Key Management Service(Key Management Service)與傳統密鑰管理基礎設施KMI(Key Management Infrastructure)相比具有多整合、易使用、高可靠以及低成本等優勢。
多整合
- 身份認證與存取控制
KMS藉助於身份認證機制(AccessKey)來鑒別請求的合法性,KMS還通過與存取控制(RAM)整合,允許您配置多樣化的自訂策略,滿足不同的授權情境。任何請求僅由合法使用者發起且滿足RAM對許可權的動態檢測(基於屬性的存取控制,簡稱ABAC),才能被KMS接受。更多資訊,請參見使用RAM實現對資源的存取控制。
- 審計密鑰的使用
KMS通過與Action Trail(ActionTrail)整合,可以查看近期KMS的使用狀況,也可以將KMS使用方式儲存到OSS等其他雲端服務中,滿足更長周期的審計需求。更多資訊,請參見使用Action Trail查詢Key Management Service的操作事件。
- 控制雲產品整合加密
KMS和阿里雲ECS、RDS、OSS等多個產品無縫整合。通過一方整合,您可以很容易的使用KMS主要金鑰加密和控制您儲存在這些服務中的資料,協助您保持對雲上計算和儲存環境的控制,而您只需要付出密鑰的管理成本,無需實施複雜的加密措施。同時整合加密解決了其他雲產品中原生資料的加密保護問題。更多資訊,請參見服務端整合加密概述和支援服務端整合加密的雲端服務。
易使用
- 輕鬆實現加密
KMS提供簡單的密碼運算API,簡化和抽象了密碼學概念,讓您可以輕鬆的使用API完成資料的加解密。對於需要密鑰階層的應用,KMS提供了方便的信封加密能力,快速實現密鑰階層:產生一個資料密鑰,並將主要金鑰(CMK)用作祕密金鑰加密密鑰(Key Encryption Key,簡稱KEK)來保護資料密鑰。更多資訊,請參見使用KMS信封加密在本地加密和解密資料。
- 集中的密鑰託管
Key Management Service為您提供對密鑰的集中化託管與控制。
- 您可以隨時建立新的使用者主要金鑰,並通過存取控制(RAM)輕鬆管理誰可以訪問該密鑰。
- 您可以通過Action Trail(ActionTrail)審核密鑰的使用方式。
- 您可以從線下密鑰管理基礎設施(KMI)或在阿里雲Data Encryption Service中建立的HSM裡將密鑰匯入到KMS。無論在KMS內建立的密鑰還是外部匯入的密鑰,密鑰中的機密資訊或者敏感性資料都會被阿里雲上的其他雲產品用於加密保護。
- 支援內建密鑰(BYOK)
KMS支援內建密鑰BYOK(Bring Your Own Key)。您可以將密鑰租借給KMS用作雲上資料的加密保護,從而更好的管理密鑰。可租借的密鑰包括以下兩種:
- 線下密鑰管理基礎設施(Key Management Infrastructure,簡稱KMI)裡的密鑰
- 在阿里雲Data Encryption Service中自主管理的HSM中的密鑰
- 自訂密鑰輪轉策略
KMS允許您根據所需的安全性原則來自動輪轉對稱式加密密鑰。您只需要為主要金鑰(CMK)配置一個自訂的輪轉周期,KMS會自動為您產生新的加密金鑰版本。一個主要金鑰可以有多個密鑰版本,其中每個版本可以被用來解密對應的密文資料,而最新的密鑰版本(稱為主要版本)是活躍加密金鑰,用於加密當前傳入的資料。更多資訊,請參見自動輪轉密鑰。
高可靠、高可用、可伸縮
作為全託管的分布式服務,KMS在每個地區構建了多可用性區域冗餘的密碼計算能力,保證阿里雲上各個產品和您的自訂應用向KMS發起的請求可以得到低延遲處理。您可以根據需要,在不同地區的KMS建立足夠的密鑰,而不必擔心底層設施的擴容或縮容。
安全與合規能力
KMS經過嚴格的安全設計和審核,保證您的密鑰在阿里雲得到最嚴格的保護。
低成本
使用KMS,您可以按需使用和付費。
- 您無需支付採購硬體密碼裝置的初始成本以及對硬體系統進行營運、修補、老舊替換的持續開銷。
- KMS為您節省了搭建具有可用性和可靠性密碼裝置叢集,以及自建密鑰管理設施的研發成本和維護開銷。
- KMS與其他產品的整合為您節省了研發資料加密系統的開銷,僅需通過管理密鑰而獲得可控的雲上資料加密的能力。