当前位置: 首页 > 工具软件 > KMS > 使用案例 >

密钥管理服务KMS

仲孙夕
2023-12-01

一、什么是密钥管理服务

1.概念

        密钥管理服务KMS(Key Management Service)是一站是密钥管理和数据加密服务平台,提供简单,可靠,安全,合规的数据加密保护能力。KMS帮助降低在密码基础设施和数据加解密产品上的采购、运维、研发开销,以便只需关注业务本身。

2.业务组件

①密钥服务

        密钥服务提供密钥的全托管和保护,支持基于云原生接口的极简数据加密和数字签名。

②凭据管家

        凭据管家为凭据提供托管加密、定期轮转、安全分发、中心化管理的能力,降低传统IT设施配置静态凭据带来的安全风险。

③证书管家

        证书管家提供高可用、高安全的密钥和证书托管能力,以及签名验签能力。

④专属KMS

        专属KMS是专属于云上私有密钥管理服务。可以完全掌控自己的专属KMS。

3.功能特性

①密钥服务

  • 先进的安全合规能力
  • 完全托管
  • 云原生优势
  • 极简应用接入
  • 中心化规模化管理

②凭据管家

  • 云原生优势
  • 极简应用接入
  • 中心化规模化管理

③证书管家

  • 密钥安全存储
  • 生命周期管理
  • API便于集成

④专属KMS

  • 私有网络接入
  • 资源隔离和密码学隔离
  • 密钥管理
  • 多个云服务集成

二、优势

1.多集成

①身份认证与访问控制

        KMS借助于身份认证机制(AccessKey)来鉴别请求的合法性,KMS还通过与访问控制(RAM)集成,允许配置多样化的自定义策略,满足不同的授权场景。任何请求仅由合法用户发起且满足RAM对权限的动态检测(基于属性的访问控制,简称ABAC),才能被KMS接受。

②审计密钥的使用

        KMS通过与操作审计(ActionTrail)集成,可以查看近期KMS的使用状况,也可以将KMS使用情况存储到OSS等其他云服务中,满足更长周期的审计需求。

③控制云产品集成加密

        KMS和阿里云ECS、RDS、OSS等多个产品无缝集成。通过一方集成,可以很容易的使用KMS主密钥加密和控制存储在这些服务中的数据,帮助保持对云上计算和存储环境的控制,只需要付出密钥的管理成本,无需实施复杂的加密措施。

2.易使用

①轻松实现加密

        KMS提供简单的密码运算API,简化和抽象了密码学概念,可以轻松的使用API完成数据的加解密。

②集中的密钥托管

        密钥管理服务提供对密钥的集中化托管与控制。

③支持自带密钥(BYOK)

        KMS支持自带密钥(Bring Your Own Key,简称BYOK)。

④自定义密钥轮转策略

        KMS允许根据所需的安全策略来自动轮转对称加密密钥。

3.高可靠、高可用、可伸缩

        作为全托管的分布式服务,KMS在每个地域构建了多可用区冗余的密码计算能力,保证阿里云上各个产品和您的自定义应用向KMS发起的请求可以得到低延迟处理。

4.安全与合规能力

        KMS经过严格的安全设计和审核,保证您的密钥在阿里云得到最严格的保护。

5.低成本

        使用KMS,您可以按需使用和付费。

三、基本概念

1.密钥服务(Key Service)

        密钥服务提供密钥的全托管和保护,支撑基于云原生接口的极简数据加密和数字签名。

2.用户主密钥CMK(Customer Master Key)

        用户主密钥主要用于加密保护数据密钥并产生信封,也可直接用于加密少量的数据。可以调用createKey创建一个用户主密钥。

3.密钥材料(Key Material)

        密钥材料是密码运算操作的重要输入之一。

4.信封加密(Envelope Encryption)

        信封加密是类似数字信封技术的一种加密手段。这种技术将加密数据的数据密钥封入信封中存储、传递和使用,不再使用用户主密钥(CMK)直接加密和解密数据。

5.数据密钥DK(Data Key)

        数据密钥是加密数据使用的明文数据密钥。可以调用GenerateDataKey生成一个数据密钥,同时使用指定用户主密钥加密该数据密钥,返回数据密钥的明文(DK)和密文(EDK)。

6.信封数据密钥EDK(Enveloped Data Key)

        信封数据密钥是通过信封加密技术保密后的密文数据密钥。

7.硬件安全模块HSM(Hardware Security Module)

        硬件安全模块也称为密码机,是一种执行密码运算、安全生成和存储密钥的硬件设备。

8.加密上下文(Encryption Context)

        加密上下文是KMS对可认证加密AEAD(Authenticated Encryption with Associated Data)的封装。KMS将传入的加密上下文作为对称加密算法的额外认证数据AAD(Additional Authenticated Data)进行密码运算,从而为加密数据额外提供完整性(Integrity)和可认证性(Authenticity)的支持。

9.凭据管家(Secrets Manager)

        凭据管家提供凭据的全生命周期管理和安全便捷的应用接入方式,帮助规避在代码中硬编码凭据带来的敏感信息泄露风险。

10.应用接入点(Application Access Point)

        应用接入点是KMS原生的访问控制手段,用于对KMS资源访问者进行身份认证和行为鉴权。

11.证书管家(Certificates Manager)

        证书管家提供高可用、高安全的密钥和证书托管能力,以及签名验签能力。

12.专属KMS(Dedicated KMS)

        专属KMS是专属于您的云上私有密钥管理服务。您可以完全掌控自己的专属KMS。

四、使用限制

1.资源配额

        KMS设置了资源配额,提供快速而具有弹性的服务。某些资源配额只适用于创建的资源,而不适用于阿里云产品创建的资源。如果使用的资源不属于阿里云账号,那么这些资源不会计入相应配额。

2.请求配额

        KMS对每秒请求的API操作数量设置了配额。超过API请求配额后,KMS会限制请求(即拒绝本来有效的请求),并返回类似以下的错误响应。

 类似资料: