阿里云国际站：密钥管理服务

文章目录

一、密钥管理服务的概念

二、密钥管理服务的功能

三、密钥管理服务的优势

---

一、密钥管理服务的概念

密钥管理服务KMS（Key Management Service）是您的一站式密钥管理和数据加密服务平台、一站式凭据安全管理平台，提供简单、可靠、安全、合规的数据加密保护和凭据管理能力。KMS帮助您降低在密码基础设施、数据加解密产品和凭据管理产品上的采购、运维、研发开销，以便您只需关注业务本身。

密钥管理服务（KMS）提供安全合规的密钥托管和密码服务，助您轻松使用密钥来加密保护敏感的数据资产。KMS和阿里云产品进行了广泛的集成，您可以通过KMS来加密各个云产品中的数据，从而控制云产品内部的分布式计算和存储环境。KMS通过操作审计服务为您提供了密钥的使用日志，也支持您配置自定义的密钥轮转策略，还提供了具备FIPS 140-2第三级认证或者中国国家密码管理局认证资质的托管密码机，帮助您满足企业或行业相应的监管合规需求。

二、密钥管理服务的功能

1、完全托管

KMS为您提供了密钥托管和密码服务，阿里云负责密码基础设施的完全托管，保证服务和设施的可用性，安全性以及可靠性。您只需要专注于密钥的生命周期和权限策略等管理任务，以及数据加解密和数字签名验签等业务场景。

2、可用、可靠、弹性

KMS在每个地域构建了多可用区冗余的密码计算能力，保证向KMS发起的请求可以得到低延迟处理。您可以根据需要，在不同地域的KMS创建足够的密钥，而不必担心底层设施的扩容或缩容。您还可以通过BYOK的方式，保持一份密钥的拷贝从而获得更多的持久性。

3、安全与合规

KMS经过严格的安全设计和审核，保证您的密钥在阿里云得到最严格的保护。通过使用具备中国国家密码管理局或FIPS认证资质的托管密码机、配置自定义密钥轮转策略、在访问控制服务管理身份和权限、在操作审计服务追踪密钥的使用情况，您可以快速满足相应的监管与合规要求。如果您将密钥的使用日志从操作审计服务输出到对象存储或日志服务，则可以进一步和SIEM解决方案进行集成获得额外的分析和威胁检测能力。

4、云产品集成加密

KMS和云服务器、云数据库、对象存储、文件存储、大数据计算等阿里云产品广泛集成。您可以使用KMS中的密钥加密这些产品中的数据，帮助您保持对云上分布式计算和存储环境的控制，而您只需要付出密钥的管理成本，无需实现复杂的加密能力。您也可以通过对象存储SSE、数据库TDE等服务端加密方式，将原本需要在应用系统实现的数据加密的工作负载转移到云端，通过KMS和RAM来控制服务端加密的行为。

5、轻松自定义加密和数字签名

KMS对密码技术和HSM接口进行了抽象，通过简单易用的接口，帮助您实现自定义的数据加密保护，让安全与合规需求与业务系统紧密融合，进一步减小恶意者对敏感数据的攻击面。您还可以通过非对称的密钥对，实现数字签名来保护关键数据或者消息的完整性。

6、节省成本

使用KMS，您无需支付采购硬件密码设备的初始成本以及对硬件系统进行运维、修补、老旧替换的持续开销，也可以避免自建密钥管理设施所需的研发和维护成本，只需要按需使用、按量付费。

三、密钥管理服务的优势

1、多集成

身份认证与访问控制

KMS借助于身份认证机制（AccessKey）来鉴别请求的合法性，KMS还通过与访问控制（RAM）集成，允许您配置多样化的自定义策略，满足不同的授权场景。KMS仅接受由合法用户发起且满足RAM对权限的动态检测的请求。更多信息，请参见使用RAM实现对资源的访问控制。

审计密钥的使用

KMS通过与操作审计（ActionTrail）集成，可以查看近期KMS的使用状况，也可以将KMS使用情况存储到OSS等其他云服务中，满足更长周期的审计需求。更多信息，请参见使用操作审计查询密钥管理服务的操作事件。

云产品集成加密

KMS和阿里云ECS、RDS、OSS等多个产品无缝集成。通过一方集成，您可以很容易的使用KMS密钥加密和控制存储在这些服务中的数据，只需要付出密钥的管理成本，无需实施复杂的加密措施。同时集成加密解决了其他云产品中原生数据的加密保护问题。更多信息，请参见服务端集成加密概述和支持服务端集成加密的云服务。

2、易使用

轻松实现加密

KMS提供简单的密码运算API，简化和抽象了密码学概念，让您可以轻松的使用API完成数据的加解密。

集中的密钥托管

您可以随时创建新的密钥，并通过访问控制（RAM）和应用接入点（AAP）轻松管理谁或哪些应用可以访问该密钥。

您可以通过操作审计（ActionTrail）审查对KMS资源的操作情况。

支持自带密钥（BYOK）

KMS支持自带密钥BYOK（Bring Your Own Key）。 您可以从线下的密钥管理基础设施（KMI）等外部系统设施将密钥导入到KMS，用于对云产品中数据的加密保护或自建应用系统中的密码技术使用场景。

3、高可靠、高可用、可伸缩

KMS在每个地域支持多可用区冗余的密码计算能力，保证阿里云上各个产品和您的自定义应用向KMS发起的请求可以得到低延迟处理。您可以根据需要，快速地进行升配。

4、安全与合规能力

KMS经过严格的安全设计和审核，保证您的密钥在阿里云得到最严格的保护。

KMS仅提供基于TLS的安全访问通道，并且仅使用安全的传输加密算法套件，符合PCI DSS等安全规范。

KMS支持监管机构许可和认证的密码设施。阿里云加密服务提供了经国家密码管理局检测和认证的硬件密码设备，取得了GM/T 0028 第二级认证。KMS支持集成您在阿里云加密服务中管理的加密机集群进行密钥管理和密码计算。