密钥管理服务提供密钥的全托管的生命周期管理能力,支持基于API接口的数据加解密和数字签名验签。
KMS支持的密钥类型说明
KMS对加密算法、保护级别以及应用场景的支持情况请参见如下表格。
密码算法大类 | 密码算法子类 | 保护级别 | 是否支持加解密 | 是否支持签名验签 |
对称密钥 | AES_256 | Software HSM | 支持 | 不支持 |
非对称密钥 | RSA_2048 | Software HSM | 支持 | 支持 |
对称密钥主要用于数据的加密保护场景,可通过接口调用进行在线加密或者信封加密。更多信息,请参见对称加密概述。
非对称密钥可用于数据加密和数字签名。在KMS创建的非对称用户主密钥(CMK),由一对关联的公钥和私钥构成。公钥可以被分发给任何人,而私钥由KMS确保安全性,不提供任何接口导出非对称密钥的私钥。使用者仅能通过接口调用私钥进行签名运算或者数据解密。更多信息,请参见非对称加密概述。
密钥生命周期管理
KMS提供集中托管的密钥全生命周期管理,您可以轻松创建并使用密钥。
功能 | 说明 | 参考文档 |
密钥生命周期管理 | 通过KMS可创建用户主密钥CMK(Customer Master Key),支持对CMK进行启用、禁用、删除等生命周期管理。 密钥支持软件或硬件的密钥保护级别,硬件密钥通过硬件安全模块(HSM)的保护,满足更高的安全性。 支持导入自带密钥材料到KMS中(BYOK),满足一些特定的安全需求。 | · 创建密钥 · 导入密钥材料 · 启用禁用密钥 · 计划删除密钥 |
密钥版本管理 | 支持通过密钥版本化或定期轮转来加强密钥使用的安全性,实现数据保护的安全策略。 | · 密钥版本管理 |
密钥别名管理 | 支持设置密钥别名,更方便的使用密钥。 | · 别名管理 |
密码运算
KMS提供了云原生的密码运算API,快速满足数据加密解密、数字签名验签等多样性需求。
功能 | 说明 | 参考文档 |
对称密钥运算 | 在线加密:适用于少量信息(6KB)的加密,直接通过用户主密钥CMK对数据进行加解密的操作。 | |
信封加密:适用于海量数据的高性能加密,通过生成数据密钥DEK,在本地实现数据的高效对称加解密处理。 | ||
非对称密钥运算 | 签名验签:适用于敏感信息的传递,信息发送者通过发送签名和数据提供身份证明,信息接收者进行签名验证,校验数据的安全性。 | |
非对称密钥加解密:适用对敏感信息加密后进行传递,通过使用非对称密钥公钥对数据进行加密、私钥进行解密处理。 |