导图社区 阿里云密钥管理服务
密钥管理服务KMS(Key Management Service)是您的一站式密钥管理和数据加密服务平台、一站式凭据安全管理平台,提供简单、可靠、安全、合规的数据加密保护和凭据管理能力。KMS帮助您降低在密码基础设施、数据加解密产品和凭据管理产品上的采购、运维、研发开销,以便您只需关注业务本身。
编辑于2024-01-16 17:57:58本合集包含10篇项目管理精品文章合集,包括:PMO战略管理、PMO如何管理项目经理工作、PMO如何管理危机项目、项目团队行动指南、用看板管理大型项目、项目集管理、项目进度管理、如何项目复盘、IPD流程管理、项目经理面试准备。非常具有收藏价值。
本合集包含一篇精品文章AIGC介绍和四款阿里云AI产品介绍。
本合集详细介绍了腾讯云计算产品,包括:云服务器CVM、批量计算、高性能应用服务、Batch、高性能计算平台、高性能计算集群、专用宿主机、GPU云服务器、裸金属服务器、清凉应用服务器。非常具有收藏价值。
社区模板帮助中心,点此进入>>
本合集包含10篇项目管理精品文章合集,包括:PMO战略管理、PMO如何管理项目经理工作、PMO如何管理危机项目、项目团队行动指南、用看板管理大型项目、项目集管理、项目进度管理、如何项目复盘、IPD流程管理、项目经理面试准备。非常具有收藏价值。
本合集包含一篇精品文章AIGC介绍和四款阿里云AI产品介绍。
本合集详细介绍了腾讯云计算产品,包括:云服务器CVM、批量计算、高性能应用服务、Batch、高性能计算平台、高性能计算集群、专用宿主机、GPU云服务器、裸金属服务器、清凉应用服务器。非常具有收藏价值。
阿里云密钥管理服务
产品简介
密钥管理服务KMS(Key Management Service)是您的一站式密钥管理和数据加密服务平台、一站式凭据安全管理平台,提供简单、可靠、安全、合规的数据加密保护和凭据管理能力。KMS帮助您降低在密码基础设施、数据加解密产品和凭据管理产品上的采购、运维、研发开销,以便您只需关注业务本身。
业务组件
KMS主要提供密钥管理、凭据管理两种业务组件。
业务组件 说明 参考文档 密钥管理 KMS提供密钥安全托管和使用密钥进行密码运算的能力。不仅可为您提供云产品服务端数据加密保护所需的密钥管理功能,还可为您提供在自建应用程序中使用密钥对数据进行数字签名、加密、解密等密码运算。 密钥服务概述 凭据管理 KMS提供凭据加密存储、定期轮转、安全分发、中心化管理等能力,使您的应用程序规避明文配置凭据风险,支持轮转进而有效降低凭据泄露事件危害。 凭据管理概述
功能特性
密钥管理
密钥管理可提供的功能如下表所示。
功能 说明 参考文档 丰富的密钥管理类型 提供免费的默认密钥用于云产品服务端加密,也提供付费的软件密钥、硬件密钥用于您的自建应用数据加密或云产品服务端加密,满足不同业务和安全合规场景的密钥管理需求。 密钥服务概述 先进的安全合规能力 支持集成经权威认证的硬件安全模块(Hardware Security Module,HSM),满足您对密码技术应用的高安全等级和合规要求。 硬件密钥 支持云原生加密 支持广泛的云产品集成,助您轻松使用KMS密钥和加密技术来保护云上敏感数据资产。除支持云产品服务端加密外,也支持对容器服务ACK Pro集群中的Kubernetes Secret密钥数据进行落盘加密。 支持集成KMS加密的云产品 极简应用接入 通过阿里云SDK帮助您轻松使用密钥管理功能,使用KMS实例SDK完成密码运算操作。实现对密钥进行生命周期管理、使用密钥对数据进行加密、解密、签名、验签等密码功能。 阿里云SDK KMS实例SDK 中心化规模化管理 支持ROS、Terraform等产品,帮助您自动化实施默认加密策略,实现在云服务器ECS(云盘)、对象存储OSS、关系型数据库RDS、大数据计算MaxCompute等产品默认开启服务端加密。 Terraform概述
凭据管理
功能 说明 参考文档 云原生集成 云原生集成支持您托管RAM、RDS、ECS凭据和配置轮转周期以实现凭据动态化,帮助您有效应对RAM的AK、RDS和ECS账密泄露的安全威胁。 凭据管理概述 极简应用接入 您的应用可通过凭据管家客户端、RAM凭据插件、凭据管家JDBC客户端,以极简方式接入使用凭据。 凭据管家客户端 凭据管家JDBC客户端 RAM凭据插件 中心化规模化管理 支持ROS、Terraform等产品,帮助您实现凭据的安全托管和运维编排的自动化管理。 Terraform概述
更多参考
基本概念
