文档中心

算法

密钥长度

密钥规格

保护级别

AES

256比特

AES_256

• Software

• HSM

SM4 

128比特

Ctyun_SM4

• HSM

功能

功能描述

自动轮转

• 支持设置自动轮转策略，生成新的密钥版本，并自动设为主版本（primaryKeyVersion），KMS会使用主版本密钥实现加解密

• 密钥轮转产生新的主版本后，KMS不会删除或禁用非主版本，他们需要被用作解密操作。

导入密钥材料（BYOK）

• 默认情况下，当创建CMK时，会由KMS生成密钥材料。也可以选择创建密钥材料来源为外部的密钥，将自带密钥材料导入到CMK中。

• 导入的密钥材料可以进行删除，也可以设置过期时间，在密钥材料过期后进行删除（CMK不会被删除）。导入的密钥材料被删除后，可以再次导入相同的密钥材料使得CMK再次可用，因此您需要自行保存密钥材料的副本。

• 每个CMK只能拥有一个导入密钥材料。当您将一个密钥材料导入CMK时，CMK将与密钥材料绑定，即便密钥材料已经过期或者被删除，也不能导入其他密钥材料。如果您需要轮换使用外部密钥材料的CMK，只能创建一个新的CMK然后导入新的密钥材料。

场景

场景描述

在线加密

• 适用于保护小型敏感数据（小于6KB）的加解密，如密钥、证书、配置文件等。

• 用户的数据会通过安全信道传递到KMS服务端，服务端通过指定CMK完成加密和解密后，操作结果通过安全信道返回给用户。

信封加密

• 适用于海量数据的高性能加解密，如规模较大的对性能敏感的本地文件。

• 通过KMS生成数据密钥DEK，并返回DEK明文及经指定CMK加密的DEK密文。用户使用数据密钥DEK明文在本地进行高效的加解密处理，然后将内存中的DEK明文销毁，将DEK密文及密文文件落盘存储。