密鑰生命周期管理

提供密鑰全生命周期管理，包括密鑰創建、自帶密鑰導入（BYOK）、啟用/禁用、別名設置、輪轉策略設置、版本設置、計劃刪除、取消刪除等。

密鑰算法

• 支持對稱密鑰算法類型為AES_256、SM4。
• 支持非對稱密鑰算法類型為RSA_2048、SM2。

硬件保護

通過部署托管密碼機，采用由國家密碼管理局批準的密碼設備硬件，滿足監管合規需求。

提供更高安全等級的硬件保護機制保護密鑰，確保密鑰的保密性、完整性和可用性。

密鑰輪轉

支持通過定期自動輪轉或手動創建密鑰版本，以加強密鑰使用的安全性。

• 對于對稱密鑰，密鑰版本可通過設置輪轉策略，由系統根據輪轉周期自動生成。
• 對于非對稱密鑰，可人工創建新的密鑰版本。

密鑰輪轉或人工創建產生新的主版本后，KMS不會刪除或禁用非主版本，使得經非主版本加密的密文仍可以正常解密。

自帶密鑰導入

支持導入用戶自帶密鑰。當用戶希望使用自己的密鑰材料時，可通過KMS管理控制臺的導入密鑰功能創建密鑰材料為空的用戶主密鑰，并將自己的密鑰材料導入該用戶主密鑰中。

別名管理

別名是用戶主密鑰的可選標識，同一個用戶在一個地域中的別名具有唯一性。每個別名只能指向同地域的一個用戶主密鑰，但是每個用戶主密鑰可以綁定多個別名。

用戶可通過控制臺創建別名、刪除別名，還可以通過API進行別名的創建、更新、刪除等。

在線加密

在線加密是對稱密鑰加密的場景，適用于保護小型敏感數據（小于6KB），如口令、證書、身份信息、后臺配置文件等。通過密鑰管理服務KMS的在線加密API，使用用戶主密鑰（CMK）直接加密敏感數據信息，而非直接將明文存儲，確保敏感數據安全。

信封加密

信封加密是對稱密鑰加密的場景，是一種應對海量數據的高性能加解密方案。這種技術不再使用用戶主密鑰（CMK）直接加密和解密數據，而是通過生成加密數據的數據密鑰（DEK），將其封入信封中（即通過CMK加密）存儲、傳遞和使用，由KMS確保數據密鑰的隨機性和安全性。

實際使用時，用戶無需將大量業務數據上傳至KMS服務端，直接通過離線的數據密鑰在本地實現加解密，有效避免安全隱患，保證了業務加密性能的要求。

簽名驗簽

數字簽名技術是非對稱加密算法的另一種典型應用。用戶可在KMS中創建非對稱用戶主密鑰（CMK），其由一對關聯的公鑰和私鑰構成。公鑰可以被分發給任何人，而私鑰由KMS確保安全性，不提供任何接口導出非對稱密鑰的私鑰。 使用者僅能通過接口調用私鑰進行簽名運算。

實際使用時，簽名者將驗簽公鑰分發給消息接收者，簽名者使用簽名私鑰，對數據產生簽名，簽名者將數據以及簽名傳遞給消息接收者，消息接收者獲得數據和簽名后，使用公鑰針對數據驗證簽名的合法性。

非對稱數據加解密

非對稱密鑰加密通信的過程類似于對稱加密，區別在于需要使用公鑰進行數據加密，使用私鑰進行數據解密。由于KMS中用戶私鑰不支持導出，使用者僅能通過接口調用私鑰進行數據解密。

實際使用時，信息接收者將加密公鑰分發給信息傳送者，信息傳送者使用公鑰對敏感信息進行加密保護，信息傳送者將敏感信息的密文傳遞給信息接收者，信息接收者使用私鑰將敏感信息的密文解密。

云產品服務端加密

與天翼云產品聯動，提供對云硬盤、對象存儲、彈性文件、數據庫等產品中的數據進行服務端加密，保證云上數據的安全性。用戶只需通過云產品控制臺一鍵勾選KMS加密功能，加解密過程透明無感知。

完整性保護

提供基于國密算法的完整性保護能力，通過SM3算法計算HMAC值以進行對比驗證，實現完整性校驗。