概念 说明 密钥服务(Key Service) 密钥服务为您提供密钥安全存储和生命周期管理、使用密钥进行数据加密和解密、数字签名和验签等密码运算服务。 关于密钥服务的更多信息,请参见密钥服务概述。 硬件安全模块HSM(Hardware Security Module) 硬件安全模块,是一种执行密码运算、安全生成和存储密钥的硬件设备。密码机是构建IT系统时最常用的一种硬件安全模块。 KMS支持集成您在阿里云加密服务的密码机集群,为您在KMS托管的密钥提供更高的安全与合规等级保证,满足监管机构的检测认证要求。 用户主密钥CMK(Customer Master Key) 用户主密钥CMK(Customer Master Key)指的是由您自主创建和托管在KMS的密钥,简称为“主密钥”。主密钥由密钥ID、基本元数据以及密钥材料组成。 服务密钥(Service Key) 由云服务代表您创建并托管于KMS,在云产品服务端加密时默认使用的密钥。 默认密钥管理(Default Key Management) 默认密钥管理是KMS提供的一种密钥管理类型。默认密钥仅可被云产品集成用于服务端加密,包含: 服务密钥:由云服务代表您创建和托管用于服务端加密的密钥。 主密钥:由您自主创建和管理密钥生命周期的主密钥,每个地域下仅能创建1个,密钥材料可由KMS生成也可由您自行导入。 对于默认密钥,KMS仅支持您使用对称密码算法AES_256。 软件密钥管理(Software Key Management) 软件密钥管理是KMS提供的一种密钥管理类型。软件密钥仅包含由您自主创建和管理密钥生命周期的主密钥,可被云产品集成用于服务端加密,也可被您的自建应用集成用于构建应用层密码技术方案。密钥材料仅支持由KMS生成暂不支持您自行导入。 对于软件密钥,KMS支持您使用多种密钥规格,包括对称密码算法和非对称密码算法。 硬件密钥管理(Hardware Key Management) 硬件密钥管理是KMS提供的一种密钥管理类型。硬件密钥仅包含由您自主创建和管理密钥生命周期的主密钥,可被云产品集成用于服务端加密,也可被您的自建应用集成用于构建应用层密码技术方案。密钥材料支持由KMS所连接的密码机(HSM)生成,也可由您自行导入。 对于硬件密钥,KMS支持您使用多种密钥规格,包括对称密码算法和非对称密码算法。 说明 KMS通过连接您在阿里云加密服务中密码机(HSM)集群,为您提供硬件密钥的管理和密码运算。因此使用硬件密钥前,您需要在阿里云加密服务购买密码机(HSM)和配置密码机集群,并在KMS中进行连接。具体操作,请参见如何配置可通过KMS硬件密钥管理实例连接的密码机集群。 密钥材料(Key Material) 密钥材料是密码运算操作的重要输入之一。建议您对非对称密码算法的私钥的密钥材料和对称密码算法的密钥材料保密,以保护基于密钥材料的密码运算操作。 默认密钥:当您创建默认密钥中的主密钥时,支持由KMS生成密钥材料(Origin属性为Aliyun_KMS),也支持由您自行导入密钥材料(Origin属性为EXTERNAL)。 软件密钥:当您创建软件密钥时,仅支持由KMS生成密钥材料(Origin属性为Aliyun_KMS),暂不支持您自行导入密钥材料。 硬件密钥:当您创建硬件密钥时,支持由KMS所连接的密码机(HSM)生成密钥材料(Origin属性为Aliyun_KMS),也支持您自行导入密钥材料(Origin属性为EXTERNAL)。 凭据(Secrets) 凭据是用于对应用程序进行身份验证的敏感信息,例如数据库账号密码、SSH Key、敏感地址、AK敏感数据等内容。 凭据管家(Secrets Manager) 凭据管家为您提供凭据的全生命周期管理和安全便捷的应用接入方式,帮助您规避在代码中硬编码凭据带来的敏感信息泄露风险。 关于凭据管家的更多信息,请参见凭据管家概述。 应用接入点(Application Access Point) 应用接入点AAP是KMS实现的一种访问控制方案,适用于应用程序访问KMS资源时进行身份认证和行为鉴权。
产品优势
多集成
身份认证与访问控制
KMS借助于身份认证机制(AccessKey)来鉴别请求的合法性,KMS还通过与访问控制(RAM)集成,允许您配置多样化的自定义策略,满足不同的授权场景。KMS仅接受由合法用户发起且满足RAM对权限的动态检测的请求。
审计密钥的使用
KMS通过与操作审计(ActionTrail)集成,可以查看近期KMS的使用状况,也可以将KMS使用情况存储到OSS等其他云服务中,满足更长周期的审计需求。
云产品集成加密
