对称密钥加密

又称私钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据。

非对称密钥加密

非对称密钥由一对互相关联的公钥和私钥组成，其中的公钥可以被分发给任何人，而私钥必须被安全保护起来，只有受信任者可以使用。非对称密钥通常用于在信任程度不对等的系统之间，实现数字签名验签或者加密传递敏感信息。

用户主密钥（Customer Master Key，CMK）

用户主密钥包括对称密钥及非对称密钥，主要用于加密保护数据密钥，也可直接用于加密少量的数据。用户可以调用KMS的产品控制台或CreateKey接口创建一个用户主密钥。

默认主密钥（Default CMK）

用户使用云产品加密功能时，由云产品触发KMS系统自动生成的并托管在用户账号下的服务密钥。

信封加密（Envelope Encryption）

信封加密是类似数字信封技术的一种加密手段。这种技术将加密数据的数据密钥封入信封中存储、传递和使用，不再使用用户主密钥（CMK）直接加密和解密数据。当需要加密业务数据时，可以调用KMS的GenerateDataKey或GenerateDataKeyWithoutPlaintext接口生成一个对称密钥，同时使用指定的用户主密钥加密该对称密钥（被密封的信封保护）。

数据加密密钥（Data Encryption Key，DEK）

信封加密技术中用于加密业务数据的密钥，受用户主密钥CMK加密保护。

硬件安全模块（Hardware Security Module，HSM）

硬件安全模块也称为密码机，是一种执行密码运算、安全生成和存储密钥的硬件设备。KMS提供的托管密码机可以满足监管机构的检测认证要求，为用户在KMS托管的密钥提供更高的安全等级保证。

密钥导入（Bring Your Own Key，BYOK）

指用户可以自行导入密钥材料至用户主密钥中，KMS不会为创建的用户主密钥（CMK）生成密钥材料。

应用接入点

是一种身份验证和访问控制机制，当用户VPC内的自建应用需要访问KMS服务时，需要创建应用接入点实现私网通道打通，同时在应用接入点内完成访问权限策略配置以及身份凭证的生成。