密钥服务是KMS的核心组件,提供密钥的全托管和保护能力,支持基于云原生接口的极简数据加密和数字签名。

托管和保护密钥

功能 说明 参考文档
托管和管理密钥 您在KMS托管的密钥叫做用户主密钥CMK(Customer Master Key)。您可以对CMK进行生命周期管理。
您可以对密钥进行轮转。
您可以设置密钥别名更方便的使用密钥,并通过API接口对密钥进行其他管理操作。
保护密钥、满足合规要求 密钥的使用通常伴随着安全与合规的要求。建议您指定用户主密钥的保护级别为HSM,使密钥获得高安全等级的专用硬件保护,并且提供满足GM/T或者FIPS 140-2第三级的合规性。保护级别为HSM的主密钥,其密钥材料的明文只会存在于密码机的内部,任何人均无法接触到密钥材料的明文。这类密钥无法被明文导出密码机。
使用自带密钥(BYOK) 您可以自带密钥(bring your own key)到KMS中,将您在线下、其他云或者阿里云加密服务中管理的密钥租借给KMS使用,满足一些特定的安全需求。

数据加密

KMS提供了云原生的密码运算API,相比于传统密码模块或密码软件库的API更简单易用。同时,KMS提供了多种SDK以加速开发过程。关于如何使用SDK进行代码开发,请参见概述

功能 说明 参考文档
一键加密云产品 KMS和阿里云服务广泛集成,支持原生的云产品加密,只需要在云产品中简单配置,即可自动完成数据的加密保护。
通过代码快速加密云产品 KMS SDK

KMS SDK是对KMS API的直接封装。您可以查看数据代码开发示例,快速学习如何使用代码调用KMS的Encrypt接口,完成数据的直接加密。

数据加密代码开发示例
加密SDK(Encryption SDK)

加密SDK是结合KMS API的客户端加密库。您可以查看加密SDK快速入门,快速学习如何使用代码调用加密SDK,完成对数据的信封加密。

KMS支持的算法规格说明

KMS对加密算法的支持情况请参见如下表格。

密码算法大类 密码算法子类 是否支持加密、解密 是否支持签名、验签
对称密钥 AES 支持 不支持
对称密钥 SM4 说明 支持 不支持
非对称密钥 RSA 支持 支持
非对称密钥 ECC 不支持 支持
非对称密钥 SM2 说明 支持 支持
说明 仅中国内地的托管密码机支持SM4 、SM2密钥。更多信息,请参见支持的地域

对称密钥主要用于数据的加密保护场景。如果您不指定具体的密钥规格(KeySpec),KMS默认创建对称密钥。更多信息,请参见对称加密概述

非对称密钥可用于数据加密和数字签名。您在KMS创建的非对称用户主密钥(CMK),由一对关联的公钥和私钥构成。公钥可以被分发给任何人,而私钥由KMS确保安全性,不提供任何接口导出非对称密钥的私钥。使用者仅能通过接口调用私钥进行签名运算或者数据解密。更多信息,请参见非对称密钥概述