全方位的管理功能
通过丰富的功能支持对密钥的管理任务
在KMS生成密钥或者外部导入
您可以在KMS生成密钥,或者导入您的自带密钥到托管密码机中,也就是BYOK:Bring Your Own Key。通过BYOK,您线下保有额外的密钥拷贝,托管密码机保证导入的密钥无法被导出。
生命周期管理和自动化轮转
您可以禁用、启用密钥,也可以通过延迟删除的方式销毁密钥;对于自带密钥,也可以立即删除或者设置自动过期销毁。KMS支持配置自定义轮转策略,帮助您自动化加密密钥的周期性轮转,以增强密钥应用的安全性
3A:认证、授权与审计
您可以通过RAM服务管理KMS用户的认证和授权策略;通过ActionTrail服务追踪和审计密钥的使用情况,或者将使用日志输出到OSS、日志服务用于长期存储、数据分析、SIEM集成等更多的场景
完全托管的密码机
托管密码机对密钥提供了高安全等级的保护机制
密码模块检测认证与合规
根据不同监管需求,KMS在部分地域提供经中国国家密码管理局检测和认证的密码机,支持符合国家和行业标准的商用密码算法;在其他地域提供具备FIPS 140-2第三级认证的密码机,且运行在FIPS许可的第三级模式下
密钥的安全生成
通过使用托管密码机,密钥材料的产生基于安全、许可、且以高系统熵值为种子的随机数生成算法,从而保护密钥不被攻击者恢复或者预判
密钥的硬件保护
托管密码机通过安全的硬件机制来保护KMS中的密钥。密钥的明文只会在密码机的内部用于密码运算,而不会离开密码机硬件的安全边界
和阿里云产品的集成
KMS和阿里云产品广泛集成以提供原生的加密体验和进阶式安全能力
入门级“默认加密”
KMS允许每个云产品为您自动管理一个云产品专用的加密密钥,默认情况下云产品使用此密钥而用户无需关心其生命周期和授权策略
自选加密密钥
您可以在KMS自行创建密钥,或者导入外部密钥,并且授权云产品使用自选密钥进行数据加密保护,因此您可以通过密钥的权限和生命周期管理,而获得完整的控制权
审计云产品对密钥的使用
无论是使用云产品托管的密钥,还是用户托管的密钥,您都可以审计云产品代理您调用KMS接口使用密钥的情况
简化而有效的密码运算
KMS抽象了密码技术概念,提供极简的密码计算接口
信封加密技术
KMS内建了信封加密技术,您可以通过单个API调用完成二级密钥的生成和主密钥加密保护这两个动作
可认证加密
KMS封装了可认证加密技术(AEAD),您可以通过使用加密上下文来为加密的数据提供额外的完整性和可认证性保证
数字签名验签
KMS支持非对称密钥的托管和基于非对称密钥的数字签名验签算法,可用于身份认证、代码签名、区块链等广泛业务场景