本文解釋了密鑰管理服務KMS(Key Management Service)的基本概念,幫助您正確理解和使用KMS。
密鑰服務(Key Service)
密鑰服務為您提供密鑰安全存儲和生命周期管理、使用密鑰進行數據加密和解密、數字簽名和驗簽等密碼運算服務。關于密鑰服務的更多信息,請參見密鑰服務概述。
憑據管理(Secrets Manager)
憑據管理為您提供憑據的全生命周期管理和安全便捷的應用接入方式,幫助您規避在代碼中硬編碼憑據帶來的敏感信息泄露風險。關于憑據管理的更多信息,請參見憑據管理概述。
KMS實例(Key Management Service Instance)
KMS提供了兩種實例類型,軟件密鑰管理實例和硬件密鑰管理實例。可被云產品集成用于服務端加密,也可被您的自建應用集成用于構建應用層密碼技術方案。
軟件密鑰管理實例:軟件密鑰管理實例為您提供密鑰服務、憑據管理服務,通過使用您獨享的容器服務實例,將密鑰和憑據安全地存儲在您獨享的數據庫中,具備高度的可擴展性和安全性。
硬件密鑰管理實例:硬件密鑰管理實例通過連接您在阿里云加密服務中的密碼機(HSM)集群提供密鑰服務,同時使用您獨享的容器服務實例,將憑據安全地存儲在您獨享的數據庫中,為您提供更高的安全與合規等級保證的密鑰服務、憑據管理服務。啟用硬件密鑰管理實例前,您需要在阿里云加密服務購買密碼機(HSM)和配置密碼機集群,并在KMS中進行連接。
說明加密服務中密碼機(HSM)使用經國家密碼管理局或FIPS 140-2 3級認證的硬件。
購買KMS實例時可以選擇實例性能,更多介紹,請參見性能數據。
硬件安全模塊HSM(Hardware Security Module)
硬件安全模塊,是一種執行密碼運算、安全生成和存儲密鑰的硬件設備。密碼機是構建IT系統時最常用的一種硬件安全模塊。
KMS支持集成您在阿里云加密服務的密碼機集群,為您在KMS托管的密鑰提供更高的安全與合規等級保證,滿足監管機構的檢測認證要求。
用戶主密鑰CMK(Customer Master Key)
用戶主密鑰CMK(Customer Master Key)指的是由您自主創建和托管在KMS的密鑰,簡稱為“主密鑰”。主密鑰由密鑰ID、基本元數據以及密鑰材料組成。
默認密鑰(Default Key)
默認密鑰僅可被云產品集成用于服務端加密,包含:
服務密鑰:由云服務代表您創建和托管用于服務端加密的密鑰。
主密鑰:由您自主創建和管理密鑰生命周期的主密鑰,每個地域下僅能創建1個,密鑰材料可由KMS生成也可由您自行導入。
對于默認密鑰,KMS僅支持您使用對稱密碼算法AES_256。
服務密鑰(Service Key)
由云服務代表您創建并托管于KMS,在云產品服務端加密時默認使用的密鑰。
密鑰材料(Key Material)
密鑰材料是密碼運算操作的重要輸入之一。建議您對非對稱密碼算法的私鑰的密鑰材料和對稱密碼算法的密鑰材料保密,以保護基于密鑰材料的密碼運算操作。
默認密鑰:當您創建默認密鑰中的主密鑰時,支持由KMS生成密鑰材料(Origin屬性為Aliyun_KMS),也支持由您自行導入密鑰材料(Origin屬性為EXTERNAL)。
軟件密鑰:當您創建軟件密鑰時,僅支持由KMS生成密鑰材料(Origin屬性為Aliyun_KMS),暫不支持您自行導入密鑰材料。
硬件密鑰:當您創建硬件密鑰時,支持由KMS所連接的密碼機(HSM)生成密鑰材料(Origin屬性為Aliyun_KMS),也支持您自行導入密鑰材料(Origin屬性為EXTERNAL)。
憑據(Secrets)
憑據是用于對應用程序進行身份驗證的敏感信息,例如數據庫賬號密碼、SSH Key、敏感地址、AK敏感數據等內容。
應用接入點(Application Access Point)
應用接入點AAP是KMS實現的一種訪問控制方案,適用于應用程序訪問KMS資源時進行身份認證和行為鑒權。詳細信息,請參見應用接入點概述。