密鑰管理服務(wù)KMS(Key Management Service)與傳統(tǒng)密鑰管理基礎(chǔ)設(shè)施KMI(Key Management Infrastructure)相比具有多集成、易使用、高可靠以及低成本等優(yōu)勢(shì)。

多集成

  • 身份認(rèn)證與訪問(wèn)控制

    KMS借助于身份認(rèn)證機(jī)制(AccessKey)來(lái)鑒別請(qǐng)求的合法性,KMS還通過(guò)與訪問(wèn)控制(RAM)集成,允許您配置多樣化的自定義策略,滿足不同的授權(quán)場(chǎng)景。任何請(qǐng)求僅由合法用戶發(fā)起且滿足RAM對(duì)權(quán)限的動(dòng)態(tài)檢測(cè)(基于屬性的訪問(wèn)控制,簡(jiǎn)稱ABAC),才能被KMS接受。更多信息,請(qǐng)參見(jiàn)使用RAM實(shí)現(xiàn)對(duì)資源的訪問(wèn)控制

  • 審計(jì)密鑰的使用

    KMS通過(guò)與操作審計(jì)(ActionTrail)集成,可以查看近期KMS的使用狀況,也可以將KMS使用情況存儲(chǔ)到OSS等其他云服務(wù)中,滿足更長(zhǎng)周期的審計(jì)需求。更多信息,請(qǐng)參見(jiàn)使用操作審計(jì)查詢密鑰管理服務(wù)的操作事件

  • 控制云產(chǎn)品集成加密

    KMS和阿里云ECS、RDS、OSS等多個(gè)產(chǎn)品無(wú)縫集成。通過(guò)一方集成,您可以很容易的使用KMS主密鑰加密和控制您存儲(chǔ)在這些服務(wù)中的數(shù)據(jù),幫助您保持對(duì)云上計(jì)算和存儲(chǔ)環(huán)境的控制,而您只需要付出密鑰的管理成本,無(wú)需實(shí)施復(fù)雜的加密措施。同時(shí)集成加密解決了其他云產(chǎn)品中原生數(shù)據(jù)的加密保護(hù)問(wèn)題。更多信息,請(qǐng)參見(jiàn)服務(wù)端集成加密概述支持服務(wù)端集成加密的云服務(wù)

易使用

  • 輕松實(shí)現(xiàn)加密

    KMS提供簡(jiǎn)單的密碼運(yùn)算API,簡(jiǎn)化和抽象了密碼學(xué)概念,讓您可以輕松的使用API完成數(shù)據(jù)的加解密。對(duì)于需要密鑰層次結(jié)構(gòu)的應(yīng)用,KMS提供了方便的信封加密能力,快速實(shí)現(xiàn)密鑰層次結(jié)構(gòu):生成一個(gè)數(shù)據(jù)密鑰,并將主密鑰(CMK)用作密鑰加密密鑰(Key Encryption Key,簡(jiǎn)稱KEK)來(lái)保護(hù)數(shù)據(jù)密鑰。更多信息,請(qǐng)參見(jiàn)使用KMS信封加密在本地加密和解密數(shù)據(jù)

  • 集中的密鑰托管

    密鑰管理服務(wù)為您提供對(duì)密鑰的集中化托管與控制。

    • 您可以隨時(shí)創(chuàng)建新的用戶主密鑰,并通過(guò)訪問(wèn)控制(RAM)輕松管理誰(shuí)可以訪問(wèn)該密鑰。
    • 您可以通過(guò)操作審計(jì)(ActionTrail)審核密鑰的使用情況。
    • 您可以從線下密鑰管理基礎(chǔ)設(shè)施(KMI)或在阿里云加密服務(wù)中創(chuàng)建的HSM里將密鑰導(dǎo)入到KMS。無(wú)論在KMS內(nèi)創(chuàng)建的密鑰還是外部導(dǎo)入的密鑰,密鑰中的機(jī)密信息或者敏感數(shù)據(jù)都會(huì)被阿里云上的其他云產(chǎn)品用于加密保護(hù)。
  • 支持自帶密鑰(BYOK)