KMS和阿里云ECS、RDS、OSS等多个产品无缝集成。通过一方集成,您可以很容易的使用KMS密钥加密和控制存储在这些服务中的数据,只需要付出密钥的管理成本,无需实施复杂的加密措施。同时集成加密解决了其他云产品中原生数据的加密保护问题。
易使用
轻松实现加密
KMS提供简单的密码运算API,简化和抽象了密码学概念,让您可以轻松的使用API完成数据的加解密。
集中的密钥托管
您可以随时创建新的密钥,并通过访问控制(RAM)和应用接入点(AAP)轻松管理谁或哪些应用可以访问该密钥。
您可以通过操作审计(ActionTrail)审查对KMS资源的操作情况。
支持自带密钥(BYOK)
KMS支持自带密钥BYOK(Bring Your Own Key)。 您可以从线下的密钥管理基础设施(KMI)等外部系统设施将密钥导入到KMS,用于对云产品中数据的加密保护或自建应用系统中的密码技术使用场景。
KMS通过安全合规的密钥交换算法,保证密钥明文不会被操作者或任何第三者查看。
高可靠、高可用、可伸缩
KMS在每个地域支持多可用区冗余的密码计算能力,保证阿里云上各个产品和您的自定义应用向KMS发起的请求可以得到低延迟处理。您可以根据需要,快速地进行升配。
安全与合规能力
KMS经过严格的安全设计和审核,保证您的密钥在阿里云得到最严格的保护。
KMS仅提供基于TLS的安全访问通道,并且仅使用安全的传输加密算法套件,符合PCI DSS等安全规范。
KMS支持监管机构许可和认证的密码设施。
阿里云加密服务提供了经国家密码管理局检测和认证的硬件密码设备,取得了GM/T 0028 第二级认证。 KMS支持集成您在阿里云加密服务中管理的加密机集群进行密钥管理和密码计算。
低成本
您无需支付采购硬件密码设备的初始成本以及进行运维、修补、老旧替换的持续开销。
KMS为您节省了搭建具有可用性和可靠性密码设备集群,以及自建密钥管理设施的研发成本和维护开销。
KMS与阿里云其他产品的集成为您节省了研发数据加密系统的开销,仅需通过管理密钥而获得可控的云上数据加密的能力。
应用场景
典型场景
场景 用户角色 诉求 说明 信息系统满足安全合规要求 首席风险官(CRO) 保证信息系统的安全与合规。 作为首席风险官(CRO),我希望IT系统满足针对信息系统安全保护的要求,包括: 恰当地使用密码技术和密钥管理设施对重要数据进行加密保护,并可对密钥进行完全的访问控制和安全审计。 对数据库账号口令、服务器账号口令、SSH Key等凭据信息安全存储和管控使用,防范凭据泄漏带来的信息泄露和系统被攻击风险。 敏感数据加密保护 IT系统建设者 保证应用系统中敏感数据的安全。 作为IT系统建设者,应IT安全部门要求,应用程序需对存储或使用的敏感业务数据和运行数据进行加密保护。通过使用KMS,相比自建密钥管理和加解密设施,可极大地降低实施成本。 ISV服务集成KMS凭据管理方案 服务提供商ISV 服务需要使用用户的凭据,但是用户不希望凭据内容暴露给服务提供商人员。 ISV服务运行过程中需要使用用户的凭据信息,但用户不希望敏感的凭据信息暴露给服务提供商。ISV服务可集成KMS,将KMS作为第三方的凭据管理解决方案。
信息系统满足安全合规要求
企业或者组织在评估信息系统的安全合规要求时,可能会遇到以下两种情况:
安全规范要求使用密码技术对信息系统进行保护,并且所使用的密码技术、密钥管理设施必须满足特定的技术标准和安全规范。
安全规范并不强制要求使用密码技术,但使用密码技术会对加快满足规范的过程。例如:在打分制的规范中获得更多的得分点。
KMS提供以下方面的能力,帮助企业满足合规要求:
功能 说明 参考文档 密码合规 KMS支持连接您在阿里云加密服务的密码机实例(HSM)集群实现密钥的管理和密码计算,硬件密钥的密钥材料不会离开您的密码机实例HSM安全边界。KMS支持您通过硬件密钥实现常用密码算法的密钥管理、数据加解密和数字签名等密码计算服务。 说明 阿里云加密服务提供的密码机实例(HSM)满足GM/T 0028 第二级认证的合规性。 密钥服务概述 什么是加密服务 凭据管理 通过使用凭据管家,轻松满足对RAM AccessKey、RDS账号口令、ECS SSH密钥等凭据的安全管理要求,同时带来高效而可靠的数据泄露应急处理能力。 凭据管理概述 数据保密性 通过KMS对个人隐私进行加密保护,防止个人隐私在攻击场景下泄露,满足数据保护相关法律法规要求。 密钥服务概述 身份认证和访问控制 KMS通过接入访问控制(RAM),实现统一的认证和授权管理。KMS实例仅提供VPC地址,同时通过应用接入点(AAP)为您提供便捷的应用级别认证和授权管理。 使用RAM实现对资源的访问控制 审计密钥的使用 KMS将所有的API调用记录存储到操作审计(ActionTrail),操作审计可以对密钥的使用情况进行合规性审计。 KMS实例支持您开启安全审计,将实例服务网关的所有API调用记录存储到您指定的OSS存储空间。 使用操作审计查询密钥管理服务的操作事件
