密钥管理服务

密钥管理服务KMS(Key Management Service)提供密钥安全托管及密码运算等服务。借助KMS,您可以安全、便捷的使用密钥,专注于开发加解密等功能场景。

密钥轮转概述

密钥常用于保护特定的数据,因此,数据的安全依赖于密钥安全。您可以通过密钥版本化和定期轮转来加强密钥使用的安全性,实现数据保护的安全策略和最佳实践。实现安全目标 您可以通过周期性轮转密钥,达成以下安全目标:减少每个密钥加密...

产品优势

可租借的密钥包括以下两种:线下密钥管理基础设施(Key Management Infrastructure,简称KMI)里的密钥 阿里云加密服务中自主管理的HSM中的密钥 说明 通过安全合规的密钥交换算法,导入到KMS的托管密码机中的密钥不会被任何机制所导出,...

基本概念

信封数据密钥EDK(Enveloped Data Key/Encrypted Data Key)信封数据密钥是通过信封加密技术保密后的密文数据密钥。如果暂时不需要数据密钥的明文,您可以调用 GenerateDataKeyWithoutPlaintext仅返回数据密钥密文。硬件安全模块HSM...

创建密钥

您可以使用密钥管理服务KMS(Key Management Service)轻松地创建密钥,使用密钥加密自己的数据。操作步骤 登录密钥管理服务控制台。页面左上角的地域下拉列表,选择密钥所在的地域。左侧导航栏,单击用户主密钥。单击创建密钥弹出...

创建密钥

您可以使用密钥管理服务KMS(Key Management Service)轻松地创建密钥,使用密钥加密自己的数据。操作步骤 登录密钥管理服务控制台。页面左上角的地域下拉列表,选择密钥所在的地域。左侧导航栏,单击用户主密钥。单击创建密钥弹出...

密钥服务概述

托管和保护密钥 功能 说明 参考文档 托管和管理密钥KMS托管的密钥叫做用户主密钥CMK(Customer Master Key)。您可以对CMK进行生命周期管理。创建密钥 禁用密钥 计划删除密钥 您可以对密钥进行轮转。密钥轮转概述 自动轮转密钥 您可以...

对称加密概述

使用KMS信封加密本地加密或解密数据 轮转对称加密密钥 KMS生成的对称主密钥支持多个密钥版本,同时支持用户主密钥基于密钥版本进行自动轮转,您可以自定义密钥轮转的策略。CMK包含多个版本时,KMS的加密动作(例如:Encrypt、...

管理密钥

当您为专属KMS实例创建密钥后,可以根据实际需求禁用密钥、开启删除保护或计划删除密钥。禁用密钥 密钥创建完成后,默认为启用状态。您可以禁用密钥,被禁用的密钥无法用于加密解密、签名验签。登录密钥管理服务控制台。页面左上角的地域...

API概览

密钥服务接口 用户主密钥管理密钥管理接口用于密钥的创建、属性修改以及生命周期管理。API 描述 CreateKey 创建用户主密钥。用户可以选择由KMS生成密钥材料,也可以选择自己上传密钥材料(即是BYOK,此时CreateKey是BYOK的第一步)。...

服务端集成加密概述

云产品和KMS服务端的集成为您带来了如下收益:增加云上数据的安全和隐私 通过使用您KMS中管理的密钥,云产品可以加密任何归属于您的数据。这些数据既可以是您可以直接访问的数据,也可以是您无法直接访问的云产品内部数据(例如数据库...

什么是信封加密

为什么使用信封加密 用户使用数据密钥时,可能存在以下问题:安全性隐患:通过网络将敏感信息从客户手中传递到阿里云服务的过程中会存在诸多风险,例如:窃听、钓鱼。无法互相信任和提供可信证明:用户不一定信任阿里云服务,愿意上传...

删除密钥材料

当您导入密钥材料后,可以直接删除密钥材料,此时密钥将无法继续使用,由该密钥加密的密文也无法被解密。本文为您介绍如何删除密钥材料。前提条件 请确保您已经导入密钥材料。具体操作,请参见导入密钥材料。背景信息 当您导入密钥材料后,...

自动轮转密钥

本文为您介绍如何对密钥管理服务(KMS)中的用户主密钥(CMK)进行自动轮转。密钥版本 KMS中的CMK支持多个密钥版本。每一个密钥版本是一个独立生成的密钥,同一个CMK下的多个密钥版本密码学上互不相关。KMS通过生成一个新的密钥版本来...

