敏感信息加密是密钥管理系统 KMS 核心的能力,适用于保护小型敏感数据(小于6KB),如口令、证书、配置文件等。通过密钥管理服务KMS的在线加密API,使用 用户主密钥(CMK)直接加密敏感数据信息,而非直接将明文存储,确保敏感数据安全。
场景示意图
操作流程(以证书加密为例)
1. 通过KMS控制台或者调用CreateKey接口,创建一个用户主密钥(CMK);
2. 调用KMS服务的Encrypt接口,将明文证书加密为密文证书;
3. 将密文证书部署在服务器上;
4. 当服务器启动需要使用证书时,调用KMS服务的Decrypt接口将密文证书解密为明文证书。