业务组件 说明 参考文档 密钥管理 KMS提供密钥安全托管和使用密钥进行密码运算的能力。不仅可为您提供云产品服务端数据加密保护所需的密钥管理功能，还可为您提供在自建应用程序中使用密钥对数据进行数字签名、加密、解密等密码运算。 密钥服务概述 凭据管理 KMS提供凭据加密存储、定期轮转、安全分发、中心化管理等能力，使您的应用程序规避明文配置凭据风险，支持轮转进而有效降低凭据泄露事件危害。 凭据管理概述

密钥管理可提供的功能如下表所示。

功能 说明 参考文档 云原生集成 云原生集成支持您托管RAM、RDS、ECS凭据和配置轮转周期以实现凭据动态化，帮助您有效应对RAM的AK、RDS和ECS账密泄露的安全威胁。 凭据管理概述 极简应用接入 您的应用可通过凭据管家客户端、RAM凭据插件、凭据管家JDBC客户端，以极简方式接入使用凭据。 凭据管家客户端 凭据管家JDBC客户端 RAM凭据插件 中心化规模化管理 支持ROS、Terraform等产品，帮助您实现凭据的安全托管和运维编排的自动化管理。 Terraform概述

KMS借助于身份认证机制（AccessKey）来鉴别请求的合法性，KMS还通过与访问控制（RAM）集成，允许您配置多样化的自定义策略，满足不同的授权场景。KMS仅接受由合法用户发起且满足RAM对权限的动态检测的请求。

KMS通过与操作审计（ActionTrail）集成，可以查看近期KMS的使用状况，也可以将KMS使用情况存储到OSS等其他云服务中，满足更长周期的审计需求。

KMS和阿里云ECS、RDS、OSS等多个产品无缝集成。通过一方集成，您可以很容易的使用KMS密钥加密和控制存储在这些服务中的数据，只需要付出密钥的管理成本，无需实施复杂的加密措施。同时集成加密解决了其他云产品中原生数据的加密保护问题。

KMS提供简单的密码运算API，简化和抽象了密码学概念，让您可以轻松的使用API完成数据的加解密。

您可以随时创建新的密钥，并通过访问控制（RAM）和应用接入点（AAP）轻松管理谁或哪些应用可以访问该密钥。

您可以通过操作审计（ActionTrail）审查对KMS资源的操作情况。

KMS支持自带密钥BYOK（Bring Your Own Key）。 您可以从线下的密钥管理基础设施（KMI）等外部系统设施将密钥导入到KMS，用于对云产品中数据的加密保护或自建应用系统中的密码技术使用场景。

KMS通过安全合规的密钥交换算法，保证密钥明文不会被操作者或任何第三者查看。

安全规范要求使用密码技术对信息系统进行保护，并且所使用的密码技术、密钥管理设施必须满足特定的技术标准和安全规范。

安全规范并不强制要求使用密码技术，但使用密码技术会对加快满足规范的过程。例如：在打分制的规范中获得更多的得分点。

功能 说明 参考文档 密码合规 KMS支持连接您在阿里云加密服务的密码机实例（HSM）集群实现密钥的管理和密码计算，硬件密钥的密钥材料不会离开您的密码机实例HSM安全边界。KMS支持您通过硬件密钥实现常用密码算法的密钥管理、数据加解密和数字签名等密码计算服务。 说明 阿里云加密服务提供的密码机实例（HSM）满足GM/T 0028 第二级认证的合规性。 密钥服务概述 什么是加密服务 凭据管理 通过使用凭据管家，轻松满足对RAM AccessKey、RDS账号口令、ECS SSH密钥等凭据的安全管理要求，同时带来高效而可靠的数据泄露应急处理能力。 凭据管理概述 数据保密性 通过KMS对个人隐私进行加密保护，防止个人隐私在攻击场景下泄露，满足数据保护相关法律法规要求。 密钥服务概述 身份认证和访问控制 KMS通过接入访问控制（RAM），实现统一的认证和授权管理。KMS实例仅提供VPC地址，同时通过应用接入点（AAP）为您提供便捷的应用级别认证和授权管理。 使用RAM实现对资源的访问控制 审计密钥的使用 KMS将所有的API调用记录存储到操作审计（ActionTrail），操作审计可以对密钥的使用情况进行合规性审计。 KMS实例支持您开启安全审计，将实例服务网关的所有API调用记录存储到您指定的OSS存储空间。 使用操作审计查询密钥管理服务的操作事件

