基本概念 - Key Management Service

本文解釋了Key Management Service（Key Management Service）的基本概念，協助您正確理解和使用KMS。

概念	說明
密鑰服務（Key Service）	密鑰服務提供密鑰的全託管和保護，支撐雲端式原生介面的極簡資料加密和數位簽章。關於密鑰服務的更多資訊，請參見密鑰服務概述。
使用者主要金鑰CMK（Customer Master Key）	使用者主要金鑰主要用於加密保護資料密鑰併產生信封，也可直接用於加密少量的資料。您可以調用CreateKey建立一個使用者主要金鑰。
密鑰材料（Key Material）	密鑰材料是密碼運算操作的重要輸入之一。建議您對非對稱密碼演算法的私密金鑰的密鑰材料和對稱密碼演算法的密鑰材料保密，以保護基於密鑰材料的密碼運算操作。使用者主要金鑰（CMK）是KMS的基本資源，由密鑰ID、基本中繼資料以及密鑰材料組成。預設情況下，當您建立CMK時，會由KMS產生密鑰材料，建立後它的Origin屬性為Aliyun_KMS。您也可以選擇建立密鑰材料來源為外部的密鑰（Origin屬性為EXTERNAL），此時，KMS將不會為該CMK產生密鑰材料，您可以為該CMK匯入密鑰材料。關於密鑰材料的更多資訊，請參見匯入密鑰材料。
信封加密（Envelope Encryption）	當您需要加密業務資料時，您可以調用GenerateDataKey或GenerateDataKeyWithoutPlaintext產生一個對稱金鑰，同時使用指定的使用者主要金鑰加密該對稱金鑰（被密封的信封保護）。在傳輸或儲存等非安全的通訊過程中，直接傳遞被信封保護的對稱金鑰。當您需要使用該對稱金鑰時，開啟信封取出密鑰即可。關於信封加密的更多資訊，請參見使用KMS信封加密在本地加密和解密資料。
資料密鑰DK（Data Key）	資料密鑰是加密資料使用的明文資料密鑰。您可以調用GenerateDataKey產生一個資料密鑰，同時使用指定使用者主要金鑰加密該資料密鑰，返回資料密鑰的明文（DK）和密文（EDK）。
信封資料密鑰EDK（Enveloped Data Key/Encrypted Data Key）	信封資料密鑰是通過信封加密技術保密後的密文資料密鑰。如果暫時不需要資料密鑰的明文，您可以調用 GenerateDataKeyWithoutPlaintext僅返回資料密鑰密文。
硬體安全模組HSM（Hardware Security Module）	硬體安全模組也稱為密碼機，是一種執行密碼運算、安全產生和儲存體金鑰的硬體裝置。KMS提供的託管密碼機可以滿足監管機構的檢測認證要求，為您在KMS託管的密鑰提供更高的安全等級保證。關於硬體安全模組的更多資訊，請參見託管密碼機概述。
加密上下文（Encryption Context）	加密上下文是KMS對可認證加密AEAD（Authenticated Encryption with Associated Data）的封裝。KMS將傳入的加密上下文作為對稱式加密演算法的額外認證資料AAD（Additional Authenticated Data）進行密碼運算，從而為加密資料額外提供完整性（Integrity）和可認證性（Authenticity）的支援。關於加密內容相關的更多資訊，請參見EncryptionContext說明。
憑據管家（Secrets Manager）	憑據管家為您提供憑據的全生命週期管理和安全便捷的應用接入方式，協助您規避在代碼中寫入程式碼憑據帶來的敏感資訊泄露風險。關於憑據管家的更多資訊，請參見憑據管家概述。
應用存取點（Application Access Point）	應用存取點是KMS原生的存取控制手段，用於對KMS資源訪問者進行身份認證和行為鑒權。關於應用存取點的更多資訊，請參見管理應用存取點。
認證管家（Certificates Manager）	認證管家為您提供高可用、高安全的密鑰和認證託管能力，以及簽名驗簽能力。關於認證管家的更多資訊，請參見認證管家概述。
專屬KMS（Dedicated KMS）	專屬KMS是專屬於您的雲上私人Key Management Service。您可以完全掌控自己的專屬KMS，例如：指定專屬KMS所部署的Virtual Private Cloud、配置專屬KMS使用的密碼資源集區或定義應用接入RBAC（Role-Based Access Control）策略等。關於專屬KMS的更多資訊，請參見概述。
憑據（Secrets）	憑據是用於對應用程式進行身分識別驗證的敏感資訊，例如資料庫帳號密碼、SSH Key、敏感地址、AK敏感性資料等內容。