密钥管理服务KMS

一、什么是密钥管理服务

1.概念

        密钥管理服务KMS（Key Management Service）是一站是密钥管理和数据加密服务平台，提供简单，可靠，安全，合规的数据加密保护能力。KMS帮助降低在密码基础设施和数据加解密产品上的采购、运维、研发开销，以便只需关注业务本身。

2.业务组件

①密钥服务

        密钥服务提供密钥的全托管和保护，支持基于云原生接口的极简数据加密和数字签名。

②凭据管家

        凭据管家为凭据提供托管加密、定期轮转、安全分发、中心化管理的能力，降低传统IT设施配置静态凭据带来的安全风险。

③证书管家

        证书管家提供高可用、高安全的密钥和证书托管能力，以及签名验签能力。

④专属KMS

        专属KMS是专属于云上私有密钥管理服务。可以完全掌控自己的专属KMS。

3.功能特性

①密钥服务

• 先进的安全合规能力
• 完全托管
• 云原生优势
• 极简应用接入
• 中心化规模化管理

②凭据管家

• 云原生优势
• 极简应用接入
• 中心化规模化管理

③证书管家

• 密钥安全存储
• 生命周期管理
• API便于集成

④专属KMS

• 私有网络接入
• 资源隔离和密码学隔离
• 密钥管理
• 多个云服务集成

二、优势

1.多集成

①身份认证与访问控制

        KMS借助于身份认证机制（AccessKey）来鉴别请求的合法性，KMS还通过与访问控制（RAM）集成，允许配置多样化的自定义策略，满足不同的授权场景。任何请求仅由合法用户发起且满足RAM对权限的动态检测（基于属性的访问控制，简称ABAC），才能被KMS接受。

②审计密钥的使用

        KMS通过与操作审计（ActionTrail）集成，可以查看近期KMS的使用状况，也可以将KMS使用情况存储到OSS等其他云服务中，满足更长周期的审计需求。

③控制云产品集成加密

        KMS和阿里云ECS、RDS、OSS等多个产品无缝集成。通过一方集成，可以很容易的使用KMS主密钥加密和控制存储在这些服务中的数据，帮助保持对云上计算和存储环境的控制，只需要付出密钥的管理成本，无需实施复杂的加密措施。

2.易使用

①轻松实现加密

        KMS提供简单的密码运算API，简化和抽象了密码学概念，可以轻松的使用API完成数据的加解密。

②集中的密钥托管

        密钥管理服务提供对密钥的集中化托管与控制。

③支持自带密钥（BYOK）

        KMS支持自带密钥（Bring Your Own Key，简称BYOK）。

④自定义密钥轮转策略

        KMS允许根据所需的安全策略来自动轮转对称加密密钥。

3.高可靠、高可用、可伸缩

        作为全托管的分布式服务，KMS在每个地域构建了多可用区冗余的密码计算能力，保证阿里云上各个产品和您的自定义应用向KMS发起的请求可以得到低延迟处理。

4.安全与合规能力

        KMS经过严格的安全设计和审核，保证您的密钥在阿里云得到最严格的保护。

5.低成本

        使用KMS，您可以按需使用和付费。

三、基本概念

1.密钥服务（Key Service）

        密钥服务提供密钥的全托管和保护，支撑基于云原生接口的极简数据加密和数字签名。

2.用户主密钥CMK（Customer Master Key）

        用户主密钥主要用于加密保护数据密钥并产生信封，也可直接用于加密少量的数据。可以调用createKey创建一个用户主密钥。

3.密钥材料（Key Material）

        密钥材料是密码运算操作的重要输入之一。

4.信封加密（Envelope Encryption）

        信封加密是类似数字信封技术的一种加密手段。这种技术将加密数据的数据密钥封入信封中存储、传递和使用，不再使用用户主密钥（CMK）直接加密和解密数据。

5.数据密钥DK（Data Key）

        数据密钥是加密数据使用的明文数据密钥。可以调用GenerateDataKey生成一个数据密钥，同时使用指定用户主密钥加密该数据密钥，返回数据密钥的明文（DK）和密文（EDK）。

6.信封数据密钥EDK（Enveloped Data Key）

        信封数据密钥是通过信封加密技术保密后的密文数据密钥。

7.硬件安全模块HSM（Hardware Security Module）

        硬件安全模块也称为密码机，是一种执行密码运算、安全生成和存储密钥的硬件设备。

8.加密上下文（Encryption Context）

        加密上下文是KMS对可认证加密AEAD（Authenticated Encryption with Associated Data）的封装。KMS将传入的加密上下文作为对称加密算法的额外认证数据AAD（Additional Authenticated Data）进行密码运算，从而为加密数据额外提供完整性（Integrity）和可认证性（Authenticity）的支持。

9.凭据管家（Secrets Manager）

        凭据管家提供凭据的全生命周期管理和安全便捷的应用接入方式，帮助规避在代码中硬编码凭据带来的敏感信息泄露风险。

10.应用接入点（Application Access Point）

        应用接入点是KMS原生的访问控制手段，用于对KMS资源访问者进行身份认证和行为鉴权。

11.证书管家（Certificates Manager）

        证书管家提供高可用、高安全的密钥和证书托管能力，以及签名验签能力。

12.专属KMS（Dedicated KMS）

        专属KMS是专属于您的云上私有密钥管理服务。您可以完全掌控自己的专属KMS。

四、使用限制

1.资源配额

        KMS设置了资源配额，提供快速而具有弹性的服务。某些资源配额只适用于创建的资源，而不适用于阿里云产品创建的资源。如果使用的资源不属于阿里云账号，那么这些资源不会计入相应配额。

2.请求配额

        KMS对每秒请求的API操作数量设置了配额。超过API请求配额后，KMS会限制请求（即拒绝本来有效的请求），并返回类似以下的错误响应。