敏感数据加密保护
您可以通过数据加密技术,保护云上产生或存储的敏感数据。阿里云支持您通过多种方式实现对敏感数据的加密保护。
加密保护方式 诉求 说明 参考文档 应用系统使用KMS对数据直接加密 通过加密技术保护应用系统中敏感数据的安全。这些敏感数据加解密QPS不高且数据大小不超过6K。 例如对您的应用配置AK、数据库账密等敏感信息加密。 调用KMS的加密API,使用密钥直接加密敏感数据。 使用KMS主密钥在线加密和解密数据 应用系统使用KMS对数据进行信封加密 通过加密技术保护应用系统中敏感数据的安全。这些敏感数据需要高QPS加解密或者加密数据量过大无法使用直接加密方式。 例如对您的用户的手机号、身份证号等敏感信息加密。 使用信封加密技术将密钥存放在KMS中,只部署加密后的数据密钥。仅在需要使用数据密钥时,使用KMS获取数据密钥的明文,用于本地加解密业务数据。 您也可以使用封装了信封加密的加密SDK进行加密保护。 使用KMS信封加密在本地加密和解密数据 加密SDK概述 云产品服务端加密 为云上的IT设施数据安全的环境提供基础保障。 例如:通过对象存储服务端加密,保护存储敏感数据的OSS桶或通过数据库透明数据加密(TDE),保护存储敏感数据的表。 如果您使用阿里云产品来保存数据,您可以使用云产品的服务端加密功能,更有效地对数据进行加密保护。 支持服务端集成加密的云服务 使用凭据管家 为您提供凭据的全生命周期管理和安全便捷的应用接入方式,帮助您规避在代码中硬编码凭据带来的敏感信息泄露风险。 例如:您可以将口令、Token、SSH Key、AK等敏感数据托管到凭据管家,通过安全的接入方式进行管理。 将您的敏感信息访问凭据托管到凭据管家,通过应用级别安全访问机制确保敏感信息访问安全。您也可以动态轮转凭据,避免数据泄露风险。 凭据管理概述
ISV服务集成KMS凭据管理方案
用户可在KMS中管理凭据,并授权ISV服务使用凭据,KMS充当了ISV服务和用户中间的第三方安全保护机制,使用户和ISV服务可以各司其职,共同保证系统的安全性。
用户角色 说明 参考文档 用户的管理员 在KMS中管理凭据。在访问控制(RAM)中管理凭据使用的权限,通过跨阿里云账号的资源授权等方式,允许ISV服务使用KMS中的指定凭据。 跨阿里云账号的资源授权 ISV服务 ISV服务通过集成KMS的API使用用户指定的凭据。 API概览 用户的审计员 通过操作审计(ActionTrail),对ISV服务每次访问KMS使用密钥的行为进行事后审计。 使用操作审计查询密钥管理服务的操作事件
性能数据
概述
KMS提供了两种API,KMS API和KMS实例API。需要注意的是,KMS API请求配额是针对每个阿里云账号进行限制,KMS实例API性能数据是针对每个KMS实例进行限制。
KMS API
KMS对每秒请求的API操作数量设置了配额,超过API请求配额后,KMS会限制请求(即拒绝本来有效的请求)并返回类似如下示例的错误响应。针对此类可通过重试解决的错误响应,您可以在应用中引入请求的退避和重试策略。
下表列出了每个阿里云账号在单个地域中的KMS请求配额。
操作类型 涉及的API 配额 密钥管理操作 查询密钥、别名、标签等资源的元数据、属性或状态。列表中的API接口共享这一组配额。 GetParametersForImport DescribeKey ListKeys DescribeKeyVersion ListKeyVersions GetPublicKey ListAliases ListAliasesByKeyId ListResourceTags ListTagResources DescribeRegions 50次/秒 创建密钥。 CreateKey 10次/秒 创建别名,修改密钥、别名、标签等操作。列表中的API接口共享这一组配额。 