專屬KMS標準版具備使用者側資料加密能力和Data Encryption Service密碼機叢集加密能力,將金鑰儲存區在您的獨享密碼機叢集內,通過可選的憑據管家服務元件提供憑據的全生命週期管理和安全便捷的應用訪問,同時支援雲產品原生的資料加密。
應用情境
- 自建應用整合
自建應用程式可以通過VPC網路使用專屬KMS標準版執行個體的加解密服務進行應用程式層加解密。
- 第三方ISV應用整合
第三方ISV(Independent Software Vendors)應用程式可以使用專屬KMS標準版執行個體的密碼計算介面。
- 敏感資訊託管
您可以通過託管和加密敏感資訊,防止敏感資訊寫入程式碼帶來的資訊泄露以及高價值資產泄露,提升應用資料安全性。
- 雲產品整合
您可以授權KMS共用版轉寄雲產品的服務端加密請求到專屬KMS標準版執行個體。
產品優勢
- 專屬KMS標準版提供租戶獨享的服務執行個體,並部署到租戶的VPC內,滿足私人網路接入需求。
- 專屬KMS標準版使用租戶獨享的密碼資源集區(HSM叢集),實現資源隔離和密碼學隔離,以獲得更高的安全性。
- 專屬KMS標準版可以降低使用HSM的複雜度,為您的HSM提供穩定、易用的上層密鑰管理途徑和密碼計算服務。
- 專屬KMS標準版可以將您的HSM與雲端服務無縫整合,為雲端服務加密提供更高的安全性和可控制性。更多資訊,請參見支援服務端整合加密的雲端服務。
產品架構
專屬KMS標準版執行個體是一個獨立部署的執行個體型服務,產品架構如下圖所示。
專屬KMS主要組成部分如下:
- 密碼資源集區
您在Data Encryption ServiceCloudHSM中管理的、租戶獨享的HSM叢集。它是用於金鑰儲存區和計算的安全裝置。
關於Data Encryption ServiceCloudHSM的更多資訊,請參見什麼是Data Encryption Service。
- 密鑰管理系統
在您自訂的獨享HSM叢集內,進行密鑰的生命週期管理。
- 密碼計算服務
專屬KMS標準版執行個體通過簡單易用的API調度密碼計算。密碼計算過程中密鑰不會離開HSM的安全邊界。
- 憑據管家(可選組件,按需購買)
專屬KMS基礎版整合憑據管家實現敏感資訊的全生命週期管理,提供安全便捷的應用接入方式,協助您規避在應用部署和代碼中寫入程式碼憑據帶來的敏感資訊泄露風險。
使用限制
限制項 | 最大值 |
一個執行個體允許建立的最大使用者主要金鑰(CMK)數量 | 1,000 |
一個執行個體允許建立的最大使用者憑證數量 | 10,000,000 |
一個執行個體每秒處理請求數QPS(Query Per Second)上限 | 2,000 |
支援的地區
支援專屬KMS標準版的地區為:華東1(杭州)、華東2(上海)、華北2(北京)、華南1(深圳)、中國香港、馬來西亞(吉隆坡)和新加坡。
計費
專屬KMS標準版採用預付費(訂用帳戶)的計費方式。更多資訊,請參見專屬KMS產品計費。