基本概念

本文解释了密钥管理服务KMS(Key Management Service)的基本概念,帮助您正确理解和使用KMS。

密钥服务(Key Service)

密钥服务为您提供密钥安全存储和生命周期管理、使用密钥进行数据加密和解密、数字签名和验签等密码运算服务。关于密钥服务的更多信息,请参见密钥服务概述

凭据管理(Secrets Manager)

凭据管理为您提供凭据的全生命周期管理和安全便捷的应用接入方式,帮助您规避在代码中硬编码凭据带来的敏感信息泄露风险。关于凭据管理的更多信息,请参见凭据管理概述

KMS实例(Key Management Service Instance)

KMS提供了两种实例类型,软件密钥管理实例和硬件密钥管理实例。可被云产品集成用于服务端加密,也可被您的自建应用集成用于构建应用层密码技术方案。

  • 软件密钥管理实例:软件密钥管理实例为您提供密钥服务、凭据管理服务,通过使用您独享的容器服务实例,将密钥和凭据安全地存储在您独享的数据库中,具备高度的可扩展性和安全性。

  • 硬件密钥管理实例:硬件密钥管理实例通过连接您在阿里云加密服务中的密码机(HSM)集群提供密钥服务,同时使用您独享的容器服务实例,将凭据安全地存储在您独享的数据库中,为您提供更高的安全与合规等级保证的密钥服务、凭据管理服务。启用硬件密钥管理实例前,您需要在阿里云加密服务购买密码机(HSM)和配置密码机集群,并在KMS中进行连接。

    说明

    加密服务中密码机(HSM)使用经国家密码管理局或FIPS 140-2 3级认证的硬件。

购买KMS实例时可以选择实例性能,更多介绍,请参见性能数据

硬件安全模块HSM(Hardware Security Module)

硬件安全模块,是一种执行密码运算、安全生成和存储密钥的硬件设备。密码机是构建IT系统时最常用的一种硬件安全模块。

KMS支持集成您在阿里云加密服务的密码机集群,为您在KMS托管的密钥提供更高的安全与合规等级保证,满足监管机构的检测认证要求。

用户主密钥CMK(Customer Master Key)

用户主密钥CMK(Customer Master Key)指的是由您自主创建和托管在KMS的密钥,简称为“主密钥”。主密钥由密钥ID、基本元数据以及密钥材料组成。

默认密钥(Default Key)

默认密钥仅可被云产品集成用于服务端加密,包含:

  • 服务密钥:由云服务代表您创建和托管用于服务端加密的密钥。

  • 主密钥:由您自主创建和管理密钥生命周期的主密钥,每个地域下仅能创建1个,密钥材料可由KMS生成也可由您自行导入。

对于默认密钥,KMS仅支持您使用对称密码算法AES_256。

服务密钥(Service Key)

由云服务代表您创建并托管于KMS,在云产品服务端加密时默认使用的密钥。

密钥材料(Key Material)

密钥材料是密码运算操作的重要输入之一。建议您对非对称密码算法的私钥的密钥材料和对称密码算法的密钥材料保密,以保护基于密钥材料的密码运算操作。

  • 默认密钥:当您创建默认密钥中的主密钥时,支持由KMS生成密钥材料(Origin属性为Aliyun_KMS),也支持由您自行导入密钥材料(Origin属性为EXTERNAL)。

  • 软件密钥:当您创建软件密钥时,仅支持由KMS生成密钥材料(Origin属性为Aliyun_KMS),暂不支持您自行导入密钥材料。

  • 硬件密钥:当您创建硬件密钥时,支持由KMS所连接的密码机(HSM)生成密钥材料(Origin属性为Aliyun_KMS),也支持您自行导入密钥材料(Origin属性为EXTERNAL)。

凭据(Secrets)

凭据是用于对应用程序进行身份验证的敏感信息,例如数据库账号密码、SSH Key、敏感地址、AK敏感数据等内容。

应用接入点(Application Access Point)

应用接入点AAP是KMS实现的一种访问控制方案,适用于应用程序访问KMS资源时进行身份认证和行为鉴权。详细信息,请参见应用接入点概述