密钥管理服务KMS(Key Management Service)提供密钥的安全托管及密码运算等服务。KMS内置密钥轮转等安全实践,支持其它云产品通过一方集成的方式对其管理的用户数据进行加密保护。借助KMS,您可以专注于数据加解密、电子签名验签等业务功能,无需花费大量成本来保障密钥的保密性、完整性和可用性。

功能特性

  • 加密密钥的托管

    KMS为您提供加密密钥的托管功能,KMS托管的加密密钥叫做用户主密钥CMK(Customer Master Key)。您可以对CMK进行生命周期管理(启用或禁用CMK)。详情请参见用户主密钥管理

  • 自带密钥(BYOK)
    KMS支持自带密钥BYOK(Bring Your Own Key)。您可以将密钥租借给KMS用作云上数据的加密保护,从而更好的管理密钥。可租借的密钥包括以下两种:
    • 线下密钥管理基础设施KMI(Key Management Infrastructure)里的密钥
    • 阿里云加密服务中自主管理的HSM中的密钥
    说明 通过安全合规的密钥交换算法,导入到KMS的托管密码机中的密钥不会被任何机制所导出,密钥明文不会被操作者或任何第三者查看。详情请参见导入和删除密钥材料保持对密钥的控制
  • 自动轮转加密密钥

    KMS支持同一个CMK有多个密钥版本,每个版本为一个独立的密钥,各个版本互不相关。在多版本的基础上,KMS内建了加密密钥的自动轮转能力,帮助您实现安全最佳实践并满足合规审计要求。详情请参见密钥轮转概述自动轮转密钥

  • 全托管密码机

    KMS提供了全托管的密码机,您可以将密钥托管在密码机中,密码运算仅在密码机内部进行从而保证密钥的安全性。KMS的密码机满足不同地域和市场对密码安全的不同合规诉求,详情请参见托管密码机简介使用托管密码机

  • 简单的密码运算API
    • KMS提供了简化的密码运算API,相比于传统密码模块或密码软件库的API更简单易用。详情请参见密码运算
    • KMS的加密密钥支持可认证的加密,通过传入额外认证数据AAD(Additional Authenticated Data)保护数据的完整性。详情请参见EncryptionContext说明
  • 主密钥别名

    KMS支持为主密钥创建别名,通过别名可以更方便的使用主密钥,详情请参见别名使用说明。例如您可以通过主密钥别名在特定场景下实现人工轮转主密钥

  • 资源标签

    与阿里云提供的其他云产品一样,KMS也支持资源标签。通过资源标签您可以更方便的管理KMS中的密钥资源,详情请参见3. 标签管理接口

产品优势

密钥管理服务(KMS)与多个阿里云产品进行了集成,更大的发挥了KMS的优越性,详情请参见产品优势

  • KMS与云服务器ECS(Elastic Compute Service)、云数据库RDS(Relational Database Service)、对象存储OSS(Object Storage Service)等集成:您可以通过KMS主密钥加密控制存储在这些云服务中的数据,同时集成加密解决了其他云产品中原生数据的加密保护问题。
  • KMS与访问控制RAM(Resource Access Management)集成:您可以通过访问控制配置多样化的自定义策略,满足不同的授权场景。
  • KMS与操作审计(ActionTrail)集成:您可以通过操作审计查看近期KMS的使用状况,也可以将KMS使用情况存储到OSS等其他云服务中,满足更长周期的审计需求。