产品优势
可租借的密钥包括以下两种:线下密钥管理基础设施(Key Management Infrastructure,简称KMI)里的密钥 在 阿里云加密服务 中自主管理的HSM中的密钥 说明 通过安全合规的密钥交换算法,导入到KMS的托管密码机中的密钥不会被任何机制所导出...
对称加密概述
轮转对称加密密钥 KMS生成的对称主密钥支持多个密钥版本,同时支持用户主密钥基于密钥版本进行自动轮转,您可以自定义密钥轮转的策略。在CMK包含多个版本时,KMS的加密动作(例如:Encrypt、GenerateDataKey和...
使用托管密码机
当您调用 ImportKeyMaterial 时:阿里云将加密的外部密钥材料导入到托管密码机的内部,并通过HSM的密钥反打包(Unwrap)机制获取密钥材料本身,而导入的密钥材料明文不能被任何人导出。管理和使用密钥 密钥管理服务支持的所有管理类功能和...
导入非对称密钥材料
密钥管理类型 导入对称密钥材料 导入非对称密钥材料 默认密钥 主密钥:服务密钥:主密钥:服务密钥:软件密钥 硬件密钥 使用限制 为密钥首次导入密钥材料后,密钥即和该密钥材料绑定,不再支持导入其他密钥材料。重要 如果密钥的密钥材料...
密钥管理类型和密钥规格
支持的对称密钥规格 对称密钥加密是最常用的敏感数据加密保护方式之一,加密过程和解密过程使用相同的密钥内容,KMS可以安全保管对称密钥的密钥材料以防止被非法窃取或使用,确保被加密数据的安全。密钥规格 对称密钥主要用于数据的加密...
查看密钥策略
本文介绍如何查看密钥的密钥策略。注意事项 仅KMS实例中的密钥支持密钥策略。您可在创建密钥时设置密钥策略,也可在创建后进行修改,具体请参见 创建密钥、设置密钥策略。通过控制台查看 登录 密钥管理服务控制台,在顶部菜单栏选择地域后...
密钥管理服务如何删除密钥
概述 本文主要介绍阿里云密钥管理服务如何删除密钥。详细信息 密钥管理服务主密钥一旦删除,将无法恢复,使用该主密钥加密的内容及产生的数据密钥也将无法解密。因此,对于主密钥的删除,KMS只提供计划删除密钥的方式(周期为7~30天),而...
API概览
场景大类 细分场景 描述 API选型 API区别 用户主密钥 用户主密钥管理 管理用户主密钥生命周期,查询用户主密钥相关信息。KMS API 无 密钥版本管理 对用户主密钥进行密钥轮转,查询密钥版本信息。别名管理 管理别名的声明周期,查询别名相关...
API概览
密钥接口 使用KMS提供的密钥接口前,请关注以下信息:AdvanceEncrypt、AdvanceDecrypt、AdvanceGenerateDataKey和GenerateDataKey:KMS密钥应为对称密钥。Encrypt和Decrypt:KMS密钥可以为对称密钥,也可以为非对称密钥。Sign、Verify和...
密钥轮转概述
密钥常用于保护特定的数据,因此,数据的安全依赖于密钥的安全。您可以通过密钥版本化和定期轮转来加强密钥使用的安全性,实现数据保护的安全策略和最佳实践。实现安全目标 您可以通过周期性轮转密钥,达成以下安全目标:减少每个密钥加密...
密钥管理服务支持被审计的事件说明
密钥管理服务已与操作审计服务集成,您可以在操作审计中查询用户操作密钥管理服务产生的管控事件。密钥管理服务支持将管控事件投递到日志服务SLS的LogStore或对象存储OSS的存储空间中,满足实时审计、问题回溯分析等需求。密钥管理服务记录...
UpdateKeyDescription
调用UpdateKeyDescription接口更新主密钥的描述信息。将主密钥(CMK)的描述信息(DescribeKey 接口中的Description属性)替换为用户传入的值。使用此API可以对密钥的描述信息进行添加、变更、删除操作。调试 您可以在OpenAPI Explorer中...
密钥策略概述
密钥策略是基于资源的策略,用于控制哪些阿里云账号、RAM用户、RAM角色有权限来管理或使用KMS密钥,KMS实例中的每个密钥必须有且只有一个密钥策略。本文介绍密钥策略的详细信息。密钥策略与访问控制RAM的权限策略的关系 密钥策略支持将当前...
