密钥管理系统 KMS

安全、易用的密钥管理服务,轻松创建和管理加密数据的密钥

立即体验

密钥管理系统简介

密钥管理系统(Key Management Service,KMS)是一款安全管理类服务,可以让您轻松创建和管理密钥,保护密钥的保密性、完整性和可用性,满足用户多应用多业务的密钥管理需求,符合监管和合规要求。 

安全合规

基于经过第三方认证的硬件安全模块(HSM)来生成和保护密钥。

完全托管

您可以依托云平台密钥管理系统轻松的创建、保护以及执行您的各项密钥管理策略。

集成云服务

与云平台对象存储、分布式数据库、云硬盘等服务无缝集成,您可以通过密钥管理系统对其进行密钥管理。

稳定可靠

多机房分布式集群化的业务部署和冷热备份,确保密钥管理系统的高可用性。

产品简介

密钥管理服务产品文档

文档

产品特性

安全合规

密钥管理系统基于经过第三方认证的硬件安全模块(HSM)来生成和保护密钥,使用安全数据传输协议,保护分布式集群化的业务部署和热备份,安全和质量控制已通过多种合规性计划认证。 

丰富功能

密钥管理系统支持对称加密以及非对称加密算法,为您提供了丰富的管理功能,包括密钥创建、启用、禁用、归档、轮换、导入等密钥的全生命周期管理功能。 

无缝集成云服务

密钥管理系统与对象存储、分布式数据库、云硬盘等多款云产品无缝集成,您可以轻松地实现对这些服务内的密钥集中管理。 

管理简单

图形化的操作控制台,与访问管理、云审计集成,以便您轻松创建密钥访问权限控制,并记录密钥管理操作和密钥使用情况。 

成本低廉

您无须购买专门的硬件加密设备,我们将提供所有后端服务维护,一键部署,按量付费,您只需要专注您的业务开发。 

支持外部密钥导入

允许使用您自有的密钥材料进行敏感数据加解密服务,即 BYOK(Bring Your Own Key)方案。 

稳定容灾

采用多机房分布式集群化的业务部署和热备份,底层 HSM 设备采用双机房冷备份部署,确保密钥管理系统的高可用性。 

国密 Encryption SDK

密钥管理系统旗舰版提供了通过商用密码产品认证的国密 Encryption SDK,用户只需设置相关参数,调用加解密接口,便可实现本地、高效、稳定的数据加解密。 

应用场景

敏感数据加密
  • 技术应用:敏感信息加密是密钥管理系统核心的能力,实际应用中主要用来保护服务器硬盘上敏感数据的安全(小于4KB),如密钥、证书、配置文件等。
  • 场景举例:密钥、证书、后台配置文件。
  • 面临挑战:机密信息泄露、加密通道安全问题、签名被伪造。
  • 解决方案:您可以通过密钥管理系统的 API 或在线工具对密钥加解密,加密后本地保存密钥的密文文件,使用时解密且不保存本地,使得攻击者难以获取,从而保证网页和应用的安全性。

信封加密
  • 技术应用:信封加密(Envelope Encryption)是一种应对海量数据的高性能加解密方案。在密钥管理系统的信封加密场景中,只需要传输数据加密密钥 DEK 到密钥管理服务端(通过 CMK 进行加解密),所有的业务数据都是采用高效的本地对称加密处理,对业务的访问体验影响很小。
  • 场景举例:核心数据保护。
  • 解决方案:您可将所有核心数据通过数据密钥加密,保存在对应的存储容器内,数据密钥再经过密钥管理服务加密,为核心数据提供双重保护。同时,缺乏有效权限的人员,即使拿到密文的数据密钥和数据,也无法得到其中内容,保障核心数据不会泄漏。

密钥导入
  • 技术应用:实施 BYOK(Bring Your Own Key)方案,允许使用您自有的密钥材料进行敏感数据加解密服务。
  • 场景举例:自有密钥材料进行敏感数据加解密服务。
  • 解决方案:实施 BYOK(Bring Your Own Key)方案,可通过 KMS 服务生成一个密钥材料为空的 CMK,并将自己的密钥材料导入到该用户主密钥中,形成一个外部密钥 CMK(EXTERNAL CMK),再由 KMS 服务进行该外部密钥的分发管理。
国密 Encryption SDK

本地高性能加密、国密算法、商用密码合规。

解决方案:密钥管理系统旗舰版提供了通过商用密码产品认证的国密 Encryption SDK,SDK 使用信封加密的原理,灵活指定数据加密密钥的管理策略。SDK 对 KMS 进一步封装,轻松实现本地高性能海量数据加解密。