功能特性
密钥管理,即密钥管理服务(Key Management Service, KMS),是一种安全、可靠、简单易用的密钥托管服务,帮助您轻松创建和管理密钥,保护密钥的安全。
KMS通过使用硬件安全模块HSM(Hardware Security Module, HSM)保护密钥的安全,所有的用户密钥都由HSM中的根密钥保护,避免密钥泄露。并且HSM模块满足FIPS 140-2 Level 3安全要求。
KMS对密钥的所有操作都会进行访问控制及日志跟踪,提供所有密钥的使用记录,满足审计和合规性要求。
功能介绍
功能 |
服务内容 |
|---|---|
密钥全生命周期管理 |
|
用户自带密钥 |
导入密钥、删除密钥材料 |
小数据加解密 |
在线工具加解密小数据 |
签名验签 |
消息或消息摘要的签名、签名验证
说明:
仅支持通过API调用。 |
密钥标签 |
添加、搜索、编辑、删除标签 |
密钥轮换 |
开启、修改、关闭密钥轮换周期 |
密钥授权 |
创建、撤销、查询授权 |
退役授权
说明:
仅支持通过API调用。 |
|
云服务加密 |
对象存储服务OBS加密 |
云硬盘服务EVS加密 |
|
镜像服务IMS加密 |
|
弹性文件服务SFS加密(SFS文件系统加密) |
|
弹性文件服务SFS加密(SFS Turbo文件系统加密) |
|
云数据库RDS(MySQL、PostgreSQL、SQL Server引擎)加密 |
|
文档数据库服务DDS加密 |
|
数据仓库服务DWS加密 |
|
数据加密密钥管理 |
创建、加密、解密数据加密密钥
说明:
仅支持通过API调用。 |
生成硬件真随机数 |
生成512bit的随机数,为加密系统提供基于硬件真随机数的密钥材料和加密参数
说明:
仅支持通过API调用。 |
消息认证码 |
生成、验证消息认证码
说明:
仅支持通过API调用。 |
密钥库管理 |
创建、禁用、删除密钥库 |
KMS支持的密钥算法
KMS创建的对称密钥使用的是AES、SM4加解密算法。KMS创建的非对称密钥支持RSA、ECC、SM2算法。
密钥类型 |
算法类型 |
密钥规格 |
说明 |
适用场景 |
|---|---|---|---|---|
对称密钥 |
AES |
AES_256 |
AES对称密钥 |
|
对称密钥 |
SM4 |
SM4 |
国密SM4对称密钥 |
|
摘要密钥 |
SHA |
|
摘要密钥 |
|
摘要密钥 |
SM3 |
HMAC_SM3 |
国密SM3摘要密钥 |
|
非对称密钥 |
RSA |
|
RSA非对称密钥 |
|
ECC |
|
椭圆曲线密码,使用NIST推荐的椭圆曲线 |
数字签名和验签 |
|
非对称密钥 |
SM2 |
SM2 |
国密SM2非对称密钥 |
|
通过外部导入的密钥支持的密钥包装加解密算法如表3所示。
专属密钥库
KMS通过专属密钥库支持HYOK功能,帮助用户完全自主可控名下的用户主密钥,用户主密钥不脱离加密机,并且密码运算完全在加密机中完成。与默认密钥库不同,用户可以通过专属加密集群随时对密钥进行全生命周期管理。
专属加密实例基础版、铂金版(国内)均支持HYOK功能。
HYOK(Hold Your Own Key)是指用户可以完全控制其密钥,密钥始终归用户所有。
专属密钥库操作可参见激活集群以及创建密钥库。专属密钥库支持的算法类型如表 专属密钥库的密钥算法类型所示。
密钥类型 |
算法类型 |
密钥规格 |
说明 |
适用场景 |
|---|---|---|---|---|
对称密钥 |
AES |
AES_256 |
AES对称密钥 |
|
对称密钥 |
SM4 |
SM4 |
国密SM4对称密钥 |
|
非对称密钥 |
RSA |
|
RSA非对称密钥 |
|
ECC |
|
椭圆曲线密码,使用NIST推荐的椭圆曲线 |
数字签名和验签 |
|
非对称密钥 |
SM2 |
SM2 |
国密SM2非对称密钥 |
|
密钥区域性
KMS通过密钥区域性,实现密钥跨区域使用。每组用户主密钥与副本密钥具有相同的密钥材料,因此可以实现单区域的加密数据在不同区域进行解密,解决因跨区导致的无法解密。
您可以独立管理多个区域的密钥,副本密钥同样支持创建密钥别名、启用、禁用、标签、授权、在线加解密。副本密钥的轮换无法自主设置,需按照主密钥的轮换设置进行同步轮换。
密钥区域性原理如图 密钥区域性所示。
使用场景 |
说明 |
|---|---|
灾备场景 |
如果密钥所在区域出现欠费资源冻结或异常无法处理数据解密,替换使用另一区域中的副本密钥进行正常数据处理,保证业务不中断。 |
跨区域签名验签 |
如果由于业务需要,客户业务处于不同区域,可通过不同区域密钥实现签名验签解密,提升业务对接高效性。 |