密钥管理服务支持被审计的事件说明
密钥管理服务已与操作审计服务集成,您可以在操作审计中查询用户操作密钥管理服务产生的管控事件。密钥管理服务支持将管控事件投递到日志服务SLS的LogStore或对象存储OSS的存储空间中,满足实时审计、问题回溯分析等需求。密钥管理服务记录...
UpdateRotationPolicy
以下密钥不允许配置自动轮转策略:非对称密钥 服务密钥 用户自带密钥(外部导入到KMS的密钥)不处于 Enabled 状态的密钥 本文将提供一个示例,为密钥ID为 1234abcd-12ab-34cd-56ef-12345678*的用户主密钥开启自动轮转,自动轮转的时间周期...
禁用密钥
密钥创建完成后,默认为启用状态。您可以禁用密钥,被禁用的密钥无法用于加密和解密。操作步骤 登录 密钥管理服务控制台。在页面左上角的地域下拉列表,选择密钥所在的地域。在左侧导航栏,单击 用户主密钥。找到待禁用的密钥,单击右侧 ...
UpdateKeyDescription
调用UpdateKeyDescription接口更新主密钥的描述信息。将主密钥(CMK)的描述信息(DescribeKey 接口中的Description属性)替换为用户传入的值。使用此API可以对密钥的描述信息进行添加、变更、删除操作。调试 您可以在OpenAPI Explorer中...
别名概述
当一个别名与某一个用户主密钥相关联时,在以下API接口中,可以将访问参数中的密钥ID用别名代替:DescribeKey Encrypt GenerateDataKey GenerateDataKeyWithoutPlaintext 说明 当RAM用户使用别名代替密钥ID进行上述操作时,RAM用户必须拥有...
服务端集成加密概述
选择合适的密钥 您可以根据数据保护需求,选择托管在KMS中的不同类型密钥用于服务端加密:服务托管的密钥 如果您介意密钥管理带来的开销,云产品可以为您在KMS中托管一个用于服务端加密的默认密钥,称为服务密钥。服务密钥由对应云产品管理...
入门概述
开通密钥管理服务 管理和使用密钥 创建密钥 在密钥管理服务中创建密钥。创建密钥 使用密钥 使用密钥加密云服务,保护云上数据安全。使用KMS加密云服务 数据加密代码开发示例 管理和使用凭据 创建凭据 在密钥管理服务中创建凭据。创建凭据 ...
设置密钥策略
您可以在密钥策略中添加或删除RAM用户、RAM角色,以设置密钥的管理员和使用者。本文介绍如何设置密钥策略。注意事项 仅KMS实例中的密钥支持密钥策略。您可以在创建密钥时设置密钥策略,也可以在创建后进行设置。创建时设置,请参见 创建...
同步主实例中的资源
同步密钥的密钥ID、密钥版本、密钥材料、密钥状态、删除保护,不同步密钥策略、密钥别名、密钥标签。重要 对配置了跨地域同步的密钥进行轮转时,KMS会先将创建的密钥版本同步到副本实例,然后再将主实例、副本实例的该密钥版本修改为主版本...
管理密钥别名
密钥别名(Key Alias)是指特定密钥的简称,是密钥的可选标识。您可以在API接口调用中使用别名来代替密钥ID,方便您管理密钥。本文介绍如何创建及管理密钥的别名。注意事项 别名必须拥有前缀 alias/。除前缀以外,长度为1~255个字符,支持...
GenerateAndExportDataKey
调用GenerateAndExportDataKey接口随机生成一个数据密钥,通过您指定的主密钥(CMK)和公钥加密后,返回CMK加密数据密钥的密文和公钥加密数据密钥的密文。注意事项 非KMS实例中的密钥:进行密码运算时,仅支持通过阿里云SDK调用OpenAPI。...
人工轮转主密钥
如果您使用的密钥类型不支持基于密钥版本的自动轮转,您可以基于使用场景,直接轮转使用的用户主密钥(CMK),通过人工的方式实现密钥轮转。由于这种方式建立在CMK之上,对于支持和不支持自动轮转的CMK而言,都可以作为特殊场景下的替代...
常见问题
密钥管理常见问题 KMS是否支持删除密钥 用户主密钥(CMK)删除后,使用该密钥加密的用户数据及产生的数据密钥是否还可以解密 KMS如何保障密钥的安全性 KMS是否支持导入密钥材料 密钥状态为不可用或调用密钥相关API时返回“Rejected....
