密钥管理服务KMS(Key Management Service)是您的一站式密钥管理和数据加密服务平台,提供简单、可靠、安全、合规的数据加密保护能力。KMS帮助您极大地降低在密码基础设施和数据加解密产品上的采购、运维、研发开销,以便您只需关注业务本身。

产品架构

KMS主要包含密钥服务、凭据管家、证书管家和专属KMS四种业务组件。

业务组件 说明 参考文档
密钥服务 密钥服务提供密钥的全托管和保护,支撑基于云原生接口的极简数据加密和数字签名。 密钥服务概述
凭据管家 凭据管家为凭据提供托管加密、定期轮转、安全分发、中心化管理的能力,降低传统IT设施配置静态凭据带来的安全风险。 凭据管家概述
证书管家 证书管家为您提供高可用、高安全的密钥和证书托管能力,以及签名验签能力。 证书管家概述
专属KMS 专属KMS是专属于您的云上私有密钥管理服务。您可以完全掌控自己的专属KMS,例如:指定专属KMS所部署的专有网络VPC、配置专属KMS使用的密码资源池或定义应用接入RBAC(Role-Based Access Control)策略等。 专属KMS概述

产品优势

KMS各功能的优势如下表所示。

功能 优势 说明 参考文档
密钥服务 领先的安全合规能力

支持业界领先的密码安全基础设施,满足您对密码安全的等级和合规要求。

合规
完全托管

您无需投资采购密码硬件、软件,无需投入密码设施的运维和研发,即可敏捷使用密码功能,并进行功能扩展。

使用托管密码机
云原生优势

基于云原生极简设计的接口,支持广泛的云产品集成,支持一键配置服务端加密数据。

支持服务端集成加密的云服务
极简应用接入

支持KMS SDK、加密SDK等多种方式,帮助您使用KMS加密API,快速满足数据加密解密、数字签名验签的需求。

中心化规模化管理

支持自动开通KMS服务,支持ROS、Terraform等产品,帮助您在多账号登录时自动化实施默认加密策略,对云服务器ECS(云盘)、对象存储OSS 、关系型数据库RDS、大数据计算MaxCompute等产品自动开启服务端加密。

通过API开通
凭据管家 云原生优势

原生集成支持RDS动态凭据,帮助您有效应对数据库安全面临的主要威胁。

动态RDS凭据概述
极简应用接入

支持KMS SDK、凭据管家客户端、Kubernetes插件等多种方式,帮助您使用动态凭据。

应用程序接入凭据管家
中心化规模化管理

支持自动开通KMS服务,支持ROS、Terraform等产品,帮助您实现数据库、OSS Bucket等云资源的运维编排和凭据安全托管的自动化管理,从而实现中心化的凭据管理。

通过API开通
证书管家 密钥安全存储 证书管家使用托管密码机保障证书密钥的产生、存储安全。 托管密码机概述
生命周期管理 支持管理密钥和证书,可以生成证书请求、导入证书和证书链、检查证书链签名有效性,并检查证书有效性。
API便于集成 支持多个API接口,帮助您在开发环境高效集成证书服务,快速进行产品部署,帮助您快速开发并上线证书相关的功能。 证书接口
专属KMS 私有网络接入 专属KMS提供租户独享的服务实例,并部署到租户的VPC内,满足私有网络接入需求。 专属KMS概述
资源隔离和密码学隔离 专属KMS使用租户独享的密码资源池(HSM集群),实现资源隔离和密码学隔离,以获得更高的安全性。
密钥管理 降低使用HSM的复杂度,为您的HSM提供稳定、易用的上层密钥管理途径和密码计算服务。 步骤三:为专属KMS实例创建密钥
多个云服务集成 将您的HSM与云服务无缝集成,为云服务加密提供更高的安全性和可控制性。 支持服务端集成加密的云服务