从2022年03月31日起,原密钥管理服务(KMS)将逐步演化为阿里云原生的默认安全能力,为云产品提供默认的加解密服务;同时新增专属KMS产品形态,为用户提供租户侧独享存储和密钥运算的密钥管理服务。
升级原因
原密钥管理服务(KMS)是多租户共享存储和密钥运算的密钥管理服务。相比之下,专属KMS为用户提供租户侧独享存储和密钥运算,具体优势如下:
- 专属KMS提供租户独享的服务实例,并部署到租户的VPC内,相比KMS共享网关模式,更能提高租户私网接入的安全性。
- 专属KMS提供租户独享的密码资源池,实现资源隔离和密码学隔离,相比KMS租户侧资源和密钥计算共享模式,更有效地保证租户资源使用的安全性。
- 专属KMS使用应用接入点作为鉴权方式,相比KMS使用RAM鉴权方式,更方便用户快速地完成密钥鉴权配置。
升级影响
升级后已开通KMS的老用户可以继续使用,新用户有密钥管理相关需求时,需要购买专属KMS。对于新用户的影响如下表所示。
说明 升级后,KMS老用户使用过程中如果出现KMS欠费停机,将无法继续使用KMS,需要购买专属KMS。
| 功能 | 使用场景 | 对新用户的影响 |
|---|---|---|
| 用户主密钥 | 云产品使用服务密钥加密云产品资源 | 无影响。 |
| 用户在客户端使用服务密钥加解密数据 | 暂不支持该功能。 | |
| 云产品使用用户自选密钥加密云产品资源 | 需要购买专属KMS基础版或标准版才能使用该功能。
您可以访问专属KMS购买专属KMS。 |
|
| 用户数据加密 | 需要购买专属KMS基础版或标准版才能使用该功能。
您可以访问专属KMS购买专属KMS。 |
|
| 凭据 | 使用凭据获取敏感信息 |
需要购买专属KMS基础版或标准版才能使用该功能。 您可以访问专属KMS购买专属KMS。 |
| 凭据轮转 | 暂不支持该功能。 | |
| 证书 | 证书托管 | 需要购买SSL证书才能使用该功能。
关于如何购买SSL证书,请参见购买SSL证书。 |
| 使用证书进行签名验签 | 暂不支持该功能。 |