密鑰管理服務KMS(Key Management Service)與傳統密鑰管理基礎設施KMI(Key Management Infrastructure)相比具有多集成、易使用、高可靠以及低成本等優勢。
多集成
身份認證與訪問控制
KMS借助于身份認證機制(AccessKey)來鑒別請求的合法性,KMS還通過與訪問控制(RAM)集成,允許您配置多樣化的自定義策略,滿足不同的授權場景。KMS僅接受由合法用戶發起且滿足RAM對權限的動態檢測的請求。更多信息,請參見使用RAM實現對資源的訪問控制。
審計密鑰的使用
KMS通過與操作審計(ActionTrail)集成,可以查看近期KMS的使用狀況,也可以將KMS使用情況存儲到OSS等其他云服務中,滿足更長周期的審計需求。更多信息,請參見使用操作審計查詢密鑰管理服務的操作事件。
云產品集成加密
KMS和阿里云ECS、RDS、OSS等多個產品無縫集成。通過一方集成,您可以很容易的使用KMS密鑰加密和控制存儲在這些服務中的數據,只需要付出密鑰的管理成本,無需實施復雜的加密措施。同時集成加密解決了其他云產品中原生數據的加密保護問題。更多信息,請參見云產品集成KMS加密概述和支持集成KMS加密的云產品。
易使用
輕松實現加密
KMS提供簡單的密碼運算API,簡化和抽象了密碼學概念,讓您可以輕松的使用API完成數據的加解密。
集中的密鑰托管
您可以隨時創建新的密鑰,并通過訪問控制(RAM)和應用接入點(AAP)輕松管理誰或哪些應用可以訪問該密鑰。
您可以通過操作審計(ActionTrail)審查對KMS資源的操作情況。
支持自帶密鑰(BYOK)
KMS支持自帶密鑰BYOK(Bring Your Own Key)。 您可以從線下的密鑰管理基礎設施(KMI)等外部系統設施將密鑰導入到KMS,用于對云產品中數據的加密保護或自建應用系統中的密碼技術使用場景。
說明KMS通過安全合規的密鑰交換算法,保證密鑰明文不會被操作者或任何第三者查看。
高可靠、高可用、可伸縮
KMS在每個地域支持多可用區冗余的密碼計算能力,保證阿里云上各個產品和您的自定義應用向KMS發起的請求可以得到低延遲處理。您可以根據需要,快速地進行升配。
KMS實例基于雙可用區容災部署,負載均衡支持分鐘級RTO,計算實例雙可用區雙活在線提供服務,充分地利用計算資源,助力您實現業務的高可用目標。啟用KMS實例時,您需要選擇同VPC下的雙可用區。架構圖如下:
默認情況下每個KMS實例至少包含兩個計算實例,如有更高可用性、更高性能的應用場景,可根據需求增加。
安全與合規能力
KMS經過嚴格的安全設計和審核,保證您的密鑰在阿里云得到最嚴格的保護。
KMS僅提供基于TLS的安全訪問通道,并且僅使用安全的傳輸加密算法套件,符合PCI DSS等安全規范。
KMS支持監管機構許可和認證的密碼設施。阿里云加密服務提供了經國家密碼管理局檢測和認證的硬件密碼設備,取得了GM/T 0028 第二級認證。KMS支持集成您在阿里云加密服務中管理的加密機集群進行密鑰管理和密碼計算。關于阿里云加密服務的更多信息,請參見什么是加密服務。
低成本
您無需支付采購硬件密碼設備的初始成本以及進行運維、修補、老舊替換的持續開銷。
KMS為您節省了搭建具有可用性和可靠性密碼設備集群,以及自建密鑰管理設施的研發成本和維護開銷。
KMS與阿里云其他產品的集成為您節省了研發數據加密系統的開銷,僅需通過管理密鑰而獲得可控的云上數據加密的能力。