加密服务是云上的硬件加密解决方案,通过使用加密服务,您能运用多种加密算法对云上业务数据进行可靠的加解密运算,实现数据保护,同时满足数据安全方面的监管合规要求。
概述
加密服务的服务底层使用通过FIPS 140-2 3级认证的密码硬件,通过虚拟化技术,帮助用户满足数据安全方面的监管合规要求,保护云上业务数据的隐私性要求。借助加密服务,用户能够对密钥进行安全可靠的管理,也能使用多种加密算法来对数据进行可靠的加解密运算。
加密服务可以帮助您执行如下密码计算:
生成、存储、导入、导出和管理加密密钥,包括对称密钥和非对称密钥对。
使用对称和非对称算法加密和解密数据。
使用哈希函数计算消息摘要和基于哈希的消息身份验证代码 (HMAC)。
对数据进行数字签名和验证签名。
生成安全随机数据。
产品优势
安全密钥存储
使用硬件密码机保护用户密钥,加密模块的硬件和固件经过FIPS 140-2 3级认证。
安全的密钥管理
设备管理和密钥管理权限分离。阿里云只能管理密码机硬件设备,主要包括监控设备可用性指标、开通服务等。密钥完全由客户管理,阿里云没有任何方法可以获取客户密钥。
弹性扩展
在使用加密服务时,您可以根据实际情况,灵活地调整部署购买的密码机的数量,通过负载均衡来满足不同的加解密运算要求。
集群高可用性
加密服务支持集群管理的功能。您可以将购买的多个密码机添加到一个集群中,快速增加密码机的高可用性,降低业务中断及核心数据丢失风险。
便捷的云上使用
借助加密服务,您可以将购买的密码机部署在您指定的VPC专有网络中,通过指定的私网IP地址进行安全管理和调用,便捷地与云服务器上的业务配合使用。
支持的地域和可用区
地域 | 地域ID | 可用区 |
中国香港 | cn-hongkong | 可用区B、可用区C |
新加坡 | ap-southeast-1 | 可用区A、可用区B |
沙特(利雅得) | me-central-1 | 可用区A、可用区B |
马来西亚(吉隆坡) | ap-southeast-3 | 可用区A、可用区B |
使用限制
加密服务的使用限制如下表所示,表中配额暂不支持调整。
限制项 | 限制 |
一个加密机支持存储的密钥数量 | 3,300 |
一个加密机支持的用户数量 | 1,024 |
用户名的字符长度 | 31 |
用户密码的长度范围 | 7~32 |
常见术语
密码机实例
密码机实例是密码机的硬件加密模块虚拟化形成的资源。密码机实例与硬件加密模块具有同样的合规性,可以实现加密服务的所有功能,具备对数据的加解密运算能力。