文档简介:
密钥生命周期管理
提供密钥全生命周期管理,包括密钥创建、自带密钥导入(BYOK)、启用/禁用、别名设置、轮转策略设置、版本设置、计划删除、取消删除等。
密钥算法
-
支持对称密钥算法类型为AES_256、SM4。
-
支持非对称密钥算法类型为RSA_2048、SM2。
硬件保护
-
通过部署托管密码机,采用由国家密码管理局批准的密码设备硬件,满足监管合规需求。
-
提供更高安全等级的硬件保护机制保护密钥,确保密钥的保密性、完整性和可用性。
密钥轮转
-
支持通过定期自动轮转或手动创建密钥版本,以强密钥使用的安全性。
-
对于对称密钥,密钥版本可通过设置轮转策略,由系统根据轮转周期自动生成。
-
对于非对称密钥,可人工创建新的密钥版本。
-
密钥轮转或人工创建产生新的主版本后,KMS不会删除或禁用非主版本,使得经非主版本加密的密文仍可以正常解密。
自带密钥导入
-
支持导入用户自带密钥。当用户希望使用自己的密钥材料时,可通过KMS管理控制台的导入密钥功能创建密钥材料为空的用户主密钥,并将自己的密钥材料导入该用户主密钥中。
别名管理
-
别名是用户主密钥的可选标识,同一个用户在一个地域中的别名具有唯一性。每个别名只能指向同地域的一个用户主密钥,但是每个用户主密钥可以绑定多个别名。
-
用户可通过控制台创建别名、删除别名,还可以通过API进行别名的创建、更新、删除等。
在线加密
-
在线加密是对称密钥加密的场景,适用于保护小型敏感数据(小于6KB),如口令、证书、身份信息、后台配置文件等。通过密钥管理服务KMS的在线加密API,使用用户主密钥(CMK)直接加密敏感数据信息,而非直接将明文存储,确保敏感数据安全。
信封加密
-
信封加密是对称密钥加密的场景,是一种应对海量数据的高性能加解密方案。这种技术不再使用用户主密钥(CMK)直接加密和解密数据,而是通过生成加密数据的数据密钥(DEK),将其封入信封中(即通过CMK加密)存储、传递和使用,由KMS确保数据密钥的随机性和安全性。
-
实际使用时,用户无需将大量业务数据上传至KMS服务端,直接通过离线的数据密钥在本地实现加解密,有效避免安全隐患,保证了业务加密性能的要求。
签名验签
-
数字签名技术是非对称加密算法的另一种典型应用。用户可在KMS中创建非对称用户主密钥(CMK),其由一对关联的公钥和私钥构成。公钥可以被分发给任何人,而私钥由KMS确保安全性,不提供任何接口导出非对称密钥的私钥。 使用者仅能通过接口调用私钥进行签名运算。
-
实际使用时,签名者将验签公钥分发给消息接收者,签名者使用签名私钥,对数据产生签名,签名者将数据以及签名传递给消息接收者,消息接收者获得数据和签名后,使用公钥针对数据验证签名的合法性。
非对称数据加解密
-
非对称密钥加密通信的过程类似于对称加密,区别在于需要使用公钥进行数据加密,使用私钥进行数据解密。由于KMS中用户私钥不支持导出,使用者仅能通过接口调用私钥进行数据解密。
-
实际使用时,信息接收者将加密公钥分发给信息传送者,信息传送者使用公钥对敏感信息进行加密保护,信息传送者将敏感信息的密文传递给信息接收者,信息接收者使用私钥将敏感信息的密文解密。
云产品服务端加密
-
与天翼云产品联动,提供对云硬盘、对象存储、弹性文件产品中的原生数据进行服务端加密,保证云上数据的安全性。用户只需通过云产品控制台一键勾选KMS加密功能,加解密过程透明无感知。
-
云产品集成的加密服务支持通过默认主密钥或用户主密钥进行数据加密,用户可根据数据保护需求,选择不同的密钥类型用于云产品的加密。
