本文解釋了密鑰管理服務(wù)KMS(Key Management Service)的基本概念,幫助您正確理解和使用KMS。
| 概念 | 說明 | ||
|---|---|---|---|
| 密鑰服務(wù)(Key Service) | 密鑰服務(wù)提供密鑰的全托管和保護(hù),支撐基于云原生接口的極簡數(shù)據(jù)加密和數(shù)字簽名。
關(guān)于密鑰服務(wù)的更多信息,請(qǐng)參見密鑰服務(wù)概述。 |
||
| 用戶主密鑰CMK(Customer Master Key) | 用戶主密鑰主要用于加密保護(hù)數(shù)據(jù)密鑰并產(chǎn)生信封,也可直接用于加密少量的數(shù)據(jù)。您可以調(diào)用CreateKey創(chuàng)建一個(gè)用戶主密鑰。 | ||
| 密鑰材料(Key Material) | 密鑰材料是密碼運(yùn)算操作的重要輸入之一。建議您對(duì)非對(duì)稱密碼算法的私鑰的密鑰材料和對(duì)稱密碼算法的密鑰材料保密,以保護(hù)基于密鑰材料的密碼運(yùn)算操作。
用戶主密鑰(CMK)是KMS的基本資源,由密鑰ID、基本元數(shù)據(jù)以及密鑰材料組成。默認(rèn)情況下,當(dāng)您創(chuàng)建CMK時(shí),會(huì)由KMS生成密鑰材料,創(chuàng)建后它的Origin屬性為Aliyun_KMS。您也可以選擇創(chuàng)建密鑰材料來源為外部的密鑰(Origin屬性為EXTERNAL),此時(shí),KMS將不會(huì)為該CMK生成密鑰材料,您可以為該CMK導(dǎo)入密鑰材料。 關(guān)于密鑰材料的更多信息,請(qǐng)參見導(dǎo)入密鑰材料。 |
||
| 信封加密(Envelope Encryption) | 當(dāng)您需要加密業(yè)務(wù)數(shù)據(jù)時(shí),您可以調(diào)用GenerateDataKey或GenerateDataKeyWithoutPlaintext生成一個(gè)對(duì)稱密鑰,同時(shí)使用指定的用戶主密鑰加密該對(duì)稱密鑰(被密封的信封保護(hù))。在傳輸或存儲(chǔ)等非安全的通信過程中,直接傳遞被信封保護(hù)的對(duì)稱密鑰。當(dāng)您需要使用該對(duì)稱密鑰時(shí),打開信封取出密鑰即可。
關(guān)于信封加密的更多信息,請(qǐng)參見使用KMS信封加密在本地加密和解密數(shù)據(jù)。 |
||
| 數(shù)據(jù)密鑰DK(Data Key) | 數(shù)據(jù)密鑰是加密數(shù)據(jù)使用的明文數(shù)據(jù)密鑰。
您可以調(diào)用GenerateDataKey生成一個(gè)數(shù)據(jù)密鑰,同時(shí)使用指定用戶主密鑰加密該數(shù)據(jù)密鑰,返回?cái)?shù)據(jù)密鑰的明文(DK)和密文(EDK)。 |
||
| 信封數(shù)據(jù)密鑰EDK(Enveloped Data Key/Encrypted Data Key) | 信封數(shù)據(jù)密鑰是通過信封加密技術(shù)保密后的密文數(shù)據(jù)密鑰。
如果暫時(shí)不需要數(shù)據(jù)密鑰的明文,您可以調(diào)用 GenerateDataKeyWithoutPlaintext僅返回?cái)?shù)據(jù)密鑰密文。 |
||
| 硬件安全模塊HSM(Hardware Security Module) | 硬件安全模塊也稱為密碼機(jī),是一種執(zhí)行密碼運(yùn)算、安全生成和存儲(chǔ)密鑰的硬件設(shè)備。KMS提供的托管密碼機(jī)可以滿足監(jiān)管機(jī)構(gòu)的檢測(cè)認(rèn)證要求,為您在KMS托管的密鑰提供更高的安全等級(jí)保證。
關(guān)于硬件安全模塊的更多信息,請(qǐng)參見托管密碼機(jī)概述。 |
||
| 加密上下文(Encryption Context) | 加密上下文是KMS對(duì)可認(rèn)證加密AEAD(Authenticated Encryption with Associated Data)的封裝。KMS將傳入的加密上下文作為對(duì)稱加密算法的額外認(rèn)證數(shù)據(jù)AAD(Additional
Authenticated Data)進(jìn)行密碼運(yùn)算,從而為加密數(shù)據(jù)額外提供完整性(Integrity)和可認(rèn)證性(Authenticity)的支持。
關(guān)于加密上下文的更多信息,請(qǐng)參見EncryptionContext說明。 |
||
| 憑據(jù)管家(Secrets Manager) | 憑據(jù)管家為您提供憑據(jù)的全生命周期管理和安全便捷的應(yīng)用接入方式,幫助您規(guī)避在代碼中硬編碼憑據(jù)帶來的敏感信息泄露風(fēng)險(xiǎn)。
關(guān)于憑據(jù)管家的更多信息,請(qǐng)參見憑據(jù)管家概述。 |
||
| 應(yīng)用接入點(diǎn)(Application Access Point) | 應(yīng)用接入點(diǎn)是KMS原生的訪問控制手段,用于對(duì)KMS資源訪問者進(jìn)行身份認(rèn)證和行為鑒權(quán)。
關(guān)于應(yīng)用接入點(diǎn)的更多信息,請(qǐng)參見管理應(yīng)用接入點(diǎn)。 |
||
| 證書管家(Certificates Manager) | 證書管家為您提供高可用、高安全的密鑰和證書托管能力,以及簽名驗(yàn)簽?zāi)芰Α? | 專屬KMS(Dedicated KMS) | 專屬KMS是專屬于您的云上私有密鑰管理服務(wù)。您可以完全掌控自己的專屬KMS,例如:指定專屬KMS所部署的專有網(wǎng)絡(luò)VPC、配置專屬KMS使用的密碼資源池或定義應(yīng)用接入RBAC(Role-Based
Access Control)策略等。
關(guān)于專屬KMS的更多信息,請(qǐng)參見概述。 |
| 憑據(jù)(Secrets) | 憑據(jù)是用于對(duì)應(yīng)用程序進(jìn)行身份驗(yàn)證的敏感信息,例如數(shù)據(jù)庫賬號(hào)密碼、SSH Key、敏感地址、AK敏感數(shù)據(jù)等內(nèi)容。 |