Key Management Service有哪些基本概念 - Key Management Service

本文解釋了Key Management Service（Key Management Service）的基本概念，協助您正確理解和使用KMS。

密鑰服務（Key Service）

密鑰服務為您提供密鑰安全儲存和生命週期管理、使用密鑰進行資料加密和解密、數位簽章和驗簽等密碼運算服務。關於密鑰服務的更多資訊，請參見密鑰服務概述。

憑據管理為您提供憑據的全生命週期管理和安全便捷的應用接入方式，協助您規避在代碼中寫入程式碼憑據帶來的敏感資訊泄露風險。關於憑據管理的更多資訊，請參見憑據管理概述。

KMS提供了兩種執行個體類型，軟體密鑰管理執行個體和硬體密鑰管理執行個體。可被雲產品整合用於服務端加密，也可被您的自建應用整合用於構建應用程式層密碼技術方案。

軟體密鑰管理執行個體：軟體密鑰管理執行個體為您提供密鑰服務、憑據管理服務，通過使用您獨享的Container Service執行個體，將密鑰和憑據安全地儲存在您獨享的資料庫中，具備高度的可擴充性和安全性。
硬體密鑰管理執行個體：硬體密鑰管理執行個體通過串連您在阿里雲Data Encryption Service中的密碼機（HSM）叢集提供密鑰服務，同時使用您獨享的Container Service執行個體，將憑據安全地儲存在您獨享的資料庫中，為您提供更高的安全與合規等級保證的密鑰服務、憑據管理服務。啟用硬體密鑰管理執行個體前，您需要在阿里雲Data Encryption Service購買密碼機（HSM）和配置密碼機叢集，並在KMS中進行串連。
說明
Data Encryption Service中密碼機（HSM）使用經國家密碼管理局或FIPS 140-2 3級認證的硬體。

購買KMS執行個體時可以選擇執行個體效能，更多介紹，請參見效能資料。

硬體安全模組，是一種執行密碼運算、安全產生和儲存體金鑰的硬體裝置。密碼機是構建IT系統時最常用的一種硬體安全模組。

KMS支援整合您在阿里雲Data Encryption Service的密碼機叢集，為您在KMS託管的密鑰提供更高的安全與合規等級保證，滿足監管機構的檢測認證要求。

使用者主要金鑰CMK（Customer Master Key）指的是由您自主建立和託管在KMS的密鑰，簡稱為“主要金鑰”。主要金鑰由密鑰ID、基本中繼資料以及密鑰材料組成。

預設密鑰僅可被雲產品整合用於服務端加密，包含：

對於預設密鑰，KMS僅支援您使用對稱密碼演算法AES_256。

由雲端服務代表您建立並託管於KMS，在雲產品服務端加密時預設使用的密鑰。

密鑰材料是密碼運算操作的重要輸入之一。建議您對非對稱密碼演算法的私密金鑰的密鑰材料和對稱密碼演算法的密鑰材料保密，以保護基於密鑰材料的密碼運算操作。

預設密鑰：當您建立預設密鑰中的主要金鑰時，支援由KMS產生密鑰材料（Origin屬性為Aliyun_KMS），也支援由您自行匯入密鑰材料（Origin屬性為EXTERNAL）。
軟體密鑰：當您建立軟體密鑰時，僅支援由KMS產生密鑰材料（Origin屬性為Aliyun_KMS），暫不支援您自行匯入密鑰材料。
硬體密鑰：當您建立硬體密鑰時，支援由KMS所串連的密碼機（HSM）產生密鑰材料（Origin屬性為Aliyun_KMS），也支援您自行匯入密鑰材料（Origin屬性為EXTERNAL）。

憑據是用於對應用程式進行身分識別驗證的敏感資訊，例如資料庫帳號密碼、SSH Key、敏感地址、AK敏感性資料等內容。

應用存取點AAP是KMS實現的一種存取控制方案，適用於應用程式訪問KMS資源時進行身份認證和行為鑒權。詳細資料，請參見應用存取點概述。