密钥管理服务提供密钥的全托管的生命周期管理能力,支持基于API接口的数据加解密和数字签名验签。
KMS支持的密钥类型说明
KMS对加密算法、保护级别以及应用场景的支持情况请参见如下表格。
密码算法大类 密码算法子类 保护级别 是否支持加解密 是否支持签名验签 对称密钥
AES_256
Software
HSM
支持
不支持
SM4
HSM
支持
不支持
非对称密钥
RSA_2048
Software
HSM
支持
支持
SM2
HSM
支持
支持
- 对称密钥主要用于数据的加密保护场景,可通过接口调用进行在线加密或者信封加密。更多信息,请参见对称密钥概述。
- 非对称密钥可用于数据加密和数字签名。在KMS创建的非对称用户主密钥(CMK),由一对关联的公钥和私钥构成。公钥可以被分发给任何人,而私钥由KMS确保安全性,不提供任何接口导出非对称密钥的私钥。使用者仅能通过接口调用私钥进行签名运算或者数据解密。更多信息,请参见非对称密钥概述。
KMS密钥管理功能
KMS提供集中托管的密钥全生命周期管理,您可以轻松创建并使用密钥。
| 功能 | 说明 | 参考文档 |
|---|---|---|
| 密钥生命周期管理 | 通过KMS可创建用户主密钥CMK(Customer Master Key),支持对CMK进行启用、禁用、删除等生命周期管理。 密钥支持软件或硬件的密钥保护级别,硬件密钥通过硬件安全模块(HSM)的保护,满足更高的安全性。 支持导入自带密钥材料到KMS中(BYOK),满足一些特定的安全需求。 |
创建密钥 导入密钥材料 启用禁用密钥 计划删除密钥 |
| 密钥版本管理 | 支持通过密钥版本化或定期轮转来加强密钥使用的安全性,实现数据保护的安全策略。 | 密钥版本管理 |
| 密钥别名管理 | 支持设置密钥别名,更方便的使用密钥。 | 别名管理 |
密码运算
KMS提供了云原生的密码运算API,快速满足数据加密解密、数字签名验签等多样性需求。
