金鑰管理服務

金鑰管理服務 (Key Management Service) 是一款安全易用的管理類服務。在金鑰管理服務中,您可以根據需要建立、移除和管理加密金鑰。

免費開通 聯絡我們

金鑰管理服務

阿里雲雲金鑰管理服務(KMS)是一種安全,便於使用的服務,用於建立,控制和管理用於保護資料的加密金鑰。

藉助阿里雲KMS,您可以有效地保護金鑰的祕密性,完整性和可用工時,同時節省成本。 您可以將其與其他阿里雲服務(如ApsaraDB for RDS,OSS等)整合,以加密關鍵資訊,例如隱藏在這些服務中的憑證和金鑰。 您可以安全,方便地使用這些金鑰,並專註於開發加密/解密功能場景。

KMS要解決的主要需求:

角色問題KMS如何解決
套用/網站開發人員我的程式需要使用金鑰、憑證用於加密或者簽章,我希望金鑰管理的功能是安全且硬地的。不論我的應用程式部署在哪裡,都能安全的存取到金鑰。我絕不接受把明文的金鑰到處部署,這太危險了使用信封加密技術,主要金鑰存放在KMS服務中,只部署加密後的資料金鑰,僅在需要使用時叫用KMS服務解密資料金鑰
服務開發人員我不想承擔客戶金鑰、資料的安全責任。我希望用戶自己管理他的金鑰;在擁有授權的情況下,我會使用用戶指定的祕密金鑰加密他的資料。這樣,我就能專註於服務功能的開發基於信封加密技術以及KMS開放的API,服務能夠整合KMS,使用用戶指定的主要金鑰完成資料金鑰的加解密,能夠輕鬆的實現明文不落盤的要求,也不用為系統管理使用者的金鑰而犯愁
首席安全官(CSO)我希望公司的金鑰管理能滿足合規需求。我需要確保金鑰都被合理的授權,任何使用金鑰的情況都必須被審計KMS服務接入RAM服務實現統一的授權管理

優點

完全託管

  • 通過隱藏在KMS中客戶主要金鑰(CMK),實現資料金鑰的輕鬆加密/解密。

  • 管理底層基礎架構的可用工時,安全性和可維修性。

安全

  • 通過TLS合約傳輸資料,以確保資料的安全性。

輕鬆系統管理使用者金鑰

  • 使用指定的用戶主要金鑰,輕鬆加密/解密資料。

  • 免除了將明文直接隱藏在存放裝置中的隱患。

便於使用

  • 支援使用RESTful API與第三方整合。

  • 與RAM整合,支援統一授權管理。

  • 提供統一且便於使用的API;支援標準的HTTPS合約。

多區域支援

  • 支援全球五個地區;對於不同區域中的每個用戶有硬地的使用節流。

經濟實惠

  • 與採購昂貴的硬體裝置相比,節省成本。

  • 根據您的商務需求,按需付費。

產品詳情

阿里雲雲金鑰管理服務(KMS)是一種完全託管的服務,用於建立,移除和管理加密金鑰以保護您的資料。 對於常見的金鑰管理方案,您可以使用API或阿里雲管理主控台來生成和系統管理使用者主要金鑰(CMK)。