ImportKeyMaterial EnableKey DisableKey SetDeletionProtection ScheduleKeyDeletion CancelKeyDeletion DeleteKeyMaterial UpdateKeyDescription UpdateRotationPolicy CreateAlias UpdateAlias DeleteAlias TagResource UntagResource TagResources UntagResources 30次/秒 密码运算操作 使用对称密钥进行生成数据密钥、加密、解密等操作。列表中的API接口共享这一组配额。 说明 仅支持在云产品服务端加密时使用这组接口。更多信息,请参见云产品集成KMS加密概述。 Encrypt GenerateDataKey GenerateDataKeyWithoutPlaintext ExportDataKey GenerateAndExportDataKey Decrypt 750次/秒 使用非对称密钥进行加密解密、签名验签操作。列表中的API接口共享这一组配额。 说明 仅支持在云产品服务端加密时使用这组接口。更多信息,请参见云产品集成KMS加密概述。 AsymmetricSign AsymmetricVerify AsymmetricDecrypt AsymmetricEncrypt 200次/秒 凭据相关操作 创建或删除凭据。列表中的API接口共享这一组配额。 CreateSecret DeleteSecret 10次/秒 查询凭据信息及获取凭据值。列表中的API接口共享这一组配额。 DescribeSecret GetSecretValue 450次/秒 查询凭据列表、凭据元数据信息等低频读写操作。列表中的API接口共享这一组配额。 ListSecrets ListSecretVersionIds PutSecretValue UpdateSecret UpdateSecretVersionStage GetRandomPassword UpdateSecretRotationPolicy RestoreSecret 40次/秒 凭据轮转。 RotateSecret 50次/小时 其他操作 开通密钥管理服务、查询密钥管理服务状态。列表中的API接口共享这一组配额。 OpenKmsService DescribeAccountKmsStatus 1次/秒
KMS实例API
软件密钥管理实例
操作类型 API接口 计算性能为1000(次/秒) 计算性能为2000(次/秒) 计算性能为4000(次/秒) 计算性能为10000(次/秒) 计算性能为20000(次/秒) 处理对称算法 使用对称密钥对数据进行加密解密、生成数据密钥等操作。列表中的API接口共享这一组配额。 AdvanceEncrypt AdvanceDecrypt AdvanceGenerateDataKey Encrypt Decrypt GenerateDataKey 1000 2000 4000 10000 20000 处理非对称算法 使用非对称密钥对数据进行加密解密、生成数据密钥等操作。列表中的API接口共享这一组配额。 Encrypt Decrypt Sign Verify 200 300 500 1300 2500 获取公钥 获取指定非对称密钥的公钥。 GetPublicKey 1000 2000 4000 10000 20000 使用凭据 获取凭据值。 GetSecretValue 500 1000 2000 4000 4000 生成随机数 生成一个随机数。 GenerateRandom 1000 2000 4000 10000 20000
硬件密钥管理实例
下表列出KMS硬件密钥管理实例各使用场景下的性能数据参考值。
操作类型 API接口 计算性能为2000(次/秒) 计算性能为4000(次/秒) 计算性能为6000(次/秒) 处理对称算法 使用对称密钥对数据进行加密解密、生成数据密钥等操作。列表中的API接口共享这一组配额。 AdvanceEncrypt AdvanceDecrypt AdvanceGenerateDataKey Encrypt Decrypt GenerateDataKey 2000 4000 6000 处理非对称算法 使用非对称密钥对数据进行加密解密、生成数据密钥等操作。列表中的API接口共享这一组配额。 Encrypt Decrypt Sign Verify 300 500 700 获取公钥 获取指定非对称密钥的公钥。 GetPublicKey 2000 4000 6000 使用凭据 获取凭据值。 GetSecretValue 1000 2000 3000 生成随机数 生成一个随机数。 GenerateRandom 2000 4000 6000