多集成

• 身份認證與訪問控制

  KMS借助于身份認證機制（AccessKey）來鑒別請求的合法性，KMS還通過與訪問控制（RAM）集成，允許您配置多樣化的自定義策略，滿足不同的授權場景。任何請求僅由合法用戶發起且滿足RAM對權限的動態檢測（基于屬性的訪問控制，簡稱ABAC），才能被KMS接受。更多信息，請參見使用RAM實現對資源的訪問控制。

• 審計密鑰的使用

  KMS通過與操作審計（ActionTrail）集成，可以查看近期KMS的使用狀況，也可以將KMS使用情況存儲到OSS等其他云服務中，滿足更長周期的審計需求。更多信息，請參見使用操作審計查詢密鑰管理服務的操作事件。

• 控制云產品集成加密

  KMS和阿里云ECS、RDS、OSS等多個產品無縫集成。通過一方集成，您可以很容易的使用KMS主密鑰加密和控制您存儲在這些服務中的數據，幫助您保持對云上計算和存儲環境的控制，而您只需要付出密鑰的管理成本，無需實施復雜的加密措施。同時集成加密解決了其他云產品中原生數據的加密保護問題。更多信息，請參見服務端集成加密概述和支持服務端集成加密的云服務。

易使用

• 輕松實現加密

  KMS提供簡單的密碼運算API，簡化和抽象了密碼學概念，讓您可以輕松的使用API完成數據的加解密。對于需要密鑰層次結構的應用，KMS提供了方便的信封加密能力，快速實現密鑰層次結構：生成一個數據密鑰，并將主密鑰（CMK）用作密鑰加密密鑰（Key Encryption Key，簡稱KEK）來保護數據密鑰。更多信息，請參見使用KMS信封加密在本地加密和解密數據。

• 集中的密鑰托管

  密鑰管理服務為您提供對密鑰的集中化托管與控制。

  • 您可以隨時創建新的用戶主密鑰，并通過訪問控制（RAM）輕松管理誰可以訪問該密鑰。
  • 您可以通過操作審計（ActionTrail）審核密鑰的使用情況。
  • 您可以從線下密鑰管理基礎設施（KMI）或在阿里云加密服務中創建的HSM里將密鑰導入到KMS。無論在KMS內創建的密鑰還是外部導入的密鑰，密鑰中的機密信息或者敏感數據都會被阿里云上的其他云產品用于加密保護。
• 支持自帶密鑰（BYOK）

  KMS支持自帶密鑰BYOK（Bring Your Own Key）。您可以將密鑰租借給KMS用作云上數據的加密保護，從而更好的管理密鑰。可租借的密鑰包括以下兩種：

  • 線下密鑰管理基礎設施（Key Management Infrastructure，簡稱KMI）里的密鑰
  • 在阿里云加密服務中自主管理的HSM中的密鑰
  說明 通過安全合規的密鑰交換算法，導入到KMS的托管密碼機中的密鑰不會被任何機制所導出，密鑰明文不會被操作者或任何第三者查看。更多信息，請參見導入密鑰材料和保持對密鑰的控制。
• 自定義密鑰輪轉策略

  KMS允許您根據所需的安全策略來自動輪轉對稱加密密鑰。您只需要為主密鑰（CMK）配置一個自定義的輪轉周期，KMS會自動為您生成新的加密密鑰版本。一個主密鑰可以有多個密鑰版本，其中每個版本可以被用來解密對應的密文數據，而最新的密鑰版本（稱為主版本）是活躍加密密鑰，用于加密當前傳入的數據。更多信息，請參見自動輪轉密鑰。

高可靠、高可用、可伸縮

作為全托管的分布式服務，KMS在每個地域構建了多可用區冗余的密碼計算能力，保證阿里云上各個產品和您的自定義應用向KMS發起的請求可以得到低延遲處理。您可以根據需要，在不同地域的KMS創建足夠的密鑰，而不必擔心底層設施的擴容或縮容。

安全與合規能力

KMS經過嚴格的安全設計和審核，保證您的密鑰在阿里云得到最嚴格的保護。

• KMS僅提供基于TLS的安全訪問通道，并且僅使用安全的傳輸加密算法套件，符合PCI DSS等安全規范。
• KMS提供了監管機構許可和認證的密碼設施。根據地域分布，分別提供了經國家密碼管理局檢測和認證的硬件密碼設備，取得了FIPS 140-2第三級認證和運行在FIPS許可的第三級模式下的密碼設備。更多信息，請參見合規。
• KMS使用硬件安全模塊來托管密鑰，從而達到更高的安全標準，更多信息，請參見托管密碼機概述。

低成本

使用KMS，您可以按需使用和付費。

• 您無需支付采購硬件密碼設備的初始成本以及對硬件系統進行運維、修補、老舊替換的持續開銷。
• KMS為您節省了搭建具有可用性和可靠性密碼設備集群，以及自建密鑰管理設施的研發成本和維護開銷。
• KMS與其他產品的集成為您節省了研發數據加密系統的開銷，僅需通過管理密鑰而獲得可控的云上數據加密的能力。