Key Store是KMS中的密钥安全域,包含了您创建的密钥元数据(非敏感信息),以及用于密钥存储和密码计算的资源设施。不同Key Store中的密钥被安全地隔离起来,这不仅是密钥存储、密码计算所使用资源的隔离,也是密码学上的隔离。

产品优势

KMS提供默认的Key Store,同时允许您定义Private Key Store,方便您管理和使用同一阿里云账号下硬件安全模块HSM(Hardware Security Module)中的密钥。使用Private Key Store具有以下优势:

  • 相比默认的Key Store,Private Key Store使用独享的HSM资源,实现资源隔离和密码学隔离,获得更高的安全性。
  • 降低使用HSM的复杂度,为您的HSM提供稳定、易用的上层密钥管理和密码计算服务。
  • 将您的HSM与云服务无缝集成,为云服务加密提供更高的安全性和可控制性。更多信息,请参见支持服务端集成加密的云服务

产品架构

Private Key Store和加密服务(Alibaba Cloud Data Encryption Service)中的HSM集群相关联。Private Key Store中用户主密钥的存储和使用都不会离开HSM集群的边界,为您的密钥管理和使用提供更高的安全性。

架构图

支持的地域

支持Private Key Store的地域为:新加坡。

使用Private Key Store

当您需要使用Private Key Store管理您的用户主密钥时,请进行以下操作:

  1. 加密服务控制台进行设置。
    1. 创建HSM集群。
    2. 在HSM集群中添加HSM实例。
    3. 初始化HSM集群。
    4. 创建一个用户名为kmsuser的加密用户,并为kmsuser设置口令。
  2. 密钥管理服务控制台进行设置。
    1. 创建Private Key Store
    2. 连接Private Key Store
    3. 创建密钥

密钥创建完成后,你可以通过API、CLI或SDK使用HSM中的密钥。