密钥管理服务有什么功能特性？

• 加密密钥的托管 KMS为您提供加密密钥的托管功能，KMS托管的加密密钥叫做用户主密钥（Customer Master Key，简称CMK）。您可以对CMK进行生命周期管理（启用或禁用CMK）。详情请参见用户主密钥管理接口。 • 自带密钥（BYOK） KMS支持自带密钥（Bring Your Own Key，简称BYOK）。您可以将密钥租借给KMS用作云上数据的加密保护，从而更好的管理密钥。可租借的密钥包括以下两种： o 线下密钥管理基础设施（Key Management Infrastructure，简称KMI）里的密钥 o 在阿里云加密服务中自主管理的HSM中的密钥 说明 通过安全合规的密钥交换算法，导入到KMS的托管密码机中的密钥不会被任何机制所导出，密钥明文不会被操作者或任何第三者查看。详情请参见导入密钥材料和保持对密钥的控制。 • 自动轮转加密密钥 KMS支持同一个CMK有多个密钥版本，每个版本为一个独立的密钥，各个版本互不相关。在多版本的基础上，KMS内建了加密密钥的自动轮转能力，帮助您实现安全最佳实践并满足合规审计要求。详情请参见密钥轮转概述和自动轮转密钥。 • 全托管密码机 KMS提供了全托管的密码机，您可以将密钥托管在密码机中，密码运算仅在密码机内部进行从而保证密钥的安全性。KMS的密码机满足不同地域和市场对密码安全的不同合规诉求，详情请参见托管密码机简介和使用托管密码机。 • 简单的密码运算API o KMS提供了简化的密码运算API，相比于传统密码模块或密码软件库的API更简单易用。详情请参见密码运算接口。 o KMS的加密密钥支持可认证的加密，通过传入额外认证数据（Additional Authenticated Data，简称AAD）保护数据的完整性。详情请参见EncryptionContext说明。 • 主密钥别名 KMS支持为主密钥创建别名，通过别名可以更方便的使用主密钥，详情请参见别名使用说明。例如您可以通过主密钥别名在特定场景下实现人工轮转主密钥。 • 资源标签 与阿里云提供的其他云产品一样，KMS也支持资源标签。通过资源标签您可以更方便的管理KMS中的密钥资源，详情请参见标签管理接口。