密钥管理服务KMS(Key Management Service)与传统密钥管理基础设施KMI(Key Management Infrastructure)相比具有多集成、易使用、高可靠以及低成本等优势。
多集成
身份认证与访问控制
KMS借助于身份认证机制(AccessKey)来鉴别请求的合法性,KMS还通过与访问控制(RAM)集成,允许您配置多样化的自定义策略,满足不同的授权场景。KMS仅接受由合法用户发起且满足RAM对权限的动态检测的请求。更多信息,请参见使用RAM实现对资源的访问控制。
审计密钥的使用
KMS通过与操作审计(ActionTrail)集成,可以查看近期KMS的使用状况,也可以将KMS使用情况存储到OSS等其他云服务中,满足更长周期的审计需求。更多信息,请参见使用操作审计查询密钥管理服务的操作事件。
云产品集成加密
KMS和阿里云ECS、RDS、OSS等多个产品无缝集成。通过一方集成,您可以很容易的使用KMS密钥加密和控制存储在这些服务中的数据,只需要付出密钥的管理成本,无需实施复杂的加密措施。同时集成加密解决了其他云产品中原生数据的加密保护问题。更多信息,请参见云产品集成KMS加密概述和支持集成KMS加密的云产品。
易使用
轻松实现加密
KMS提供简单的密码运算API,简化和抽象了密码学概念,让您可以轻松的使用API完成数据的加解密。
集中的密钥托管
您可以随时创建新的密钥,并通过访问控制(RAM)和应用接入点(AAP)轻松管理谁或哪些应用可以访问该密钥。
您可以通过操作审计(ActionTrail)审查对KMS资源的操作情况。
支持自带密钥(BYOK)
KMS支持自带密钥BYOK(Bring Your Own Key)。 您可以从线下的密钥管理基础设施(KMI)等外部系统设施将密钥导入到KMS,用于对云产品中数据的加密保护或自建应用系统中的密码技术使用场景。
说明KMS通过安全合规的密钥交换算法,保证密钥明文不会被操作者或任何第三者查看。
高可靠、高可用、可伸缩
KMS在每个地域支持多可用区冗余的密码计算能力,保证阿里云上各个产品和您的自定义应用向KMS发起的请求可以得到低延迟处理。您可以根据需要,快速地进行升配。
KMS实例基于双可用区容灾部署,负载均衡支持分钟级RTO,计算实例双可用区双活在线提供服务,充分地利用计算资源,助力您实现业务的高可用目标。启用KMS实例时,您需要选择同VPC下的双可用区。架构图如下:
默认情况下每个KMS实例至少包含两个计算实例,如有更高可用性、更高性能的应用场景,可根据需求增加。
安全与合规能力
KMS经过严格的安全设计和审核,保证您的密钥在阿里云得到最严格的保护。
KMS仅提供基于TLS的安全访问通道,并且仅使用安全的传输加密算法套件,符合PCI DSS等安全规范。
KMS支持监管机构许可和认证的密码设施。阿里云加密服务提供的密码设备取得了FIPS 140-2第三级认证。KMS支持集成您在阿里云加密服务中管理的加密机集群进行密钥管理和密码计算。关于阿里云加密服务的更多信息,请参见什么是加密服务。
低成本
您无需支付采购硬件密码设备的初始成本以及进行运维、修补、老旧替换的持续开销。
KMS为您节省了搭建具有可用性和可靠性密码设备集群,以及自建密钥管理设施的研发成本和维护开销。
KMS与阿里云其他产品的集成为您节省了研发数据加密系统的开销,仅需通过管理密钥而获得可控的云上数据加密的能力。