开发者社区> 问答> 正文

密钥管理服务有什么功能特性?

密钥管理服务有什么功能特性?

展开
收起
Puppet 2020-03-26 07:45:52 945 0
1 条回答
写回答
取消 提交回答
  • • 加密密钥的托管 KMS为您提供加密密钥的托管功能,KMS托管的加密密钥叫做用户主密钥(Customer Master Key,简称CMK)。您可以对CMK进行生命周期管理(启用或禁用CMK)。详情请参见用户主密钥管理接口。 • 自带密钥(BYOK) KMS支持自带密钥(Bring Your Own Key,简称BYOK)。您可以将密钥租借给KMS用作云上数据的加密保护,从而更好的管理密钥。可租借的密钥包括以下两种: o 线下密钥管理基础设施(Key Management Infrastructure,简称KMI)里的密钥 o 在阿里云加密服务中自主管理的HSM中的密钥 说明 通过安全合规的密钥交换算法,导入到KMS的托管密码机中的密钥不会被任何机制所导出,密钥明文不会被操作者或任何第三者查看。详情请参见导入密钥材料和保持对密钥的控制。 • 自动轮转加密密钥 KMS支持同一个CMK有多个密钥版本,每个版本为一个独立的密钥,各个版本互不相关。在多版本的基础上,KMS内建了加密密钥的自动轮转能力,帮助您实现安全最佳实践并满足合规审计要求。详情请参见密钥轮转概述和自动轮转密钥。 • 全托管密码机 KMS提供了全托管的密码机,您可以将密钥托管在密码机中,密码运算仅在密码机内部进行从而保证密钥的安全性。KMS的密码机满足不同地域和市场对密码安全的不同合规诉求,详情请参见托管密码机简介和使用托管密码机。 • 简单的密码运算API o KMS提供了简化的密码运算API,相比于传统密码模块或密码软件库的API更简单易用。详情请参见密码运算接口。 o KMS的加密密钥支持可认证的加密,通过传入额外认证数据(Additional Authenticated Data,简称AAD)保护数据的完整性。详情请参见EncryptionContext说明。 • 主密钥别名 KMS支持为主密钥创建别名,通过别名可以更方便的使用主密钥,详情请参见别名使用说明。例如您可以通过主密钥别名在特定场景下实现人工轮转主密钥。 • 资源标签 与阿里云提供的其他云产品一样,KMS也支持资源标签。通过资源标签您可以更方便的管理KMS中的密钥资源,详情请参见标签管理接口。

    2020-03-26 07:46:03
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
基于可信计算与加密计算 打造云上原生计算安全 立即下载
重保场景及API安全指南 立即下载
多变环境下的企业安全合规与审计机制 立即下载