使用场景
本章节为您介绍密钥管理(Key Management Service, KMS)的使用场景。
信息系统满足安全合规要求
- 密钥由经过安全认证的第三方硬件安全模块(HSM)生成,符合中国和国际法律合规的要求。
- 硬件加密模块经过国家密码局管理检测认证,具备国密资质。
- 多台加密机同时运作,服务多AZ部署,支持跨region创建用户主密钥副本进行容灾备份。
KMS提供以下能力,帮助企业满足合规要求:
功能 | 说明 | 参考文档 |
|---|---|---|
密码合规 | KMS通过使用硬件安全模块HSM(Hardware Security Module, HSM)保护密钥的安全,所有的用户密钥都由HSM中的根密钥保护,避免密钥泄露。并且HSM模块满足国家密码管理局认证安全要求。 | |
数据保密性 | 通过KMS对个人隐私进行加密保护,防止个人隐私在攻击场景下泄露,满足数据保护相关法律法规要求。 | |
身份认证和访问控制 | KMS通过接入访问控制(RAM),实现统一的认证和授权管理。 | |
审计密钥的使用 | KMS将所有的API调用记录存储到云审计服务(CTS),操作审计可以对密钥的使用情况进行合规性审计。 同时,KMS支持通过配置审计(Config)服务的资源合规特性,可以帮助您快速创建一组DEW合规规则,用于评估您的资源是否满足合规要求。 |
敏感数据加密保护
您可以通过数据加密技术,保护云上产生或存储的敏感数据。KMS支持您通过多种方式实现对敏感数据的加密保护。
加密保护方式 | 诉求 | 说明 | 参考文档 |
|---|---|---|---|
应用系统使用KMS对数据直接加密 | 有少量数据需要加解密时,可以通过KMS界面使用在线工具加解密数据,或者调用KMS的API接口使用指定的用户主密钥直接加密、解密数据。当前支持不大于4KB的小数据加解密。 例如:密码、证书、电话号码等。 | 调用KMS的加密API,使用密钥直接加密敏感数据。 | |
应用系统使用KMS对数据进行信封加密 | 有大量数据需要加解密时,用户可采用信封加密方式加解密数据,无需通过网络传输大量数据即可完成数据加解密。 例如:照片、视频或者数据库文件等。 | 采用信封加密技术将密钥存储在KMS中,仅部署加密后的数据密钥。仅在需要使用数据密钥时,通过KMS获取数据密钥的明文,用于本地的业务数据加解密。 您也可以使用封装了信封加密的加密SDK进行加密保护。 | |
云产品服务端加密 | 为云上的IT设施数据安全的环境提供基础保障。 例如:通过对象存储服务端加密,保护存储敏感数据的OBS桶或通过数据库透明数据加密(TDE),保护存储敏感数据的表。 | 如果您使用华为云产品来保存数据,您可以使用云产品的服务端加密功能,更有效地对数据进行加密保护。 |
场景示例
应用自集成KMS
