• 加密密钥的托管 KMS为您提供加密密钥的托管功能,KMS托管的加密密钥叫做用户主密钥(Customer Master Key,简称CMK)。您可以对CMK进行生命周期管理(启用或禁用CMK)。详情请参见用户主密钥管理接口。 • 自带密钥(BYOK) KMS支持自带密钥(Bring Your Own Key,简称BYOK)。您可以将密钥租借给KMS用作云上数据的加密保护,从而更好的管理密钥。可租借的密钥包括以下两种: o 线下密钥管理基础设施(Key Management Infrastructure,简称KMI)里的密钥 o 在阿里云加密服务中自主管理的HSM中的密钥 说明 通过安全合规的密钥交换算法,导入到KMS的托管密码机中的密钥不会被任何机制所导出,密钥明文不会被操作者或任何第三者查看。详情请参见导入密钥材料和保持对密钥的控制。 • 自动轮转加密密钥 KMS支持同一个CMK有多个密钥版本,每个版本为一个独立的密钥,各个版本互不相关。在多版本的基础上,KMS内建了加密密钥的自动轮转能力,帮助您实现安全最佳实践并满足合规审计要求。详情请参见密钥轮转概述和自动轮转密钥。 • 全托管密码机 KMS提供了全托管的密码机,您可以将密钥托管在密码机中,密码运算仅在密码机内部进行从而保证密钥的安全性。KMS的密码机满足不同地域和市场对密码安全的不同合规诉求,详情请参见托管密码机简介和使用托管密码机。 • 简单的密码运算API o KMS提供了简化的密码运算API,相比于传统密码模块或密码软件库的API更简单易用。详情请参见密码运算接口。 o KMS的加密密钥支持可认证的加密,通过传入额外认证数据(Additional Authenticated Data,简称AAD)保护数据的完整性。详情请参见EncryptionContext说明。 • 主密钥别名 KMS支持为主密钥创建别名,通过别名可以更方便的使用主密钥,详情请参见别名使用说明。例如您可以通过主密钥别名在特定场景下实现人工轮转主密钥。 • 资源标签 与阿里云提供的其他云产品一样,KMS也支持资源标签。通过资源标签您可以更方便的管理KMS中的密钥资源,详情请参见标签管理接口。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。