入门概述

创建密钥 使用密钥 使用密钥加密云服务,保护云上数据安全。使用KMS加密云服务 数据加密代码开发示例 管理和使用凭据 创建凭据 在密钥管理服务中创建凭据。创建凭据 使用凭据 使用凭据存储受保护数据,避免敏感信息泄露。凭据管家代码开发...

使用托管密码机

创建密钥对话框,设置KeyStore、密钥类型、密钥用途、别名、保护级别、描述、轮转周期和高级选项。说明 请将保护级别设置为Hsm。关于参数的更多信息,请参见创建密钥。单击确定。创建完成后,您可以在密钥列表的保护级别列查看密钥保护...

计费说明

0.0 用户 软件密钥②的密钥版本 0.014 基础硬件密钥③的密钥版本 0.237 高级硬件密钥④的密钥版本 版本数小于等于2000的部分:0.593 版本数大于2000的部分:0.237 ①由云产品为用户自动创建的,托管用户主账号下的用户主密钥。...

计划删除密钥

用户主密钥(CMK)一旦删除,将无法恢复,使用该CMK加密的内容及产生的数据密钥也将无法解密。因此,对于CMK的删除,KMS只提供申请删除的方式,而不提供直接删除的方式。如果需要删除CMK,推荐您使用禁用密钥功能。前提条件 请确保CMK已经...

导入密钥材料

当您创建密钥材料来源为外部的密钥时,KMS不会为您创建的用户主密钥(CMK)生成密钥材料,此时您可以将自己的密钥材料导入到CMK中。本文为您介绍如何导入外部密钥材料。背景信息 用户主密钥(CMK)是KMS的基本资源,由密钥ID、基本元数据...

应用场景

通过允许用户KMS中管理密钥,并授权ISV服务使用这些密钥,KMS充当了ISV服务和用户中间的第三方安全保护机制,用户和ISV服务可以各司其职,共同保证系统的安全性。用户角色 说明 参考文档 用户的管理员 KMS中生成密钥并管理密钥的生命...

导入密钥和证书

当您需要将其他证书应用系统的密钥迁移并托管至证书管家时,需要先从其他证书应用系统导出PFX/PKCS12格式的密钥文件,...如果您需要使用更高安全级别的密钥安全等级,请创建证书时将私钥可否导出设置为否。具体操作,请参见创建并下载证书。

别名概述

当一个别名与某一个用户主密钥相关联时,以下API接口中,可以将访问参数中的密钥ID用别名代替:DescribeKey Encrypt GenerateDataKey GenerateDataKeyWithoutPlaintext 说明 当RAM用户使用别名代替密钥ID进行上述操作时,RAM用户必须拥有...

禁用密钥

密钥创建完成后,默认为启用状态。您可以禁用密钥,被禁用的密钥无法用于加密和解密。操作步骤 登录密钥管理服务控制台。页面左上角的地域下拉列表,选择密钥所在的地域。左侧导航栏,单击用户主密钥。找到待禁用的密钥,单击右侧操作...

CreateKey

各种密钥类型支持的操作如下表所示:密钥类型 KeySpec 说明 加密解密 签名验签 对称密钥 Aliyun_AES_256 AES密钥,长度为256比特 支持 不支持 对称密钥 Aliyun_SM4 SM4密钥 支持 不支持 非对称密钥 RSA_2048 RSA密钥,模长为2048比特 支持 ...

非对称密钥概述

非对称密钥由一对公钥和私钥组成,他们密码学上互相关联,其中的公钥可以被分发给任何人,而私钥必须被安全的保护起来,只有受信任者可以使用。阿里云支持主流的非对称密钥算法并且提供足够的安全强度,保证数据加密和数字签名的安全性。...

开启删除保护

当您为密钥开启删除保护后,将无法通过控制台或API删除该密钥,从而避免误删除密钥。本文为您介绍如何开启删除保护。前提条件 请确保您已经创建了密钥,且密钥不处于待删除状态。具体操作,请参见创建密钥。操作步骤 登录密钥管理服务控制...

人工轮转主密钥

如果您使用的密钥类型不支持基于密钥版本的自动轮转,您可以基于使用场景,直接轮转使用的用户主密钥(CMK),通过人工的方式实现密钥轮转。由于这种方式建立CMK之上,对于支持和不支持自动轮转的CMK而言,都可以作为特殊场景下的替代...

托管密码机概述

通过将密钥托管这些高安全等级的硬件设备中,可以保护您阿里云上最敏感的计算任务和资产。说明 硬件密码机也叫硬件安全模块(Hardware Security Module,简称HSM)。支持的地域 您可以下列地域使用托管密码机,同时阿里云计划更多...

