密钥管理,即密钥管理服务(Key Management Service, KMS),是一种安全、可靠、简单易用的密钥托管服务,帮助您轻松创建和管理密钥,保护密钥的安全。
KMS通过使用硬件安全模块HSM(Hardware
Security Module, HSM)保护密钥的安全,所有的用户密钥都由HSM中的根密钥保护,避免密钥泄露。
KMS对密钥的所有操作都会进行访问控制及日志跟踪,提供所有密钥的使用记录,满足审计和合规性要求。
功能介绍
用户可通过密钥管理界面,对用户主密钥进行以下操作:
创建、查看、启用、禁用、计划删除、取消删除用户主密钥
修改用户主密钥的别名和描述
在线工具加解密小数据
导入密钥、删除密钥材料
添加、搜索、编辑、删除标签
用户可通过密钥管理的接口执行以下操作:
对数据加密密钥进行创建、加密或解密操作。
对授予的权限进行退役授权操作
具体请参见《数据加密服务接口参考》。
生成硬件真随机数
用户可通过密钥管理的接口生成512bit的随机数,为加密系统提供基于硬件真随机数的密钥材料和加密参数,具体请参见《数据加密服务接口参考》。
KMS支持的密钥算法
KMS创建的对称密钥使用的是AES-256加解密算法。KMS创建的非对称密钥支持RSA和ECC算法。
KMS支持的密钥算法类型
密钥类型 | 算法类型 | 密钥规格 | 说明 | 用途 |
---|---|---|---|---|
对称密钥 | AES | AES_256 | AES对称密钥 | 小量数据的加解密或用于加解密数据密钥。 |
对称密钥 | SM4 | SM4 | 国密SM4对称密钥 | 小量数据的加解密或用于加解密数据密钥。 |
非对称密钥 | RSA | l RSA_2048 l RSA_3072 l RSA_4096 | RSA非对称密钥 | 小量数据的加解密或数字签名。 |
ECC | l EC_P256 l EC_P384 | 椭圆曲线密码,使用NIST推荐的椭圆曲线 | 数字签名 | |
非对称密钥 | SM2 | SM2 | 国密SM2非对称密钥 | 小量数据的加解密或数字签名。 |
通过外部导入的密钥支持的密钥包装加解密算法如下表所示。
密钥包装算法说明
密钥包装算法 | 说明 | 设置 |
---|---|---|
RSAES_OAEP_SHA_256 | 具有“SHA-256”哈希函数的OAEP的RSA加密算法。 | 请您根据自己的HSM功能选择加密算法。 如果您的HSM支持“RSAES_OAEP_SHA_256”加密算法,推荐使用“RSAES_OAEP_SHA_256”加密密钥材料。 须知: “RSAES_OAEP_SHA_1”加密算法已经不再安全,请谨慎选择。 |
RSAES_OAEP_SHA_1 | 具有“SHA-1”哈希函数的OAEP的RSA加密算法。 |