密钥管理服务KMS(Key Management Service)是您的一站式密钥管理和数据加密服务平台,提供简单、可靠、安全、合规的数据加密保护能力。KMS帮助您降低在密码基础设施和数据加解密产品上的采购、运维、研发开销,以便您只需关注业务本身。
功能特性
KMS主要包含密钥服务、凭据管家、证书管家和专属KMS四种业务组件。
| 业务组件 | 说明 | 参考文档 |
|---|---|---|
| 密钥服务 | 密钥服务提供密钥的全托管和保护,支撑基于云原生接口的极简数据加密和数字签名。 | 密钥服务概述 |
| 凭据管家 | 凭据管家为凭据提供托管加密、定期轮转、安全分发、中心化管理的能力,降低传统IT设施配置静态凭据带来的安全风险。 | 凭据管家概述 |
| 证书管家 | 证书管家为您提供高可用、高安全的密钥和证书托管能力,以及签名验签能力。 | 证书管家概述 |
| 专属KMS | 专属KMS是专属于您的云上私有密钥管理服务。您可以完全掌控自己的专属KMS,例如:指定专属KMS所部署的专有网络VPC、配置专属KMS使用的密码资源池或定义应用接入RBAC(Role-Based Access Control)策略等。 | 基础版概述、标准版概述 |
产品优势
KMS各功能的优势如下表所示。
| 功能 | 优势 | 说明 | 参考文档 |
|---|---|---|---|
| 密钥服务 | 先进的安全合规能力 |
支持业界先进的密码安全基础设施,满足您对密码安全的等级和合规要求。 |
合规 |
| 完全托管 |
您无需投资采购密码硬件、软件,无需投入密码设施的运维和研发,即可敏捷使用密码功能,并进行功能扩展。 |
使用托管密码机 | |
| 云原生优势 |
基于云原生极简设计的接口,支持广泛的云产品集成,支持一键配置服务端加密数据。 |
支持服务端集成加密的云服务 | |
| 极简应用接入 |
支持KMS SDK、加密SDK等多种方式,帮助您使用KMS加密API,快速满足数据加密解密、数字签名验签的需求。 |
||
| 中心化规模化管理 |
支持自动开通KMS服务,支持ROS、Terraform等产品,帮助您在多账号登录时自动化实施默认加密策略,对云服务器ECS(云盘)、对象存储OSS、关系型数据库RDS、大数据计算MaxCompute等产品自动开启服务端加密。 |
通过API开通 | |
| 凭据管家 | 云原生优势 |
原生集成支持RDS动态凭据,帮助您有效应对数据库安全面临的主要威胁。 |
动态RDS凭据概述 |
| 极简应用接入 |
支持KMS SDK、凭据管家客户端、Kubernetes插件等多种方式,帮助您使用动态凭据。 |
应用程序接入凭据管家 | |
| 中心化规模化管理 |
支持自动开通KMS服务,支持ROS、Terraform等产品,帮助您实现数据库、OSS Bucket等云资源的运维编排和凭据安全托管的自动化管理,从而实现中心化的凭据管理。 |
通过API开通 | |
| 证书管家 | 密钥安全存储 | 证书管家使用托管密码机保障证书密钥的产生、存储安全。 | 托管密码机概述 |
| 生命周期管理 | 支持管理密钥和证书,可以生成证书请求、导入证书和证书链、检查证书链签名有效性,并检查证书有效性。 | ||
| API便于集成 | 支持多个API接口,帮助您在开发环境高效集成证书服务,快速进行产品部署,帮助您快速开发并上线证书相关的功能。 | 证书接口 | |
| 专属KMS | 私有网络接入 | 专属KMS提供租户独享的服务实例,并部署到租户的VPC内,满足私有网络接入需求。 | 基础版概述、标准版概述 |
| 资源隔离和密码学隔离 | 专属KMS使用租户独享的密码资源池(HSM集群),实现资源隔离和密码学隔离,以获得更高的安全性。 | 基础版快速入门、标准版快速入门 | |
| 密钥管理 | 降低使用HSM的复杂度,为您的HSM提供稳定、易用的上层密钥管理途径和密码计算服务。 | 基础版快速入门、标准版快速入门 | |
| 多个云服务集成 | 将您的HSM与云服务无缝集成,为云服务加密提供更高的安全性和可控制性。 | 支持服务端集成加密的云服务 |