对称加密是最常用的数据加密保护方式。KMS提供了简单易用的接口,方便您在云上轻松实现数据加解密功能。
密钥管理服务支持主流的对称密钥算法并且提供足够的安全强度,保证数据加密的安全性。
KMS支持的对称密钥类型
KMS支持的对称密钥算法类型如下:
| 算法 | 密钥长度 | 密钥规格 | 保护级别 |
|---|---|---|---|
| AES | 256比特 | AES_256 | Software HSM |
| SM4 | 128比特 | Ctyun_SM4 | HSM |
对称密钥功能特性
KMS生成的对称主密钥支持多个密钥版本,同时支持用户主密钥基于密钥版本进行自动轮转,您可以自定义密钥轮转的策略。为了满足特殊的安全合规要求,KMS支持您使用自带密钥(BYOK)进行数据的加密保护。
| 功能 | 功能描述 |
|---|---|
| 自动轮转 | 支持设置自动轮转策略,生成新的密钥版本,并自动设为主版本(primaryKeyVersion),KMS会使用主版本密钥实现加解密。 密钥轮转产生新的主版本后,KMS不会删除或禁用非主版本,他们需要被用作解密操作。 |
| 导入密钥材料(BYOK) | 默认情况下,当创建CMK时,会由KMS生成密钥材料。也可以选择创建密钥材料来源为外部的密钥,将自带密钥材料导入到CMK中。 导入的密钥材料可以进行删除,也可以设置过期时间,在密钥材料过期后进行删除(CMK不会被删除)。导入的密钥材料被删除后,可以再次导入相同的密钥材料使得CMK再次可用,因此您需要自行保存密钥材料的副本。 每个CMK只能拥有一个导入密钥材料。当您将一个密钥材料导入CMK时,CMK将与密钥材料绑定,即便密钥材料已经过期或者被删除,也不能导入其他密钥材料。如果您需要轮换使用外部密钥材料的CMK,只能创建一个新的CMK然后导入新的密钥材料。 |
对称密钥应用场景
KMS生成的对称密钥支持如下数据加密方式,满足多样化的数据保护场景。
| 场景 | 场景描述 |
|---|---|
| 在线加密 | 适用于保护小型敏感数据(小于6KB)的加解密,如密钥、证书、配置文件等。 用户的数据会通过安全信道传递到KMS服务端,服务端通过指定CMK完成加密和解密后,操作结果通过安全信道返回给用户。 |
| 信封加密 | 适用于海量数据的高性能加解密,如规模较大的对性能敏感的本地文件。 通过KMS生成数据密钥DEK,并返回DEK明文及经指定CMK加密的DEK密文。用户使用数据密钥DEK明文在本地进行高效的加解密处理,然后将内存中的DEK明文销毁,将DEK密文及密文文件落盘存储。 |
