后用户无法登录ECS时如何处理?
- 私钥不慎遗失怎么办?
- 如何转换私钥文件格式?
- 密钥对在创建主机成功之后可以更改吗?
- 密钥对是否支持多用户共享?
- 如何获取密钥对的私钥或公钥文件?
- 账号密钥首次创建、首次升级时系统报错如何处理?
- 私有密钥对升级账号密钥对后,会占用账号密钥对配额吗?
- 用户联邦身份登录时,私有密钥对升级账号密钥对之后,为什么私有密钥对会不可见?
- 专属加密类
- 计费类
- 通用类
-
密钥管理类
- 视频帮助
- 文档下载
- 通用参考
链接复制成功!
功能特性
密钥管理,即密钥管理服务(Key Management Service, KMS),是一种安全、可靠、简单易用的密钥托管服务,帮助您轻松创建和管理密钥,保护密钥的安全。
KMS通过使用硬件安全模块HSM(Hardware Security Module, HSM)保护密钥的安全,所有的用户密钥都由HSM中的根密钥保护,避免密钥泄露。并且HSM模块满足FIPS 140-2 Level 3安全要求。
KMS对密钥的所有操作都会进行访问控制及日志跟踪,提供所有密钥的使用记录,满足审计和合规性要求。
功能介绍
功能 |
服务内容 |
---|---|
密钥全生命周期管理 |
|
用户自带密钥 |
导入密钥、删除密钥材料 |
小数据加解密 |
在线工具加解密小数据 |
签名验签 |
消息或消息摘要的签名、签名验证 仅支持通过API调用。 |
密钥标签 |
添加、搜索、编辑、删除标签 |
密钥轮换 |
开启、修改、关闭密钥轮换周期 |
密钥授权 |
创建、撤销、查询授权 |
退役授权 仅支持通过API调用。 |
|
密钥区域性 |
跨区域创建副本密钥 |
云服务加密 |
对象存储服务OBS加密 |
云硬盘服务EVS加密 |
|
镜像服务IMS加密 |
|
弹性文件服务SFS加密(SFS文件系统加密) |
|
弹性文件服务SFS加密(SFS Turbo文件系统加密) |
|
云数据库RDS(MySQL、PostgreSQL、SQL Server引擎)加密 |
|
文档数据库服务DDS加密 |
|
数据仓库服务DWS加密 |
|
数据加密密钥管理 |
创建、加密、解密数据加密密钥 仅支持通过API调用。 |
生成硬件真随机数 |
生成512bit的随机数,为加密系统提供基于硬件真随机数的密钥材料和加密参数 仅支持通过API调用。 |
消息认证码 |
生成、验证消息认证码 仅支持通过API调用。 |
密钥库管理 |
创建、禁用、删除密钥库 |
KMS支持的密钥算法
KMS创建的对称密钥使用的是AES、SM4加解密算法。KMS创建的非对称密钥支持RSA、ECC、SM2算法。
密钥类型 |
算法类型 |
密钥规格 |
说明 |
适用场景 |
---|---|---|---|---|
对称密钥 |
AES |
AES_256 |
AES对称密钥 |
|
对称密钥 |
SM4 |
SM4 |
国密SM4对称密钥 |
|
摘要密钥 |
SHA |
|
摘要密钥 |
|
摘要密钥 |
SM3 |
HMAC_SM3 |
国密SM3摘要密钥 |
|
非对称密钥 |
RSA |
|
RSA非对称密钥 |
|
ECC |
|
椭圆曲线密码,使用NIST推荐的椭圆曲线 |
数字签名和验签 |
|
非对称密钥 |
SM2 |
SM2 |
国密SM2非对称密钥 |
|
通过外部导入的密钥支持的密钥包装加解密算法如下表所示。
密钥包装算法 |
说明 |
设置 |
---|---|---|
RSAES_OAEP_SHA_256 |
具有“SHA-256”哈希函数的OAEP的RSA加密算法。 |
请您根据自己的HSM功能选择加密算法。 如果您的HSM支持“RSAES_OAEP_SHA_256”加密算法,推荐使用“RSAES_OAEP_SHA_256”加密密钥材料。
须知:
“RSAES_OAEP_SHA_1”加密算法已经不再安全,请谨慎选择。 |
RSAES_OAEP_SHA_1 |
具有“SHA-1”哈希函数的OAEP的RSA加密算法。 |
|
SM2_ENCRYPT |
国密推荐的SM2椭圆曲线公钥密码算法。 |
请在支持国密的局点使用SM2加密算法。 |
专属密钥库
KMS通过专属密钥库支持HYOK功能,帮助用户完全自主可控名下的用户主密钥,用户主密钥不脱离加密机,并且密码运算完全在加密机中完成。与默认密钥库不同,用户可以通过专属加密集群随时对密钥进行全生命周期管理。
专属加密实例基础版、铂金版(国内)均支持HYOK功能。
HYOK(Hold Your Own Key)是指用户可以完全控制其密钥,密钥始终归用户所有。
专属密钥库操作可参见激活集群以及创建密钥库。专属密钥库支持的算法类型如表 专属密钥库的密钥算法类型所示。
密钥类型 |
算法类型 |
密钥规格 |
说明 |
适用场景 |
---|---|---|---|---|
对称密钥 |
AES |
AES_256 |
AES对称密钥 |
|
对称密钥 |
SM4 |
SM4 |
国密SM4对称密钥 |
|
非对称密钥 |
RSA |
|
RSA非对称密钥 |
|
ECC |
|
椭圆曲线密码,使用NIST推荐的椭圆曲线 |
数字签名和验签 |
|
非对称密钥 |
SM2 |
SM2 |
国密SM2非对称密钥 |
|
密钥区域性
KMS通过密钥区域性,实现密钥跨区域使用。每组用户主密钥与副本密钥具有相同的密钥材料,因此可以实现单区域的加密数据在不同区域进行解密,解决因跨区导致的无法解密。
您可以独立管理多个区域的密钥,副本密钥同样支持创建密钥别名、启用、禁用、标签、授权、在线加解密。副本密钥的轮换无法自主设置,需按照主密钥的轮换设置进行同步轮换。
密钥区域性原理如图 密钥区域性所示。
使用场景 |
说明 |
---|---|
灾备场景 |
如果密钥所在区域出现欠费资源冻结或异常无法处理数据解密,替换使用另一区域中的副本密钥进行正常数据处理,保证业务不中断。 |
跨区域签名验签 |
如果由于业务需要,客户业务处于不同区域,可通过不同区域密钥实现签名验签解密,提升业务对接高效性。 |