密钥管理概述
更新时间 2025-09-04 09:38:48
最近更新时间: 2025-09-04 09:38:48
密钥管理服务提供密钥的全托管的生命周期管理能力,支持基于API接口的数据加解密和数字签名验签。
KMS支持的密钥类型说明
KMS对加密算法、保护级别以及应用场景的支持情况请参见如下表格。
| 密码算法大类 | 密码算法子类 | 保护级别 | 是否支持加解密 | 是否支持签名验签 |
|---|---|---|---|---|
| 对称密钥 | AES_256 | Software HSM | 支持 | 不支持 |
| SM4 | HSM | 支持 | 不支持 | |
| 非对称密钥 | RSA_2048 | Software HSM | 支持 | 支持 |
| SM2 | HSM | 支持 | 支持 |
对称密钥主要用于数据的加密保护场景,可通过接口调用进行在线加密或者信封加密。更多信息,请参见对称密钥概述。
非对称密钥可用于数据加密和数字签名。在KMS创建的非对称用户主密钥(CMK),由一对关联的公钥和私钥构成。公钥可以被分发给任何人,而私钥由KMS确保安全性,不提供任何接口导出非对称密钥的私钥。使用者仅能通过接口调用私钥进行签名运算或者数据解密。更多信息,请参见非对称密钥概述。
KMS密钥管理功能
KMS提供集中托管的密钥全生命周期管理,您可以轻松创建并使用密钥。
| 功能 | 说明 | 参考文档 |
|---|---|---|
| 密钥生命周期管理 | 通过KMS可创建用户主密钥CMK(Customer Master Key),支持对CMK进行启用、禁用、删除等生命周期管理。 密钥支持软件或硬件的密钥保护级别,硬件密钥通过硬件安全模块(HSM)的保护,满足更高的安全性。 支持导入自带密钥材料到KMS中(BYOK),满足一些特定的安全需求。 | |
| 密钥版本管理 | 支持通过密钥版本化或定期轮转来加强密钥使用的安全性,实现数据保护的安全策略。 | 密钥版本管理 |
| 密钥别名管理 | 支持设置密钥别名,更方便的使用密钥。 | 别名管理 |
KMS外部导入的密钥材料与KMS创建的密钥材料的区别
导入的密钥材料与通过KMS创建密钥时自动生成的密钥材料的区别,如下表所示。
| 密钥材料来源 | 区别 |
|---|---|
| 外部 |
|
| 天翼云KMS |
|
密码运算
KMS提供了云原生的密码运算API,快速满足数据加密解密、数字签名验签等多样性需求。
