密钥管理简介
密钥管理,即密钥管理服务(Key Management Service, KMS),是一种安全、可靠、简单易用的密钥托管服务,帮助您轻松创建和管理密钥,保护密钥的安全。
KMS通过使用硬件安全模块HSM(Hardware Security Module, HSM)保护密钥的安全,所有的用户密钥都由HSM中的根密钥保护,避免密钥泄露。
KMS对密钥的所有操作都会进行访问控制及日志跟踪,提供所有密钥的使用记录,满足审计和合规性要求。
功能介绍
用户可通过密钥管理界面,对用户主密钥进行以下操作:
- 创建、查看、启用、禁用、计划删除、取消删除用户主密钥
- 修改用户主密钥的别名和描述
- 在线工具加解密小数据
- 导入密钥、删除密钥材料
- 添加、搜索、编辑、删除标签
用户可通过密钥管理的接口执行以下操作:
- 对数据加密密钥进行创建、加密或解密操作
- 对授予的权限进行退役授权操作
生成硬件真随机数:用户可通过密钥管理的接口生成512bit的随机数,为加密系统提供基于硬件真随机数的密钥材料和加密参数。
支持的密钥算法
KMS创建的对称密钥使用的是AES-256加解密算法。KMS创建的非对称密钥支持RSA和ECC算法。
KMS支持的密钥算法类型
密钥类型 算法类型 密钥规格 说明 用途 对称密钥 AES AES_256 AES对称密钥 小量数据的加解密或用于加解密数据密钥。 对称密钥 SM4 SM4 国密SM4对称密钥 小量数据的加解密或用于加解密数据密钥。 非对称密钥 RSA RSA_204
8RSA_3072 RSA_4096
RSA非对称密钥 小量数据的加解密或数字签名。 ECC EC_P25
6EC_P384
椭圆曲线密码,使用NIST推荐的椭圆曲线 数字签名 非对称密钥 SM2 SM2 国密SM2非对称密钥 小量数据的加解密或数字签名。
通过外部导入的密钥支持的密钥包装加解密算法如下表所示:
密钥包装算法说明
密钥包装算法 说明 设置 RSAES_OAEP_SHA_256 具有“SHA-256”哈希函数的OAEP的RSA加密算法。 请您根据自己的HSM功能选择加密算法。 如果您的HSM支持“RSAES_OAEP_SHA_256”加密算法,推荐使用“RSAES_OAEP_SHA_256”加密密钥材料。
须知: “RSAES_OAEP_SHA_1”加密算法已经不再安全,请谨慎选择。RSAES_OAEP_SHA_1 具有“SHA-1”哈希函数的OAEP的RSA加密算法。
