敏感信息加密是密钥管理系统 KMS 核心的能力，适用于保护小型敏感数据（小于6KB），如口令、证书、配置文件等。通过密钥管理服务KMS的在线加密API，使用 用户主密钥（CMK）直接加密敏感数据信息，而非直接将明文存储，确保敏感数据安全。

场景示意图

操作流程（以证书加密为例）

1. 通过KMS控制台或者调用CreateKey接口，创建一个用户主密钥（CMK）。
2. 调用KMS服务的Encrypt接口，将明文证书加密为密文证书。
3. 将密文证书部署在服务器上。
4. 当服务器启动需要使用证书时，调用KMS服务的Decrypt接口将密文证书解密为明文证书。

相关API

您可以调用以下KMS API，轻松完成对数据的加密或解密操作。

API名称
说明
createKey
创建用户主密钥（CMK）。
encrypt
指定CMK，直接输入明文数据，由KMS在线加密数据。
decrypt
解密由encrypt接口加密的数据，不需要指定CMK即可完成在线解密。