對於普通的加密/解密場景,您可以直接使用API加解密少量資料,或者通過信封加密技術在本地加密大量資料。

此外,您可以定義資料加密的使用原則。 您可以將其與各種阿里雲隱藏服務整合,以確儲存儲資料的安全性。

您能夠使用SDK和API輕鬆加密資料或資料金鑰。


功能

金鑰管理類功能

  • 允許您建立,查看,啟用和停用用戶主要金鑰。

  • 您能夠查看整個主要金鑰清單,包括與KMS整合的所有服務為您建立的金鑰。

安全

  • 在使用SDK存取金鑰時,啟用HTTPS合約以保護資料安全。

  • 支援HMAC-SHA1簽章方案。

  • 保留用於保護資料的金鑰的祕密性,完整性和可用工時。

多區域支援

地域地域Id公共網路位址專有網路位址
華東1(杭州)cn-hangzhoukms.cn-hangzhou.aliyuncs.comkms-vpc.cn-hangzhou.aliyuncs.com
亞太東南(新加坡)ap-southeast-1kms.ap-southeast-1.aliyuncs.comkms-vpc.ap-southeast-1.aliyuncs.com
華東2(上海)cn-shanghaikms.cn-shanghai.aliyuncs.comkms-vpc.cn-shanghai.aliyuncs.com
華北2(北京)cn-beijingkms.cn-beijing.aliyuncs.comkms-vpc.cn-beijing.aliyuncs.com
華南1(深圳)cn-shenzhenkms.cn-shenzhen.aliyuncs.comkms-vpc.cn-shenzhen.aliyuncs.com
日本ap-northeast-1kms.ap-northeast-1.aliyuncs.comkms-vpc.ap-northeast-1.aliyuncs.com
法蘭克福eu-central-1kms.eu-central-1.aliyuncs.comkms-vpc.eu-central-1.aliyuncs.com
迪拜me-east-1kms.me-east-1.aliyuncs.comkms-vpc.me-east-1.aliyuncs.com
悉尼ap-southeast-2kms.ap-southeast-2.aliyuncs.comkms-vpc.ap-southeast-2.aliyuncs.com
香港cn-hongkongkms.cn-hongkong.aliyuncs.comkms-vpc.cn-hongkong.aliyuncs.com
華北3(張家口)cn-zhangjiakoukms.cn-zhangjiakou.aliyuncs.comkms-vpc.cn-zhangjilou.aliyuncs.com
華北1(青島)cn-qingdaokms.cn-qingdao.aliyuncs.comkms-vpc.cn-qingdao.aliyuncs.com
吉隆坡ap-southeast-3kms.ap-southeast-3.aliyuncs.comkms-vpc.ap-southeast-3.aliyuncs.com
華北5(呼和浩特)cn-huhehaotekms.cn-huhehaote.aliyuncs.comkms-vpc.cn-huhehaote.aliyuncs.com

易於整合

  • 輕鬆與其他阿里雲服務(如ApsaraDB for RDS)整合,以保護您隱藏在這些服務中的資料。

  • 加密隱藏在物件隱藏服務中的靜態檔案,以確保安全性。

信封加密技術

  • 允許您傳輸和使用加密的資料;其中,資料金鑰被封裝在信封中;而用戶主要金鑰,被儲存在KMS中。

  • 允許您僅在需要時才存取KMS解密資料金鑰。

可擴充性和可靠性

  • 根據您的商務需求自動調整以滿足加密需求。

  • 您的主要金鑰的加密組建會有多個複本,以確保高可靠性和高可用工時。

  • 通常會部署在區域內的多個可用區域中,以確保加密金鑰的高可用工時。

場景

下面清單了幾個常見的KMS使用場景:

1. 直接使用KMS對小量資料進行加密/解密:

您可以直接叫用KMS API,指定特定的用戶主要金鑰(CMK)加密和解密資料。此方案適用於少量資料(小於4KB)的加密和解密。 資料通過安全通道傳輸到KMS伺服器,在伺服器加密或解密,並通過安全通道返回。

保護伺服器上的HTTPS憑證:

流程:

  • 建立用戶主要金鑰(CMK)。

  • 叫用KMS的加密介面將明文憑證加密為密文憑證。

  • 在伺服器上部署密文憑證。

  • 當伺服器啟動並需要使用憑證時,叫用KMS的解密介面將密文憑證解密為明文憑證。

2. 使用信封加密技術對大量資料執行本地加密/解密:

信封加密技術類似於數字數位信封技術,它允許您通過將加密的資料金鑰(DK)封裝在信封中,以此方式來隱藏、傳輸和使用加密金鑰,而不是直接使用用戶主要金鑰(CMK)加密/解密資料。這種方案適合大量資料需要加密或解密的場景。

您可以直接叫用KMS API,使用指定的用戶主要金鑰生成和解密資料金鑰,並使用資料金鑰進行本機資料加密和解密。您不需要通過網路傳輸大量的資料,從而節省成本。

這關閉了各種常見的安全風險,例如竊聽和網路網路釣魚。

加密本地檔案:

加密流程:

  • 建立一個用戶主要金鑰。

  • 叫用KMS的GenerateDataKey介面生成資料金鑰,獲得明文資料金鑰和密文資料金鑰。

  • 使用明文資料祕密金鑰加密檔案,生成密文檔案。

  • 將密文資料金鑰和密文檔案繫結,隱藏到永久存放裝置或服務。

解密本地檔案:

解密流程:

