专属KMS是专属于您的云上私有密钥管理服务。您可以完全掌控自己的专属KMS,例如:指定专属KMS所部署的专有网络VPC、配置专属KMS使用的密码资源池或定义应用接入RBAC(Role-Based Access Control)策略等。

应用场景

  • 自建应用集成

    自建应用程序可以通过VPC网络使用KMS专属版实例的加解密服务进行应用层加解密。

  • 第三方ISV应用集成

    第三方ISV(Independent Software Vendors)应用程序可以基于标准密码中间件调用硬件安全模块HSM(Hardware Security Module)的密码计算接口。

  • 云服务集成

    您可以授权KMS共享版转发云服务的服务端加密请求到专属KMS实例。

产品优势

  • 专属KMS提供租户独享的服务实例,并部署到租户的VPC内,满足私有网络接入需求。
  • 专属KMS使用租户独享的密码资源池(HSM集群),实现资源隔离和密码学隔离,以获得更高的安全性。
  • 专属KMS可以降低使用HSM的复杂度,为您的HSM提供稳定、易用的上层密钥管理途径和密码计算服务。
  • 专属KMS可以将您的HSM与云服务无缝集成,为云服务加密提供更高的安全性和可控制性。更多信息,请参见支持服务端集成加密的云服务

产品架构

专属KMS是一个独立部署的实例型服务,产品架构如下图所示。

专属KMS架构

专属KMS主要组成部分如下:

  • 密码资源池

    您在加密服务CloudHSM中管理的、租户独享的HSM集群。它是用于密钥存储和计算的安全设备。

    关于加密服务CloudHSM的更多信息,请参见什么是加密服务

  • 密钥管理系统

    在您自定义的独享HSM集群内,进行密钥的生命周期管理。

  • 密码计算服务

    KMS专属版实例通过简单易用的API调度密码计算。密码计算过程中对密钥的使用不会离开HSM的安全边界。

支持的地域

支持专属KMS的地域为:华东2(上海)、华北2(北京)、中国(香港)和马来西亚(吉隆坡)。

使用专属KMS