文档简介:
对称密钥加密
对称密钥加密,又称私钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据。
非对称密钥加密
非对称密钥由一对互相关联的公钥和私钥组成,其中的公钥可以被分发给任何人,而私钥必须被安全的保护起来,只有受信任者可以使用。非对称密钥通常用于在信任程度不对等的系统之间,实现数字签名验签或者加密传递敏感信息。
用户主密钥(Customer Master Key,CMK)
用户主密钥包括对称密钥及非对称密钥,主要用于加密保护数据密钥,也可直接用于加密少量的数据。用户可以调用KMS的API CreateKey创建一个用户主密钥。
默认主密钥(Default CMK)
用户第一次使用云产品服务端加密功能时,系统自动生成的并托管在用户账号下的服务密钥。
信封加密(Envelope Encryption)
信封加密是类似数字信封技术的一种加密手段。这种技术将加密数据的数据密钥封入信封中存储、传递和使用,不再使用用户主密钥(CMK)直接加密和解密数据。当需要加密业务数据时,可以调用KMS的API GenerateDataKey或GenerateDataKeyWithoutPlaintext生成一个对称密钥,同时使用指定的用户主密钥加密该对称密钥(被密封的信封保护)。
数据加密密钥(Data Encryption Key,DEK)
信封加密技术中用于加密业务数据的密钥,受用户主密钥CMK保护。
硬件安全模块(Hardware Security Module,HSM)
硬件安全模块也称为密码机,是一种执行密码运算、安全生成和存储密钥的硬件设备。KMS提供的托管密码机可以满足监管机构的检测认证要求,为用户在KMS托管的密钥提供更高的安全等级保证。
密钥导入(Bring Your Own Key,BYOK)
指用户可以自行导入密钥材料至用户主密钥中,KMS不会为创建的用户主密钥(CMK)生成密钥材料。
