密钥生命周期管理
提供密钥全生命周期管理,包括密钥创建、自带密钥导入(BYOK)、启用/禁用、别名设置、轮转策略设置、版本设置、计划删除、取消删除等。
密钥算法
支持对称密钥算法类型为AES_256。
支持非对称密钥算法类型为RSA_2048。
硬件保护
通过部署托管密码机,采用FIPS认证的密码设备硬件,满足监管合规需求。
提供更高安全等级的硬件保护机制保护密钥,确保密钥的保密性、完整性和可用性。
密钥轮转
支持通过定期自动轮转或手动创建密钥版本,以加强密钥使用的安全性。
对于对称密钥,密钥版本可通过设置轮转策略,由系统根据轮转周期自动生成;
对于非对称密钥,可人工创建新的密钥版本。
密钥轮转或人工创建产生新的主版本后,KMS不会删除或禁用非主版本,使得经非主版本加密的密文仍可以正常解密。
自带密钥导入
支持导入用户自带密钥。当用户希望使用自己的密钥材料时,可通过KMS管理控制台的导入密钥功能创建密钥材料为空的用户主密钥,并将自己的密钥材料导入该用户主密钥中。
别名管理
别名是用户主密钥的可选标识,同一个用户在一个地域中的别名具有唯一性。每个别名只能指向同地域的一个用户主密钥,但是每个用户主密钥可以绑定多个别名。
用户可通过控制台创建别名、删除别名,还可以通过API进行别名的创建、更新、删除等。
在线加密
在线加密是对称密钥加密的场景,适用于保护小型敏感数据(小于6KB),如口令、证书、身份信息、后台配置文件等。通过密钥管理服务KMS的在线加密API,使用用户主密钥(CMK)直接加密敏感数据信息,而非直接将明文存储,确保敏感数据安全。
信封加密
信封加密是对称密钥加密的场景,是一种应对海量数据的高性能加解密方案。这种技术不再使用用户主密钥(CMK)直接加密和解密数据,而是通过生成加密数据的数据密钥(DEK),将其封入信封中(即通过CMK加密)存储、传递和使用,由KMS确保数据密钥的随机性和安全性。
实际使用时,用户无需将大量业务数据上传至KMS服务端,直接通过离线的数据密钥在本地实现加解密,有效避免安全隐患,保证了业务加密性能的要求。
签名验签
数字签名技术是非对称加密算法的另一种典型应用。用户可在KMS中创建非对称用户主密钥(CMK),其由一对关联的公钥和私钥构成。公钥可以被分发给任何人,而私钥由KMS确保安全性,不提供任何接口导出非对称密钥的私钥。 使用者仅能通过接口调用私钥进行签名运算。
实际使用时,签名者将验签公钥分发给消息接收者,签名者使用签名私钥,对数据产生签名,签名者将数据以及签名传递给消息接收者,消息接收者获得数据和签名后,使用公钥针对数据验证签名的合法性。
非对称数据加解密
非对称密钥加密通信的过程类似于对称加密,区别在于需要使用公钥进行数据加密,使用私钥进行数据解密。由于KMS中用户私钥不支持导出,使用者仅能通过接口调用私钥进行数据解密。
实际使用时,信息接收者将加密公钥分发给信息传送者,信息传送者使用公钥对敏感信息进行加密保护,信息传送者将敏感信息的密文传递给信息接收者,信息接收者使用私钥将敏感信息的密文解密。
云产品服务端加密
与天翼云产品联动,提供对云硬盘、对象存储等产品中的数据进行服务端加密,保证云上数据的安全性。用户只需通过云产品控制台一键勾选KMS加密功能,加解密过程透明无感知。