密钥管理服务有哪些应用场景？

多集成 • 身份认证与访问控制 KMS借助于身份认证机制（AccessKey）来鉴别请求的合法性，KMS还通过与访问控制（RAM）集成，允许您配置多样化的自定义策略，满足不同的授权场景。任何请求仅由合法用户发起且满足RAM对权限的动态检测（基于属性的访问控制，简称ABAC），才能被KMS接受。详情请参见使用RAM实现访问控制。 • 审计密钥的使用 KMS通过与操作审计（ActionTrail）集成，可以查看近期KMS的使用状况，也可以将KMS使用情况存储到OSS等其他云服务中，满足更长周期的审计需求。详情请参见使用ActionTrail记录操作事件。 • 控制云产品集成加密 KMS和阿里云ECS、RDS、OSS等多个产品无缝集成。通过一方集成，您可以很容易的使用KMS主密钥加密和控制您存储在这些服务中的数据，帮助您保持对云上计算和存储环境的控制，而您只需要付出密钥的管理成本，无需实现复杂的加密能力。同时集成加密解决了其他云产品中原生数据的加密保护问题。详情请参见服务端集成加密概述和服务端集成加密的云产品。 易使用 • 轻松实现加密 KMS提供简单的密码运算API，简化和抽象了密码学概念，让您可以轻松的使用API完成数据的加解密。对于需要密钥层次结构的应用，KMS提供了方便的信封加密能力，快速实现密钥层次结构：生成一个数据密钥，并将主密钥（CMK）用作密钥加密密钥（Key Encryption Key，简称KEK）来保护数据密钥。详情请参见什么是信封加密？ • 集中的密钥托管 密钥管理服务为您提供对密钥的集中化托管与控制。 o 您可以随时创建新的用户主密钥，并通过访问控制（RAM）轻松管理谁可以访问该密钥 o 您可以通过操作审计（ActionTrail）审核密钥的使用情况。 o 您可以从线下密钥管理基础设施（KMI）或在阿里云加密服务中创建的HSM里将密钥导入到KMS。无论在KMS内创建的密钥还是外部导入的密钥，密钥中的机密信息或者敏感数据都会被阿里云上的其他云产品用于加密保护。 • 支持自带密钥（BYOK） KMS支持自带密钥（Bring Your Own Key，简称BYOK）。您可以将密钥租借给KMS用作云上数据的加密保护，从而更好的管理密钥。可租借的密钥包括以下两种： o 线下密钥管理基础设施（Key Management Infrastructure，简称KMI）里的密钥 o 在阿里云加密服务中自主管理的HSM中的密钥 说明 通过安全合规的密钥交换算法，导入到KMS的托管密码机中的密钥不会被任何机制所导出，密钥明文不会被操作者或任何第三者查看。详情请参见导入密钥材料和保持对密钥的控制。 • 自定义密钥轮转策略 KMS允许您根据所需的安全策略来自动轮转对称加密密钥。您只需要为主密钥（CMK）配置一个自定义的轮转周期，KMS会自动为您生成新的加密密钥版本。一个主密钥可以有多个密钥版本，其中每个版本可以被用来解密对应的密文数据，而最新的密钥版本（称为主版本）是活跃加密密钥，用于加密当前传入的数据。详情请参见自动轮转密钥。 高可靠、高可用、可伸缩 作为全托管的分布式服务，KMS在每个地域构建了多可用区冗余的密码计算能力，保证阿里云上各个产品和您的自定义应用向KMS发起的请求可以得到低延迟处理。您可以根据需要，在不同地域的KMS创建足够的密钥，而不必担心底层设施的扩容或缩容。 安全与合规能力 KMS经过严格的安全设计和审核，保证您的密钥在阿里云得到最严格的保护。 • KMS仅提供基于TLS的安全访问通道，并且仅使用安全的传输加密算法套件，符合PCI DSS等安全规范。 • KMS提供了监管机构许可和认证的密码设施。根据地域分布，分别提供了经国家密码管理局检测和认证的硬件密码设备，取得了FIPS 140-2第三级认证和运行在FIPS许可的第三级模式下的密码设备。详情请参见合规。 • KMS使用硬件安全模块来托管密钥，从而达到更高的安全标准，详情请参见托管密码机简介。 低成本 使用KMS，您可以按需使用和付费。 • 您无需支付采购硬件密码设备的初始成本以及对硬件系统进行运维、修补、老旧替换的持续开销。 • KMS为您节省了搭建具有可用性和可靠性密码设备集群，以及自建密钥管理设施的研发成本和维护开销。 • KMS与其他产品的集成为您节省了研发数据加密系统的开销，仅需通过管理密钥而获得可控的云上数据加密的能力。 密钥管理服务（Key Management Service，简称KMS） 阿里云提供的密钥管理服务可以提供密钥的安全托管及密码运算等服务。KMS内置密钥轮转等安全实践，支持其它云产品通过一方集成的方式对其管理的用户数据进行加密保护。借助KMS，您可以专注于数据加解密、电子签名验签等业务功能，无需花费大量成本来保障密钥的保密性、完整性和可用性。 用户主密钥（Customer Master Key，简称CMK） 用户主密钥主要用于加密保护数据密钥并产生信封，也可直接用于加密少量的数据。您可以调用KMS的API CreateKey创建一个用户主密钥。 信封加密（Envelope Encryption） 当您需要加密业务数据时，您可以调用KMS的API GenerateDataKey或GenerateDataKeyWithoutPlaintext生成一个对称密钥，同时使用指定的用户主密钥加密该对称密钥（被密封的信封保护）。在传输或存储等非安全的通信过程中，直接传递被信封保护的对称密钥。当您需要使用该对称密钥时，打开信封取出密钥即可。详情请参见什么是信封加密？ 数据密钥（Data Key，简称DK） 数据密钥为加密数据使用的明文数据密钥。 说明 您可以调用KMS的API GenerateDataKey生成一个数据密钥，同时使用指定用户主密钥加密该数据密钥，返回数据密钥的明文（DK） 和密文（EDK）。 信封数据密钥（Enveloped Data Key/Encrypted Data Key，简称EDK） 信封数据密钥为通过信封加密技术保密后的密文数据密钥。 说明 如果暂时不需要数据密钥的明文，您可以调用KMS的API GenerateDataKeyWithoutPlaintext仅返回数据密钥密文。 硬件安全模块（Hardware Security Module，简称HSM） 硬件安全模块也称为密码机，是一种执行密码运算、安全生成和存储密钥的硬件设备。KMS提供的托管密码机可以满足监管机构的检测认证要求，为用户在KMS托管的密钥提供更高的安全等级保证。详情请参见托管密码机简介。 加密上下文（Encryption Context） 加密上下文是KMS对可认证加密（Authenticated Encryption with Associated Data，简称AEAD）的封装。KMS将传入的加密上下文作为对称加密算法的额外认证数据（Additional Authenticated Data，简称AAD）进行密码运算，从而为加密数据额外提供完整性（Integrity）和可认证性（Authenticity）的支持。详情请请见EncryptionContext说明。