本文解释了密钥管理服务KMS(Key Management Service)的基本概念,帮助您正确理解和使用KMS。
| 概念 | 说明 |
|---|---|
| 密钥服务(Key Service) | 密钥服务为您提供密钥安全存储和生命周期管理、使用密钥进行数据加密和解密、数字签名和验签等密码运算服务。 关于密钥服务的更多信息,请参见密钥服务概述。 |
| 硬件安全模块HSM(Hardware Security Module) | 硬件安全模块,是一种执行密码运算、安全生成和存储密钥的硬件设备。密码机是构建IT系统时最常用的一种硬件安全模块。 KMS支持集成您在阿里云加密服务的密码机集群,为您在KMS托管的密钥提供更高的安全与合规等级保证,满足监管机构的检测认证要求。 |
| 用户主密钥CMK(Customer Master Key) | 用户主密钥CMK(Customer Master Key)指的是由您自主创建和托管在KMS的密钥,简称为“主密钥”。主密钥由密钥ID、基本元数据以及密钥材料组成。 |
| 服务密钥(Service Key) | 由云服务代表您创建并托管于KMS,在云产品服务端加密时默认使用的密钥。 |
| 默认密钥管理(Default Key Management) | 默认密钥管理是KMS提供的一种密钥管理类型。默认密钥仅可被云产品集成用于服务端加密,包含:
对于默认密钥,KMS仅支持您使用对称密码算法AES_256。 |
| 软件密钥管理(Software Key Management) | 软件密钥管理是KMS提供的一种密钥管理类型。软件密钥仅包含由您自主创建和管理密钥生命周期的主密钥,可被云产品集成用于服务端加密,也可被您的自建应用集成用于构建应用层密码技术方案。密钥材料仅支持由KMS生成暂不支持您自行导入。 对于软件密钥,KMS支持您使用多种密钥规格,包括对称密码算法和非对称密码算法。 |
| 硬件密钥管理(Hardware Key Management) | 硬件密钥管理是KMS提供的一种密钥管理类型。硬件密钥仅包含由您自主创建和管理密钥生命周期的主密钥,可被云产品集成用于服务端加密,也可被您的自建应用集成用于构建应用层密码技术方案。密钥材料支持由KMS所连接的密码机(HSM)生成,也可由您自行导入。 对于硬件密钥,KMS支持您使用多种密钥规格,包括对称密码算法和非对称密码算法。 说明 KMS通过连接您在阿里云加密服务中密码机(HSM)集群,为您提供硬件密钥的管理和密码运算。因此使用硬件密钥前,您需要在阿里云加密服务购买密码机(HSM)和配置密码机集群,并在KMS中进行连接。具体操作,请参见如何配置可通过KMS硬件密钥管理实例连接的密码机集群。 |
| 密钥材料(Key Material) | 密钥材料是密码运算操作的重要输入之一。建议您对非对称密码算法的私钥的密钥材料和对称密码算法的密钥材料保密,以保护基于密钥材料的密码运算操作。
|
| 凭据(Secrets) | 凭据是用于对应用程序进行身份验证的敏感信息,例如数据库账号密码、SSH Key、敏感地址、AK敏感数据等内容。 |
| 凭据管家(Secrets Manager) | 凭据管家为您提供凭据的全生命周期管理和安全便捷的应用接入方式,帮助您规避在代码中硬编码凭据带来的敏感信息泄露风险。 关于凭据管家的更多信息,请参见凭据管家概述。 |
| 应用接入点(Application Access Point) | 应用接入点AAP是KMS实现的一种访问控制方案,适用于应用程序访问KMS资源时进行身份认证和行为鉴权。 |