产品优势

多集成

• 身份认证与访问控制

  KMS借助于身份认证机制（AccessKey等）来鉴别请求的合法性，还通过与访问控制 RAM（Resource Access Management）集成，支持灵活配置基于身份和基于资源的权限策略，满足多样化的授权场景。KMS仅接受由合法用户发起且通过了RAM对权限动态检测的请求。更多信息，请参见访问控制。

• 审计密钥的使用

  KMS通过与操作审计（ActionTrail）、日志服务 SLS（Simple Log Service）集成，支持您查看近期KMS的使用状况，也可以将KMS使用情况存储到对象存储 OSS（Object Storage Service）等其他云服务中，满足更长周期的审计需求。更多信息，请参见使用操作审计查询密钥管理服务的操作事件、日志服务概述 。

• 云产品集成加密

  KMS和云服务器 ECS（Elastic Compute Service）、云数据库 RDS（ApsaraDB RDS）、对象存储 OSS（Object Storage Service）等多个产品无缝集成，您可以很容易地使用KMS密钥加密和控制存储在这些服务中的数据，只需要付出密钥的管理成本，无需实施复杂的加密措施，集成加密解决了其他云产品中原生数据的加密保护问题。更多信息，请参见云产品集成KMS加密概述和支持集成KMS加密的云产品。

易使用

• 密钥自动化轮转

  KMS提供自动密钥轮转功能，您无需手动更新密钥，提高了安全性并减少了管理负担。

• 轻松实现加密

  KMS提供简单的密码运算API，简化和抽象了密码学概念，让您可以轻松地使用API完成数据的加解密。

• 支持跨VPC访问

  KMS支持在同一地域下绑定多个VPC，使用户能够跨VPC灵活地进行加密和解密操作。

• 支持自带密钥（BYOK）

  KMS支持自带密钥BYOK（Bring Your Own Key）。 您可以从线下的密钥管理基础设施（KMI）等外部系统设施将密钥导入到KMS，用于对云产品中数据的加密保护或自建应用系统中的密码技术使用场景。

  说明

  KMS通过安全合规的密钥交换算法，保证密钥明文不会被操作者或任何第三方查看。

高可靠、高可用、可伸缩

• 高可靠

  • KMS支持多可用区部署，冗余设计防止单点故障。

  • KMS定期备份密钥、凭据及其相关数据，确保在故障发生时能够快速恢复。

• 高可用

  • KMS支持多可用区冗余的密码计算能力，负载均衡支持分钟级 RTO，计算实例双可用区双活在线提供服务，充分利用计算资源，保证云产品和自建应用向KMS发起的请求得到低延迟处理，助力您实现业务的高可用。

  • KMS提供2000 QPS、4000 QPS等实例，支持大量并发请求，在高负载情况下业务依然稳健。

• 可伸缩

  您可以根据业务需要，快速地进行升配。

以双可用区为例，示例中业务应用部署在VPC_1和VPC_2，KMS实例部署在VPC_1，并且绑定了VPC_2。KMS服务的架构图如下：

安全与合规能力

KMS经过严格的安全设计和审核，保证您的密钥在阿里云得到最严格的保护。

• KMS将密钥托管在您独享的KMS实例中，确保不与其他租户共享，从而提升数据安全性。

• KMS仅提供基于TLS的安全访问通道，并且仅使用安全的传输加密算法套件，符合PCI DSS等安全规范。

• KMS支持监管机构许可和认证的密码设施。阿里云加密服务提供了经国家密码管理局检测和认证的硬件密码设备，取得了GM/T 0028 第二级认证。KMS支持集成您在阿里云加密服务中管理的加密机集群进行密钥管理和密码计算。关于阿里云加密服务的更多信息，请参见什么是加密服务。

低成本

• 您无需支付采购硬件密码设备的初始成本以及进行运维、修补、老旧替换的持续开销。

• KMS为您节省了搭建具有可用性和可靠性的密码设备集群，以及自建密钥管理设施的研发成本和维护开销。

• KMS与阿里云其他产品的集成为您节省了研发数据加密系统的开销，仅需通过管理密钥即可获得可控的云上数据加密地能力。