本文解释了密钥管理服务KMS(Key Management Service)的基本概念,帮助您正确理解和使用KMS。

概念 说明
用户主密钥CMK(Customer Master Key) 用户主密钥主要用于加密保护数据密钥并产生信封,也可直接用于加密少量的数据。您可以调用CreateKey创建一个用户主密钥。
信封加密(Envelope Encryption) 当您需要加密业务数据时,您可以调用GenerateDataKeyGenerateDataKeyWithoutPlaintext生成一个对称密钥,同时使用指定的用户主密钥加密该对称密钥(被密封的信封保护)。在传输或存储等非安全的通信过程中,直接传递被信封保护的对称密钥。当您需要使用该对称密钥时,打开信封取出密钥即可。

关于信封加密的更多信息,请参见什么是信封加密

数据密钥DK(Data Key) 数据密钥是加密数据使用的明文数据密钥。

您可以调用GenerateDataKey生成一个数据密钥,同时使用指定用户主密钥加密该数据密钥,返回数据密钥的明文(DK) 和密文(EDK)。

信封数据密钥EDK(Enveloped Data Key/Encrypted Data Key) 信封数据密钥是通过信封加密技术保密后的密文数据密钥。

如果暂时不需要数据密钥的明文,您可以调用 GenerateDataKeyWithoutPlaintext仅返回数据密钥密文。

硬件安全模块HSM(Hardware Security Module) 硬件安全模块也称为密码机,是一种执行密码运算、安全生成和存储密钥的硬件设备。KMS提供的托管密码机可以满足监管机构的检测认证要求,为用户在KMS托管的密钥提供更高的安全等级保证。

关于硬件安全模块的更多信息,请参见托管密码机概述

加密上下文(Encryption Context) 加密上下文是KMS对可认证加密AEAD(Authenticated Encryption with Associated Data)的封装。KMS将传入的加密上下文作为对称加密算法的额外认证数据AAD(Additional Authenticated Data)进行密码运算,从而为加密数据额外提供完整性(Integrity)和可认证性(Authenticity)的支持。

关于加密上下文的更多信息,请参见EncryptionContext说明

凭据管家(Secrets Manager) 凭据管家为您提供凭据的全生命周期管理和安全便捷的应用接入方式,帮助您规避在代码中硬编码凭据带来的敏感信息泄露风险。

关于凭据管家的更多信息,请参见凭据管家概述

证书管家(Certificates Manager) 证书管家为您提供高可用、高安全的密钥和证书托管能力,以及签名验签能力。

关于证书管家的更多信息,请参见证书管家概述