從2022年03月31日起,原Key Management Service(KMS)將逐步演化為阿里雲原生的預設安全能力,為雲產品提供預設的加解密服務;同時新增專屬KMS產品形態,為使用者提供租戶側獨享儲存和密鑰運算的Key Management Service。
升級原因
原Key Management Service(KMS)是多租戶共用儲存和密鑰運算的Key Management Service。相比之下,專屬KMS為使用者提供租戶側獨享儲存和密鑰運算,具體優勢如下:
- 專屬KMS提供租戶獨享的服務執行個體,並部署到租戶的VPC內,相比KMS共用網關模式,更能提高租戶私網接入的安全性。
- 專屬KMS提供租戶獨享的密碼資源集區,實現資源隔離和密碼學隔離,相比KMS租戶側資源和密鑰計算共用模式,更有效地保證租戶資源使用的安全性。
- 專屬KMS使用應用存取點作為鑒權方式,相比KMS使用RAM鑒權方式,更方便使用者快速地完成密鑰鑒權配置。
升級影響
升級後已開通KMS的老使用者可以繼續使用,新使用者有密鑰管理相關需求時,需要購買專屬KMS。對於新使用者的影響如下表所示。
說明 升級後,KMS老使用者使用過程中如果出現KMS欠費停機,將無法繼續使用KMS,需要購買專屬KMS。
功能 | 使用情境 | 對新使用者的影響 |
使用者主要金鑰 | 雲產品使用服務祕密金鑰加密雲產品資源 | 無影響。 |
使用者在用戶端使用服務密鑰加解密資料 | 暫不支援該功能。 | |
雲產品使用使用者自選祕密金鑰加密雲產品資源 | 需要購買專屬KMS標準版才能使用該功能。 您可以訪問專屬KMS購買專屬KMS。 | |
使用者資料加密 | 需要購買專屬KMS標準版才能使用該功能。 您可以訪問專屬KMS購買專屬KMS。 | |
憑據 | 使用憑據擷取敏感資訊 | 暫不支援該功能。 |
憑據輪轉 | 暫不支援該功能。 | |
認證 | 認證託管 | 需要購買SSL認證才能使用該功能。 |
使用認證進行簽名驗簽 | 暫不支援該功能。 |