创建密钥
您可以通过Terraform创建并管理密钥。本文以创建密钥为例进行介绍。概述 KMS支持您创建默认密钥(主密钥),该密钥不需要购买KMS实例即可创建,也支持您在KMS实例中创建密钥。关于密钥的更多信息,请参见 密钥服务概述。了解更多关于密钥...
什么是密钥管理服务
密钥管理服务KMS(Key Management Service)是您的一站式密钥管理和数据加密服务平台、一站式凭据安全管理平台,提供简单、可靠、安全、合规的数据加密保护和凭据管理能力。KMS帮助您降低在密码基础设施、数据加解密产品和凭据管理产品上的...
ReEncrypt
即先将密文解密,然后将解密得到的数据或者数据密钥使用新的主密钥再次进行加密,返回加密结果。注意事项 非KMS实例中的密钥:进行密码运算时,仅支持通过阿里云SDK调用OpenAPI。KMS实例中的密钥:进行密码运算时,支持如下两种方式。方式...
备份管理
密钥管理服务KMS(Key Management Service)支持密钥和凭据数据备份管理功能,在误删除、容灾等场景下,可以帮助您快速恢复数据,避免数据丢失。本文介绍如何备份和恢复数据。支持的实例类型 仅软件密钥管理实例支持。重要 如果您的KMS软件...
ReEncrypt
即先将密文解密,然后将解密得到的数据或者数据密钥使用新的主密钥再次进行加密,返回加密结果。注意事项 非KMS实例中的密钥:进行密码运算时,仅支持通过阿里云SDK调用OpenAPI。KMS实例中的密钥:进行密码运算时,支持如下两种方式。方式...
GenerateAndExportDataKey
调用GenerateAndExportDataKey接口随机生成一个数据密钥,通过您指定的主密钥(CMK)和公钥加密后,返回CMK加密数据密钥的密文和公钥加密数据密钥的密文。注意事项 非KMS实例中的密钥:进行密码运算时,仅支持通过阿里云SDK调用OpenAPI。...
Decrypt
调用Decrypt接口将密文解密为明文。使用说明 当您调用 Encrypt 或 GenerateDataKey 接口生成密文后,可以通过Decrypt解密。不同密钥规格对应的加密算法与填充模式如下表所示。...错误码 关于错误码的更多信息,请参见 公共错误码。
托管密码机概述
通过将密钥托管在这些高安全等级的硬件设备中,可以保护您在阿里云上最敏感的计算任务和资产。说明 硬件密码机也叫硬件安全模块(Hardware Security Module,简称HSM)。您无需单独购买硬件密码机,只需关注硬件密码机是否能满足您的合规...
开启删除保护
当您为密钥开启删除保护后,将无法通过控制台或API删除该密钥,从而避免误删除密钥。本文为您介绍如何开启删除保护。前提条件 请确保您已经创建了密钥,且密钥不处于待删除状态。具体操作,请参见 创建密钥。操作步骤 登录 密钥管理服务...
将用户主密钥从KMS默认实例迁移至您独享的KMS实例
如果您使用的是KMS默认实例中的用户主密钥,当密钥配额以及QPS不能满足业务要求时,可以购买KMS软件密钥管理实例或硬件密钥管理实例,并将密钥迁移到实例中。本文介绍如何迁移用户主密钥。迁移前须知 仅KMS默认实例中的用户主密钥(简称主...
导入非对称密钥材料
您可以将源环境(通常为线下的密钥管理设施KMI,或者线下的硬件安全模块HSM)生成的非对称密钥导入专属KMS标准版实例。本文介绍如何将非对称密钥材料导入专属KMS标准版实例。背景信息 您可以调用 DescribeKey 接口判断非对称密钥材料来源。...
创建别名
别名是用户主密钥(CMK)的可选标识符。您可以为密钥创建别名,方便您管理密钥。背景信息 别名必须拥有前缀 alias/。除前缀以外,长度为1~255个字符,支持英文字母、数字、下划线(_)、短划线(-)以及正斜线(/)。当RAM用户创建别名时,...
ListKeys
调用ListKeys查询调用者在调用地域的所有主密钥ID。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。请求参数 名称 类型 是否必选 示例值 描述 Action ...
使用RAM实现对资源的访问控制
密钥服务接口 KMS接口 Action 资源类型 ListKeys kms:ListKeys 抽象密钥容器 CreateKey kms:CreateKey 抽象密钥容器 DescribeKey kms:DescribeKey 密钥 UpdateKeyDescription kms:UpdateKeyDescription 密钥 EnableKey kms:EnableKey 密钥 ...
- 产品推荐
- 这些文档可能帮助您