密鑰管理服務KMS(Key Management Service)是您的一站式密鑰管理和數據加密服務平臺,提供簡單、可靠、安全、合規的數據加密保護能力。KMS幫助您降低在密碼基礎設施和數據加解密產品上的采購、運維、研發開銷,以便您只需關注業務本身。
功能特性
KMS主要包含密鑰服務、憑據管家、證書管家和專屬KMS四種業務組件。
| 業務組件 | 說明 | 參考文檔 |
|---|---|---|
| 密鑰服務 | 密鑰服務提供密鑰的全托管和保護,支撐基于云原生接口的極簡數據加密和數字簽名。 | 密鑰服務概述 |
| 憑據管家 | 憑據管家為憑據提供托管加密、定期輪轉、安全分發、中心化管理的能力,降低傳統IT設施配置靜態憑據帶來的安全風險。 | 憑據管家概述 |
| 證書管家 | 證書管家為您提供高可用、高安全的密鑰和證書托管能力,以及簽名驗簽能力。 | 證書管家概述 |
| 專屬KMS | 專屬KMS是專屬于您的云上私有密鑰管理服務。您可以完全掌控自己的專屬KMS,例如:指定專屬KMS所部署的專有網絡VPC、配置專屬KMS使用的密碼資源池或定義應用接入RBAC(Role-Based Access Control)策略等。 | 基礎版概述、標準版概述 |
產品優勢
KMS各功能的優勢如下表所示。
| 功能 | 優勢 | 說明 | 參考文檔 |
|---|---|---|---|
| 密鑰服務 | 先進的安全合規能力 |
支持業界先進的密碼安全基礎設施,滿足您對密碼安全的等級和合規要求。 |
合規 |
| 完全托管 |
您無需投資采購密碼硬件、軟件,無需投入密碼設施的運維和研發,即可敏捷使用密碼功能,并進行功能擴展。 |
使用托管密碼機 | |
| 云原生優勢 |
基于云原生極簡設計的接口,支持廣泛的云產品集成,支持一鍵配置服務端加密數據。 |
支持服務端集成加密的云服務 | |
| 極簡應用接入 |
支持KMS SDK、加密SDK等多種方式,幫助您使用KMS加密API,快速滿足數據加密解密、數字簽名驗簽的需求。 |
||
| 中心化規模化管理 |
支持自動開通KMS服務,支持ROS、Terraform等產品,幫助您在多賬號登錄時自動化實施默認加密策略,對云服務器ECS(云盤)、對象存儲OSS、關系型數據庫RDS、大數據計算MaxCompute等產品自動開啟服務端加密。 |
通過API開通 | |
| 憑據管家 | 云原生優勢 |
原生集成支持RDS動態憑據,幫助您有效應對數據庫安全面臨的主要威脅。 |
動態RDS憑據概述 |
| 極簡應用接入 |
支持KMS SDK、憑據管家客戶端、Kubernetes插件等多種方式,幫助您使用動態憑據。 |
應用程序接入憑據管家 | |
| 中心化規模化管理 |
支持自動開通KMS服務,支持ROS、Terraform等產品,幫助您實現數據庫、OSS Bucket等云資源的運維編排和憑據安全托管的自動化管理,從而實現中心化的憑據管理。 |
通過API開通 | |
| 證書管家 | 密鑰安全存儲 | 證書管家使用托管密碼機保障證書密鑰的產生、存儲安全。 | 托管密碼機概述 |
| 生命周期管理 | 支持管理密鑰和證書,可以生成證書請求、導入證書和證書鏈、檢查證書鏈簽名有效性,并檢查證書有效性。 | ||
| API便于集成 | 支持多個API接口,幫助您在開發環境高效集成證書服務,快速進行產品部署,幫助您快速開發并上線證書相關的功能。 | 證書接口 | |
| 專屬KMS | 私有網絡接入 | 專屬KMS提供租戶獨享的服務實例,并部署到租戶的VPC內,滿足私有網絡接入需求。 | 基礎版概述、標準版概述 |
| 資源隔離和密碼學隔離 | 專屬KMS使用租戶獨享的密碼資源池(HSM集群),實現資源隔離和密碼學隔離,以獲得更高的安全性。 | 基礎版快速入門、標準版快速入門 | |
| 密鑰管理 | 降低使用HSM的復雜度,為您的HSM提供穩定、易用的上層密鑰管理途徑和密碼計算服務。 | 基礎版快速入門、標準版快速入門 | |
| 多個云服務集成 | 將您的HSM與云服務無縫集成,為云服務加密提供更高的安全性和可控制性。 | 支持服務端集成加密的云服務 |