操作类型 涉及的API 配额 密钥管理操作 查询密钥、别名、标签等资源的元数据、属性或状态。列表中的API接口共享这一组配额。 GetParametersForImport DescribeKey ListKeys DescribeKeyVersion ListKeyVersions GetPublicKey ListAliases ListAliasesByKeyId ListResourceTags ListTagResources DescribeRegions 50次/秒 创建密钥。 CreateKey 10次/秒 创建别名，修改密钥、别名、标签等操作。列表中的API接口共享这一组配额。 ImportKeyMaterial EnableKey DisableKey SetDeletionProtection ScheduleKeyDeletion CancelKeyDeletion DeleteKeyMaterial UpdateKeyDescription UpdateRotationPolicy CreateAlias UpdateAlias DeleteAlias TagResource UntagResource TagResources UntagResources 30次/秒 密码运算操作 使用对称密钥进行生成数据密钥、加密、解密等操作。列表中的API接口共享这一组配额。 说明 仅支持在云产品服务端加密时使用这组接口。更多信息，请参见云产品集成KMS加密概述。 Encrypt GenerateDataKey GenerateDataKeyWithoutPlaintext ExportDataKey GenerateAndExportDataKey Decrypt 750次/秒 使用非对称密钥进行加密解密、签名验签操作。列表中的API接口共享这一组配额。 说明 仅支持在云产品服务端加密时使用这组接口。更多信息，请参见云产品集成KMS加密概述。 AsymmetricSign AsymmetricVerify AsymmetricDecrypt AsymmetricEncrypt 200次/秒 凭据相关操作 创建或删除凭据。列表中的API接口共享这一组配额。 CreateSecret DeleteSecret 10次/秒 查询凭据信息及获取凭据值。列表中的API接口共享这一组配额。 DescribeSecret GetSecretValue 450次/秒 查询凭据列表、凭据元数据信息等低频读写操作。列表中的API接口共享这一组配额。 ListSecrets ListSecretVersionIds PutSecretValue UpdateSecret UpdateSecretVersionStage GetRandomPassword UpdateSecretRotationPolicy RestoreSecret 40次/秒 凭据轮转。 RotateSecret 50次/小时 其他操作 开通密钥管理服务、查询密钥管理服务状态。列表中的API接口共享这一组配额。 OpenKmsService DescribeAccountKmsStatus 1次/秒

操作类型 API接口 计算性能为1000（次/秒） 计算性能为2000（次/秒） 计算性能为4000（次/秒） 计算性能为10000（次/秒） 计算性能为20000（次/秒） 处理对称算法 使用对称密钥对数据进行加密解密、生成数据密钥等操作。列表中的API接口共享这一组配额。 AdvanceEncrypt AdvanceDecrypt AdvanceGenerateDataKey Encrypt Decrypt GenerateDataKey 1000 2000 4000 10000 20000 处理非对称算法 使用非对称密钥对数据进行加密解密、生成数据密钥等操作。列表中的API接口共享这一组配额。 Encrypt Decrypt Sign Verify 200 300 500 1300 2500 获取公钥 获取指定非对称密钥的公钥。 GetPublicKey 1000 2000 4000 10000 20000 使用凭据 获取凭据值。 GetSecretValue 500 1000 2000 4000 4000 生成随机数 生成一个随机数。 GenerateRandom 1000 2000 4000 10000 20000

下表列出KMS硬件密钥管理实例各使用场景下的性能数据参考值。

操作类型 API接口 计算性能为2000（次/秒） 计算性能为4000（次/秒） 计算性能为6000（次/秒） 处理对称算法 使用对称密钥对数据进行加密解密、生成数据密钥等操作。列表中的API接口共享这一组配额。 AdvanceEncrypt AdvanceDecrypt AdvanceGenerateDataKey Encrypt Decrypt GenerateDataKey 2000 4000 6000 处理非对称算法 使用非对称密钥对数据进行加密解密、生成数据密钥等操作。列表中的API接口共享这一组配额。 Encrypt Decrypt Sign Verify 300 500 700 获取公钥 获取指定非对称密钥的公钥。 GetPublicKey 2000 4000 6000 使用凭据 获取凭据值。 GetSecretValue 1000 2000 3000 生成随机数 生成一个随机数。 GenerateRandom 2000 4000 6000