密鑰管理簡介

密鑰管理，即密鑰管理服務（Key Management Service, KMS），是一種安全、可靠、簡單易用的密鑰托管服務，幫助您輕松創建和管理密鑰，保護密鑰的安全。

KMS通過使用硬件安全模塊HSM（Hardware Security Module, HSM）保護密鑰的安全，所有的用戶密鑰都由HSM中的根密鑰保護，避免密鑰泄露。

KMS對密鑰的所有操作都會進行訪問控制及日志跟蹤，提供所有密鑰的使用記錄，滿足審計和合規性要求。

功能介紹

用戶可通過密鑰管理界面，對用戶主密鑰進行以下操作：

• 創建、查看、啟用、禁用、計劃刪除、取消刪除用戶主密鑰
• 修改用戶主密鑰的別名和描述
• 在線工具加解密小數據
• 導入密鑰、刪除密鑰材料
• 添加、搜索、編輯、刪除標簽

用戶可通過密鑰管理的接口執行以下操作：

• 對數據加密密鑰進行創建、加密或解密操作
• 對授予的權限進行退役授權操作

生成硬件真隨機數：用戶可通過密鑰管理的接口生成512bit的隨機數，為加密系統提供基于硬件真隨機數的密鑰材料和加密參數。

支持的密鑰算法

KMS創建的對稱密鑰使用的是AES-256加解密算法。KMS創建的非對稱密鑰支持RSA和ECC算法。

KMS支持的密鑰算法類型

密鑰類型
算法類型
密鑰規格
說明
用途
對稱密鑰
AES
AES_256
AES對稱密鑰
小量數據的加解密或用于加解密數據密鑰。
對稱密鑰
SM4
SM4
國密SM4對稱密鑰
小量數據的加解密或用于加解密數據密鑰。
非對稱密鑰
RSA
RSA_204
8RSA_3072 RSA_4096
RSA非對稱密鑰
小量數據的加解密或數字簽名。
ECC
EC_P25
6EC_P384
橢圓曲線密碼，使用NIST推薦的橢圓曲線
數字簽名
非對稱密鑰
SM2
SM2
國密SM2非對稱密鑰
小量數據的加解密或數字簽名。

通過外部導入的密鑰支持的密鑰包裝加解密算法如下表所示：

密鑰包裝算法說明

密鑰包裝算法
說明
設置
RSAES_OAEP_SHA_256
具有“SHA-256”哈希函數的OAEP的RSA加密算法。
請您根據自己的HSM功能選擇加密算法。 如果您的HSM支持“RSAES_OAEP_SHA_256”加密算法，推薦使用“RSAES_OAEP_SHA_256”加密密鑰材料。
須知： “RSAES_OAEP_SHA_1”加密算法已經不再安全，請謹慎選擇。
RSAES_OAEP_SHA_1
具有“SHA-1”哈希函數的OAEP的RSA加密算法。