文档简介:
密钥管理服务提供密钥的全托管的生命周期管理能力,支持基于API接口的数据加解密和数字签名验签。
KMS支持的密钥类型说明
KMS对加密算法、保护级别以及应用场景的支持情况请参见如下表格。
|
密码算法大类 |
密码算法子类 |
保护级别 |
是否支持加解密 |
是否支持签名验签 |
|
对称密钥 |
AES_256 |
Software HSM |
支持 |
不支持 |
|
SM4 |
HSM |
支持 |
不支持 |
|
|
非对称密钥 |
RSA_2048 |
Software HSM |
支持 |
支持 |
|
SM2 |
HSM |
支持 |
支持 |
-
对称密钥主要用于数据的加密保护场景,可通过接口调用进行在线加密或者信封加密。更多信息,请参见对称密钥概述。
-
非对称密钥可用于数据加密和数字签名。在KMS创建的非对称用户主密钥(CMK),由一对关联的公钥和私钥构成。公钥可以被分发给任何人,而私钥由KMS确保安全性,不提供任何接口导出非对称密钥的私钥。使用者仅能通过接口调用私钥进行签名运算或者数据解密。更多信息,请参见非对称密钥概述。
KMS密钥管理功能
KMS提供集中托管的密钥全生命周期管理,您可以轻松创建并使用密钥。
|
功能 |
说明 |
参考文档 |
|
密钥托管 |
通过KMS可创建用户主密钥CMK(Customer Master Key),支持对CMK进行启用、禁用、删除等生命周期管理。 密钥支持软件或硬件的密钥保护级别,硬件密钥通过硬件安全模块(HSM)的保护,满足更高的安全性。 支持导入自带密钥材料到KMS中(BYOK),满足一些特定的安全需求。 |
创建密钥 查看密钥详情 启用禁用密钥 删除密钥 |
|
密钥版本管理 |
支持通过密钥版本化或定期轮转来加强密钥使用的安全性,实现数据保护的安全策略。 |
密钥版本管理 |
|
密钥别名管理 |
支持设置密钥别名,更方便的使用密钥。 |
别名管理 |
密码运算
KMS提供了云原生的密码运算API,快速满足数据加密解密、数字签名验签等多样性需求。
|
功能 |
说明 |
参考文档 |
|
对称密钥运算
|
在线加密:适用于少量信息(6KB)的加密,直接通过用户主密钥CMK对数据进行加解密的操作。 |
在线加密 |
|
信封加密:适用于海量数据的高性能加密,通过生成数据密钥DEK,在本地实现数据的高效对称加解密处理。 |
信封加密 |
|
|
非对称密钥运算
|
签名验签:适用于敏感信息的传递,信息发送者通过发送签名和数据提供身份证明,信息接收者进行签名验证,校验数据的安全性。 |
签名验签 |
|
非对称密钥加解密:适用对敏感信息加密后进行传递,通过使用非对称密钥公钥对数据进行加密、私钥进行解密处理。 |
非对称密钥加解密 |
