密钥生命周期管理

提供密钥全生命周期管理，包括密钥创建、自带密钥导入（BYOK）、启用/禁用、别名设置、轮转策略设置、版本设置、计划删除、取消删除等。

密钥算法

• 支持对称密钥算法类型为AES_256、SM4。
• 支持非对称密钥算法类型为RSA_2048、SM2。

硬件保护

通过部署托管密码机，采用由国家密码管理局批准的密码设备硬件，满足监管合规需求。

提供更高安全等级的硬件保护机制保护密钥，确保密钥的保密性、完整性和可用性。

密钥轮转

支持通过定期自动轮转或手动创建密钥版本，以加强密钥使用的安全性。

• 对于对称密钥，密钥版本可通过设置轮转策略，由系统根据轮转周期自动生成。
• 对于非对称密钥，可人工创建新的密钥版本。

密钥轮转或人工创建产生新的主版本后，KMS不会删除或禁用非主版本，使得经非主版本加密的密文仍可以正常解密。

自带密钥导入

支持导入用户自带密钥。当用户希望使用自己的密钥材料时，可通过KMS管理控制台的导入密钥功能创建密钥材料为空的用户主密钥，并将自己的密钥材料导入该用户主密钥中。

别名管理

别名是用户主密钥的可选标识，同一个用户在一个地域中的别名具有唯一性。每个别名只能指向同地域的一个用户主密钥，但是每个用户主密钥可以绑定多个别名。

用户可通过控制台创建别名、删除别名，还可以通过API进行别名的创建、更新、删除等。

在线加密

在线加密是对称密钥加密的场景，适用于保护小型敏感数据（小于6KB），如口令、证书、身份信息、后台配置文件等。通过密钥管理服务KMS的在线加密API，使用用户主密钥（CMK）直接加密敏感数据信息，而非直接将明文存储，确保敏感数据安全。

信封加密

信封加密是对称密钥加密的场景，是一种应对海量数据的高性能加解密方案。这种技术不再使用用户主密钥（CMK）直接加密和解密数据，而是通过生成加密数据的数据密钥（DEK），将其封入信封中（即通过CMK加密）存储、传递和使用，由KMS确保数据密钥的随机性和安全性。

实际使用时，用户无需将大量业务数据上传至KMS服务端，直接通过离线的数据密钥在本地实现加解密，有效避免安全隐患，保证了业务加密性能的要求。

签名验签

数字签名技术是非对称加密算法的另一种典型应用。用户可在KMS中创建非对称用户主密钥（CMK），其由一对关联的公钥和私钥构成。公钥可以被分发给任何人，而私钥由KMS确保安全性，不提供任何接口导出非对称密钥的私钥。 使用者仅能通过接口调用私钥进行签名运算。

实际使用时，签名者将验签公钥分发给消息接收者，签名者使用签名私钥，对数据产生签名，签名者将数据以及签名传递给消息接收者，消息接收者获得数据和签名后，使用公钥针对数据验证签名的合法性。

非对称数据加解密

非对称密钥加密通信的过程类似于对称加密，区别在于需要使用公钥进行数据加密，使用私钥进行数据解密。由于KMS中用户私钥不支持导出，使用者仅能通过接口调用私钥进行数据解密。

实际使用时，信息接收者将加密公钥分发给信息传送者，信息传送者使用公钥对敏感信息进行加密保护，信息传送者将敏感信息的密文传递给信息接收者，信息接收者使用私钥将敏感信息的密文解密。

云产品服务端加密

与天翼云产品联动，提供对云硬盘、对象存储、弹性文件、数据库等产品中的数据进行服务端加密，保证云上数据的安全性。用户只需通过云产品控制台一键勾选KMS加密功能，加解密过程透明无感知。

完整性保护

提供基于国密算法的完整性保护能力，通过SM3算法计算HMAC值以进行对比验证，实现完整性校验。