云服务器 ECS
容器计算服务 ACS
专属KMS标准版具备用户侧数据加密能力和加密服务密码机集群加密能力,将密钥存储在您的独享密码机集群内,通过可选的凭据管家服务组件提供凭据的全生命周期管理和安全便捷的应用访问,同时支持云产品原生的数据加密。
应用场景
- 自建应用集成
自建应用程序可以通过VPC网络使用专属KMS标准版实例的加解密服务进行应用层加解密。
- 第三方ISV应用集成
第三方ISV(Independent Software Vendors)应用程序可以使用专属KMS标准版实例的密码计算接口。
- 敏感信息托管
您可以通过托管和加密敏感信息,防止敏感信息硬编码带来的信息泄露以及高价值资产泄露,提升应用数据安全性。
- 云产品集成
您可以授权KMS共享版转发云产品的服务端加密请求到专属KMS标准版实例。
产品优势
- 专属KMS标准版提供租户独享的服务实例,并部署到租户的VPC内,满足私有网络接入需求。
- 专属KMS标准版使用租户独享的密码资源池(HSM集群),实现资源隔离和密码学隔离,以获得更高的安全性。
- 专属KMS标准版可以降低使用HSM的复杂度,为您的HSM提供稳定、易用的上层密钥管理途径和密码计算服务。
- 专属KMS标准版可以将您的HSM与云服务无缝集成,为云服务加密提供更高的安全性和可控制性。更多信息,请参见支持服务端集成加密的云服务。
产品架构
专属KMS标准版实例是一个独立部署的实例型服务,产品架构如下图所示。
专属KMS主要组成部分如下:
- 密码资源池
您在加密服务CloudHSM中管理的、租户独享的HSM集群。它是用于密钥存储和计算的安全设备。
关于加密服务CloudHSM的更多信息,请参见什么是加密服务。
- 密钥管理系统
在您自定义的独享HSM集群内,进行密钥的生命周期管理。
- 密码计算服务
专属KMS标准版实例通过简单易用的API调度密码计算。密码计算过程中密钥不会离开HSM的安全边界。
- 凭据管家(可选组件,按需购买)
专属KMS基础版集成凭据管家实现敏感信息的全生命周期管理,提供安全便捷的应用接入方式,帮助您规避在应用部署和代码中硬编码凭据带来的敏感信息泄露风险。
使用限制
| 限制项 | 最大值 |
|---|
| 限制项 | 最大值 |
|---|---|
| 一个实例允许创建的最大用户主密钥(CMK)数量 | 1,000 |
| 一个实例允许创建的最大用户凭据数量 | 10,000,000 |
| 一个实例每秒处理请求数QPS(Query Per Second)上限 | 2,000 |
支持的地域
支持专属KMS标准版的地域为:华东1(杭州)、华东2(上海)、华北2(北京)、华南1(深圳)、中国香港、马来西亚(吉隆坡)和新加坡。
计费
专属KMS标准版采用预付费(包年包月)的计费方式。更多信息,请参见专属KMS产品计费。