使用KMS加密云服务

密钥管理服务KMS(Key Management Service)已集成云服务器ECS、对象存储OSS、容器服务Kubernetes版ACK、云数据库RDS等云服务,您可以使用KMS加密这些云服务,保护云上数据安全。加密云服务器ECS 您可以使用KMS加密ECS的资源,例如:ECS...

GenerateDataKey

调用GenerateDataKey接口生成一个随机的数据密钥,用于本地数据加密。API随机生成的数据密钥通过您指定的主密钥(CMK)加密后,返回数据密钥的密文和明文。您可以使用返回的数据密钥明文,KMS之外对数据进行本地离线加密。存储加密后的...

创建别名

别名是用户主密钥(CMK)的可选标识符。您可以为密钥创建别名,方便您管理密钥。背景信息 别名必须拥有前缀alias/。除前缀以外,长度为1~255个字符,支持英文字母、数字、下划线(_)、短划线(-)以及正斜线(/)。当RAM用户创建别名时,...

使用RAM实现对资源的访问控制

密钥服务接口 KMS接口 Action 资源类型 ListKeys kms:ListKeys 抽象密钥容器 CreateKey kms:CreateKey 抽象密钥容器 DescribeKey kms:DescribeKey 密钥 UpdateKeyDescription kms:UpdateKeyDescription 密钥 EnableKey kms:EnableKey 密钥 ...

ScheduleKeyDeletion

在密钥预删除期间,密钥状态处于待删除状态,无法用于加密、解密、产生数据密钥操作。主密钥一旦删除,将无法恢复,使用该主密钥加密的内容及产生的数据密钥也将无法解密。因此,对于主密钥的删除,KMS只提供申请删除的方式,而不提供直接...

DeleteKeyMaterial

调用DeleteKeyMaterial接口删除已导入的密钥材料。此操作不会删除密钥材料对应的主密钥(CMK)。如果主密钥处于待删除状态,删除密钥材料不会改变密钥状态和预计删除时间;如果主密钥不处于待删除状态,删除密钥材料会使得密钥状态变更为...

ImportKeyMaterial

导入密钥材料之前,需要调用GetParametersForImport先获得导入密钥材料需要的参数,即用于加密密钥材料的公钥(PublicKey)和导入令牌(ImportToken)。说明 对密钥类型为Aliyun_AES_256的CMK,密钥材料必须为256位;对密钥类型为Aliyun_...

GenerateDataKeyWithoutPlaintext

而数据平面的模块,产生和消费数据的时候,首先获取分区的数据密钥密文,解开之后使用数据密钥的明文对数据执行加密或者解密操作,随后清除内存中的数据密钥明文。这样的系统中,密钥分发者不需要获取到数据密钥的明文,只需要使用...

支持服务端集成加密的云服务

代码加密过程中,每个代码库都有对应的数据密钥(DK),并通过信封加密机制对代码数据进行加密,获得用户密钥授权的前提下:当用户使用Git客户端或页面提交Git数据时,Codeup对收到的代码数据执行加密,并持久化存储加密后的数据。...

专属KMS概述

专属KMS是专属于您的云上私有密钥管理服务。您可以完全掌控自己的专属KMS,例如:指定专属KMS所部署的专有网络VPC、配置专属KMS使用的密码资源池或定义应用接入RBAC(Role-Based Access Control)策略等。应用场景 自建应用集成 自建应用...

开通密钥管理服务

在密钥管理服务开通页,勾选密钥管理服务协议。单击立即开通。服务开通后会按照实际使用量进行收费,详情请参见计费说明。通过API开通 您可以调用OpenKmsService接口开通密钥管理服务。说明 您可以调用DescribeAccountKmsStatus接口查询...

计费常见问题

本文为您介绍密钥管理服务KMS(Key Management Service)计费的常见问题。如何停止KMS计费?只要您的阿里云账号下不再保留密钥资源,就不会再产生费用。您可以登录密钥管理服务控制台,删除各个地域已创建的密钥资源。具体操作,请参见计划...
< 1 2 3 4 ... 200 >
跳转至: GO
产品推荐
云服务器 物联网无线连接服务 商标 轻量应用服务器 SSL证书 对象存储 块存储
这些文档可能帮助您
提升登录口令安全最佳实践 连接专有网络 什么是VPN网关 IPsec-VPN入门概述 绑定ECS实例 本地IDC通过专线访问云服务器ECS

新品推荐

你可能感兴趣

热门推荐

新人福利专场 阿里云试用中心 企业支持计划 飞天会员助力企业低成本上云 智能财税30天免费试用 云解析DNS新用户首购低至36元/年起 ECS限时升级特惠6.5折