  • 從永持久儲裝置或服務中讀取密文資料金鑰和密文檔案。

  • 叫用KMS的解密介面解密密文資料金鑰,獲得明文資料金鑰。

  • 使用明文資料金鑰解密檔案。

使用入門

為了更好地管理您的金鑰,可以存取KMS API和SDK。

通過管理主控台使用金鑰管理服務

阿里雲管理主控台提供了一個簡單的基於Web的使用者介面,用於建立、查看、啟用和停用您的金鑰。

KMS API參考

您可以叫用KMS API來加密和解密資料金鑰。 請閱讀API關於

有關如何使用阿里雲KMS管理主控台或API的分步指南,請參閱快速入門手冊

KMS SDK參考

您可以使用阿里雲雲金鑰管理服務 SDKs 輕鬆管理、使用用戶主要金鑰。阿里雲金鑰管理服務提供四種語言(Java,Python, PHP和C#)的SDK。

查看 Java SDK範例程式碼

資源

阿里雲雲金鑰管理服務(KMS)是一種便於使用、安全、有效方式來管理用於保護資料的加密金鑰。以下是文件,SDK和其他資源的連結,這些資源可以說明您了解KMS的工作原理。

開發人員資源

常見問題

1. 什麼是用戶主要金鑰(CMK)?

用戶主要金鑰是用戶在阿里雲雲金鑰管理服務(KMS)中建立的主要金鑰,用於加密資料金鑰和生成信封。它也可以直接用於加密少量的資料。

2. 什麼是信封加密技術?

信封加密技術類似於數字數位信封技術,它允許您通過將加密的資料金鑰(DK)封裝在信封中,以此方式來隱藏、傳輸和使用加密金鑰,而不是直接使用用戶主要金鑰(CMK)加密/解密資料。

3. 在哪些區域可以存取KMS?

以下是KMS可用區域及其對應的公用/私人網路地址清單:

地域地域Id公共網路位址專有網路位址
華東1(杭州)cn-hangzhoukms.cn-hangzhou.aliyuncs.comkms-vpc.cn-hangzhou.aliyuncs.com
亞太東南(新加坡)ap-southeast-1kms.ap-southeast-1.aliyuncs.comkms-vpc.ap-southeast-1.aliyuncs.com
華東2(上海)cn-shanghaikms.cn-shanghai.aliyuncs.comkms-vpc.cn-shanghai.aliyuncs.com
華北2(北京)cn-beijingkms.cn-beijing.aliyuncs.comkms-vpc.cn-beijing.aliyuncs.com
華南1(深圳)cn-shenzhenkms.cn-shenzhen.aliyuncs.comkms-vpc.cn-shenzhen.aliyuncs.com
日本ap-northeast-1kms.ap-northeast-1.aliyuncs.comkms-vpc.ap-northeast-1.aliyuncs.com
法蘭克福eu-central-1kms.eu-central-1.aliyuncs.comkms-vpc.eu-central-1.aliyuncs.com
迪拜me-east-1kms.me-east-1.aliyuncs.comkms-vpc.me-east-1.aliyuncs.com
悉尼ap-southeast-2kms.ap-southeast-2.aliyuncs.comkms-vpc.ap-southeast-2.aliyuncs.com
香港cn-hongkongkms.cn-hongkong.aliyuncs.comkms-vpc.cn-hongkong.aliyuncs.com
華北3(張家口)cn-zhangjiakoukms.cn-zhangjiakou.aliyuncs.comkms-vpc.cn-zhangjilou.aliyuncs.com
華北1(青島)cn-qingdaokms.cn-qingdao.aliyuncs.comkms-vpc.cn-qingdao.aliyuncs.com
吉隆坡ap-southeast-3kms.ap-southeast-3.aliyuncs.comkms-vpc.ap-southeast-3.aliyuncs.com
華北5(呼和浩特)cn-huhehaotekms.cn-huhehaote.aliyuncs.comkms-vpc.cn-huhehaote.aliyuncs.com

4. 為何會出現KMS端點無法存取?

為了確保資料安全性,當您使用SDK存取它時,KMS僅支援HTTPS合約。

5. 解密時為何出現 Forbidden.KeyNotFound 的錯誤?

上述錯誤的出現,通常是因為您存取了錯誤的地域,試圖解密資料。各個地域的金鑰管理服務是完全硬地的,請確保您解密時存取的地域與加密時一致。

6. 如何使用KMS系統管理使用者金鑰?

基於信封加密技術和KMS的開放API,您可以使用指定的用戶主要金鑰加密和解密資料金鑰。然後,您不必將純文字直接隱藏在存放裝置中。這樣,您可以輕鬆地專註於開發工作,而不必擔心系統管理使用者的金鑰。

7. 每個區域中一個用戶可以建立多少個用戶主要金鑰?

每個用戶最多可以在每個區域中建立200個用戶主要金鑰。如果您需要建立超過200個用戶主要金鑰,您可以通過工單系統向阿里雲提交要求。

8. 什麼是加密內容?

加密內容是String-String格式的JSON字元字串,可用於KMS Encrypt、GenerateDataKey和Decrypt API,以保護資料完整性。