    KMS支持自帶密鑰BYOK(Bring Your Own Key)。您可以將密鑰租借給KMS用作云上數(shù)據(jù)的加密保護(hù),從而更好的管理密鑰。可租借的密鑰包括以下兩種:

    • 線下密鑰管理基礎(chǔ)設(shè)施(Key Management Infrastructure,簡(jiǎn)稱KMI)里的密鑰
    • 阿里云加密服務(wù)中自主管理的HSM中的密鑰
    說(shuō)明 通過(guò)安全合規(guī)的密鑰交換算法,導(dǎo)入到KMS的托管密碼機(jī)中的密鑰不會(huì)被任何機(jī)制所導(dǎo)出,密鑰明文不會(huì)被操作者或任何第三者查看。更多信息,請(qǐng)參見(jiàn)導(dǎo)入密鑰材料保持對(duì)密鑰的控制
  • 自定義密鑰輪轉(zhuǎn)策略

    KMS允許您根據(jù)所需的安全策略來(lái)自動(dòng)輪轉(zhuǎn)對(duì)稱加密密鑰。您只需要為主密鑰(CMK)配置一個(gè)自定義的輪轉(zhuǎn)周期,KMS會(huì)自動(dòng)為您生成新的加密密鑰版本。一個(gè)主密鑰可以有多個(gè)密鑰版本,其中每個(gè)版本可以被用來(lái)解密對(duì)應(yīng)的密文數(shù)據(jù),而最新的密鑰版本(稱為主版本)是活躍加密密鑰,用于加密當(dāng)前傳入的數(shù)據(jù)。更多信息,請(qǐng)參見(jiàn)自動(dòng)輪轉(zhuǎn)密鑰

高可靠、高可用、可伸縮

作為全托管的分布式服務(wù),KMS在每個(gè)地域構(gòu)建了多可用區(qū)冗余的密碼計(jì)算能力,保證阿里云上各個(gè)產(chǎn)品和您的自定義應(yīng)用向KMS發(fā)起的請(qǐng)求可以得到低延遲處理。您可以根據(jù)需要,在不同地域的KMS創(chuàng)建足夠的密鑰,而不必?fù)?dān)心底層設(shè)施的擴(kuò)容或縮容。

安全與合規(guī)能力

KMS經(jīng)過(guò)嚴(yán)格的安全設(shè)計(jì)和審核,保證您的密鑰在阿里云得到最嚴(yán)格的保護(hù)。

  • KMS僅提供基于TLS的安全訪問(wèn)通道,并且僅使用安全的傳輸加密算法套件,符合PCI DSS等安全規(guī)范。
  • KMS提供了監(jiān)管機(jī)構(gòu)許可和認(rèn)證的密碼設(shè)施。根據(jù)地域分布,分別提供了經(jīng)國(guó)家密碼管理局檢測(cè)和認(rèn)證的硬件密碼設(shè)備,取得了FIPS 140-2第三級(jí)認(rèn)證和運(yùn)行在FIPS許可的第三級(jí)模式下的密碼設(shè)備。更多信息,請(qǐng)參見(jiàn)合規(guī)
  • KMS使用硬件安全模塊來(lái)托管密鑰,從而達(dá)到更高的安全標(biāo)準(zhǔn),更多信息,請(qǐng)參見(jiàn)托管密碼機(jī)概述

低成本

使用KMS,您可以按需使用和付費(fèi)。

  • 您無(wú)需支付采購(gòu)硬件密碼設(shè)備的初始成本以及對(duì)硬件系統(tǒng)進(jìn)行運(yùn)維、修補(bǔ)、老舊替換的持續(xù)開(kāi)銷。
  • KMS為您節(jié)省了搭建具有可用性和可靠性密碼設(shè)備集群,以及自建密鑰管理設(shè)施的研發(fā)成本和維護(hù)開(kāi)銷。
  • KMS與其他產(chǎn)品的集成為您節(jié)省了研發(fā)數(shù)據(jù)加密系統(tǒng)的開(kāi)銷,僅需通過(guò)管理密鑰而獲得可控的云上數(shù)據(jù)加密的能力。