文档首页/ 数据加密服务 DEW/ 产品介绍/ 密钥管理/ 功能特性
更新时间:2024-07-08 GMT+08:00
查看PDF
分享

功能特性

密钥管理,即密钥管理服务(Key Management Service, KMS),是一种安全、可靠、简单易用的密钥托管服务,帮助您轻松创建和管理密钥,保护密钥的安全。

KMS通过使用硬件安全模块HSM(Hardware Security Module, HSM)保护密钥的安全,所有的用户密钥都由HSM中的根密钥保护,避免密钥泄露。并且HSM模块满足FIPS 140-2 Level 3安全要求。

KMS对密钥的所有操作都会进行访问控制及日志跟踪,提供所有密钥的使用记录,满足审计和合规性要求。

功能介绍

表1 密钥管理

功能

服务内容

密钥全生命周期管理
  • 创建、查看、启用、禁用、计划删除、取消删除自定义密钥
  • 修改自定义密钥的别名和描述

用户自带密钥

导入密钥、删除密钥材料

小数据加解密

在线工具加解密小数据

签名验签

消息或消息摘要的签名、签名验证

说明:

仅支持通过API调用。

密钥标签

添加、搜索、编辑、删除标签

密钥轮换

开启、修改、关闭密钥轮换周期

密钥授权

创建、撤销、查询授权

退役授权

说明:

仅支持通过API调用。

密钥区域性

跨区域创建副本密钥

云服务加密

对象存储服务OBS加密

云硬盘服务EVS加密

镜像服务IMS加密

弹性文件服务SFS加密(SFS文件系统加密)

弹性文件服务SFS加密(SFS Turbo文件系统加密)

云数据库RDS(MySQL、PostgreSQL、SQL Server引擎)加密

文档数据库服务DDS加密

数据仓库服务DWS加密

数据加密密钥管理

创建、加密、解密数据加密密钥

说明:

仅支持通过API调用。

生成硬件真随机数

生成512bit的随机数,为加密系统提供基于硬件真随机数的密钥材料和加密参数

说明:

仅支持通过API调用。

消息认证码

生成、验证消息认证码

说明:

仅支持通过API调用。

密钥库管理

创建、禁用、删除密钥库

KMS支持的密钥算法

KMS创建的对称密钥使用的是AES、SM4加解密算法。KMS创建的非对称密钥支持RSA、ECC、SM2算法。

表2 KMS支持的密钥算法类型

密钥类型

算法类型

密钥规格

说明

适用场景

对称密钥

AES

AES_256

AES对称密钥
  • 数据的加解密
  • 加解密数据密钥
    说明:

    小量数据的加解密可通过控制台在线工具进行。

    大量数据的加解密需要调用API接口进行。

对称密钥

SM4

SM4

国密SM4对称密钥
  • 数据的加解密
  • 加解密数据密钥

摘要密钥

SHA
  • HMAC_256
  • HMAC_384
  • HMAC_512

摘要密钥
  • 数据防篡改
  • 数据完整性校验

摘要密钥

SM3

HMAC_SM3

国密SM3摘要密钥
  • 数据防篡改
  • 数据完整性校验

非对称密钥

RSA
  • RSA_2048
  • RSA_3072
  • RSA_4096

RSA非对称密钥
  • 数字签名和验签
  • 数据的加解密
    说明:

    非对称密钥适用于签名和验签场景,加密数据效率不高,加解密数据推荐使用对称密钥。

ECC
  • EC_P256
  • EC_P384

椭圆曲线密码,使用NIST推荐的椭圆曲线

数字签名和验签

非对称密钥

SM2

SM2

国密SM2非对称密钥
  • 数字签名和验签
  • 小量数据的加解密

通过外部导入的密钥支持的密钥包装加解密算法如表3所示。

表3 密钥包装算法说明

密钥包装算法

说明

设置

RSAES_OAEP_SHA_256

具有“SHA-256”哈希函数的OAEP的RSA加密算法。

请您根据自己的HSM功能选择加密算法。

如果您的HSM支持“RSAES_OAEP_SHA_256”加密算法,推荐使用“RSAES_OAEP_SHA_256”加密密钥材料。

须知:

“RSAES_OAEP_SHA_1”加密算法已经不再安全,请谨慎选择。

RSAES_OAEP_SHA_1

具有“SHA-1”哈希函数的OAEP的RSA加密算法。

SM2_ENCRYPT

国密推荐的SM2椭圆曲线公钥密码算法。

请在支持国密的局点使用SM2加密算法。

专属密钥库

KMS通过专属密钥库支持HYOK功能,帮助用户完全自主可控名下的用户主密钥,用户主密钥不脱离加密机,并且密码运算完全在加密机中完成。与默认密钥库不同,用户可以通过专属加密集群随时对密钥进行全生命周期管理。

专属加密实例基础版、铂金版(国内)均支持HYOK功能。

HYOK(Hold Your Own Key)是指用户可以完全控制其密钥,密钥始终归用户所有。

专属密钥库操作可参见激活集群以及创建密钥库。专属密钥库支持的算法类型如表 专属密钥库的密钥算法类型所示。

表4 专属密钥库的密钥算法类型

密钥类型

算法类型

密钥规格

说明

适用场景

对称密钥

AES

AES_256

AES对称密钥
  • 数据的加解密
  • 加解密数据密钥
    说明:

    小量数据的加解密可通过控制台在线工具进行。

    大量数据的加解密需要调用API接口进行。

对称密钥

SM4

SM4

国密SM4对称密钥
  • 数据的加解密
  • 加解密数据密钥

非对称密钥

RSA
  • RSA_2048
  • RSA_3072
  • RSA_4096

RSA非对称密钥
  • 数字签名和验签
  • 数据的加解密
    说明:

    非对称密钥适用于签名和验签场景,加密数据效率不高,加解密数据推荐使用对称密钥。

ECC
  • EC_P256
  • EC_P384

椭圆曲线密码,使用NIST推荐的椭圆曲线

数字签名和验签

非对称密钥

SM2

SM2

国密SM2非对称密钥
  • 数字签名和验签
  • 小量数据的加解密

密钥区域性

KMS通过密钥区域性,实现密钥跨区域使用。每组用户主密钥与副本密钥具有相同的密钥材料,因此可以实现单区域的加密数据在不同区域进行解密,解决因跨区导致的无法解密。

您可以独立管理多个区域的密钥,副本密钥同样支持创建密钥别名、启用、禁用、标签、授权、在线加解密。副本密钥的轮换无法自主设置,需按照主密钥的轮换设置进行同步轮换。

密钥区域性原理如图 密钥区域性所示。

图1 密钥区域性
表5 密钥区域性使用场景

使用场景

说明

灾备场景

如果密钥所在区域出现欠费资源冻结或异常无法处理数据解密,替换使用另一区域中的副本密钥进行正常数据处理,保证业务不中断。

跨区域签名验签

如果由于业务需要,客户业务处于不同区域,可通过不同区域密钥实现签名验签解密,提升业务对接高效性。
父主题: 密钥管理

相关文档