KEYSET_FROM_JSON
KEYSET_TO_JSON 将BINARY类型的密钥Keyset转化为可读的JSON格式,以便查看密钥Keyset详情。ROTATE_KEYSET 系统自动生产一个新密钥并将新密钥设置为主密钥。NEW_WRAPPED_KEYSET 将有权使用KMS用户主密钥资源名称(kms_cmk_arn)角色的 role_...
NEW_KEYSET
description:可选,数据密钥的描述。返回值说明 返回BINARY类型的KeySet。说明 若您有需要,可以通过 HEX 将BINARY类型转换为STRING类型,通过 UNHEX 将STRING类型转化为BINARY类型。使用示例 select hex(NEW_KEYSET('AES-GCM-256','hello...
ADD_KEY_TO_KEYSET
KEYSET_TO_JSON 将BINARY类型的密钥Keyset转化为可读的JSON格式,以便查看密钥Keyset详情。KEYSET_FROM_JSON 将JSON类型的keyset转化为BINARY类型。ROTATE_KEYSET 系统自动生产一个新密钥并将新密钥设置为主密钥。NEW_WRAPPED_KEYSET 将...
ROTATE_KEYSET
description:可选,数据密钥的描述。返回值说明 返回BINARY类型的KeySet。说明 若您有需要,可以通过 HEX 将BINARY类型转换为STRING类型,通过 UNHEX 将STRING类型转化为BINARY类型。使用示例 select ROTATE_KEYSET(unhex('0A1072384D715A...
客户端加密
免责声明 使用客户端加密功能时,您需要对主密钥的完整性和正确性负责。因您维护不当导致主密钥用错或丢失,从而导致加密数据无法解密所引起的一切损失和后果均由您自行承担。在对加密数据进行复制或者迁移时,您需要对加密元数据的完整性...
计划删除密钥
用户主密钥(CMK)一旦删除,将无法恢复,使用该CMK加密的内容及产生的数据密钥也将无法解密。因此,对于CMK的删除,KMS只提供计划删除的方式,而不提供直接删除的方式。...您可以选择 更多>取消删除密钥 来撤销删除密钥的申请。
使用KMS密钥进行信封加密
应用程序将数据密文、数据密钥密文、KMS的密钥(即用于生成数据密钥的密钥)和加密参数(包含生成数据密钥时的加密算法以及IV)进行保存。信封解密流程 应用程序通过KMS实例SDK调用 Decrypt 接口解密数据密钥密文,得到数据密钥明文,然后...
对称加密概述
加解密特性 调用 Encrypt、ReEncrypt、GenerateDataKey 或 GenerateDataKeyWithoutPlaintext 接口加密时,您只需指定用户主密钥的标识符(或别名),KMS使用指定的用户主密钥完成加密后,返回密文数据。调用 Decrypt 接口进行解密时,您只...
API概览
密钥服务接口 用户主密钥管理 密钥管理接口用于密钥的创建、属性修改以及生命周期管理。API 描述 CreateKey 创建用户主密钥。用户可以选择由KMS生成密钥材料,也可以选择自己上传密钥材料(即是BYOK,此时 CreateKey 是BYOK的第一步)。...
GenerateDataKey
使用说明 概述 本接口通过随机数生成器产生数据密钥,使用KMS密钥的初始版本对数据密钥加密,并返回数据密钥的明文和密文。您可以使用返回的数据密钥明文(Plaintext),在KMS之外对数据进行加密。请保存数据密钥密文(CiphertextBlob)、...
加密函数
多密钥加密:MaxCompute密钥管理对象Keyset,可以存放1个或多个密钥,您可以手动在Keyset中增加密钥,密钥的轮转和查看原始密钥。MaxCompute SQL多密钥加解密函数介绍如下。函数 功能 NEW_KEYSET 根据指定的算法类型,创建对应的密钥Keyset...
密钥轮转
如果在定期轮转密钥的基础上,将旧密钥加密的密文数据用新密钥重新加密,则轮转周期即为一个密钥的破解时间窗口。这意味着恶意者只有在两次轮转事件之间完成破解,才能拿到数据。这对于保护数据不受密码分析攻击具有很强的实践意义。满足...
AdvanceGenerateDataKey
使用说明 概述 本接口通过随机数生成器产生数据密钥,使用KMS密钥的主版本对数据密钥加密,并返回数据密钥的明文和密文。您可以使用返回的数据密钥明文(Plaintext),在KMS之外对数据进行加密。请保存数据密钥密文和认证数据(Aad),以便...
导入对称密钥材料
当您为专属KMS标准版实例创建对称密钥材料来源为外部的密钥时,专属KMS不会为您创建的用户主密钥(CMK)在密码机集群生成对称密钥材料,此时您可以将自己的对称密钥材料导入到CMK中。本文为您介绍如何导入外部对称密钥材料。背景信息 您...
服务端集成加密概述
阿里云的存储加密功能提供了256位密钥的存储加密强度(AES256),满足敏感数据的加密存储需求。云产品和KMS在服务端的集成为您带来了如下收益:增加云上数据的安全和隐私 通过使用您在KMS中管理的密钥,云产品可以加密任何归属于您的数据。...
云产品集成KMS加密概述
服务密钥的生命周期由云产品代您管理,您不能在KMS控制台对它进行启用、禁用等管理操作,但可以在操作审计控制台查看服务密钥的操作和使用记录。用户自行创建 默认密钥(主密钥)在密钥管理服务控制台启用主密钥,具体操作,请参见 默认...
AdvanceGenerateDataKeyPairWithoutPlaintext
使用说明 本接口通过随机数生成器产生数据密钥对,使用对称密钥的 主版本 对数据密钥对加密,并返回数据密钥对的公钥明文、私钥明文、私钥密文。您可以使用数据密钥对,在KMS之外进行签名验签。请保存私钥密文(PrivateKeyCiphertextBlob)...
禁用密钥
密钥创建完成后,默认为启用状态。您可以禁用密钥,被禁用的密钥无法用于加密和解密。操作步骤 登录 密钥管理服务控制台。在页面左上角的地域下拉列表,选择密钥所在的地域。在左侧导航栏,单击 用户主密钥。找到待禁用的密钥,单击右侧 ...
GenerateDataKeyPairWithoutPlaintext
本接口通过随机数生成器产生数据密钥对,使用对称密钥的 初始版本 对数据密钥对加密,并返回数据密钥对的公钥明文、私钥密文,不返回私钥明文。您可以使用数据密钥对,在KMS之外进行签名验签。请保存私钥密文(PrivateKeyCiphertextBlob)...
AdvanceGenerateDataKeyPair
使用说明 本接口通过随机数生成器产生数据密钥对,使用对称密钥的 主版本 对数据密钥对加密,并返回数据密钥对的公钥明文、私钥明文、私钥密文。您可以使用数据密钥对,在KMS之外进行签名验签。请保存私钥密文(PrivateKeyCiphertextBlob)...
GenerateDataKeyPair
使用说明 本接口通过随机数生成器产生数据密钥对,使用对称密钥的 初始版本 对数据密钥对加密,并返回数据密钥对的公钥明文、私钥明文、私钥密文。您可以使用数据密钥对,在KMS之外进行签名验签。请保存私钥密文(PrivateKeyCiphertextBlob...
API概览
将密钥的状态设置为待删除状态,处于待删除状态的密钥,会在计划日期到期后删除。CancelKeyDeletion 取消计划删除。处于待删除状态的密钥,在计划的日期到期之前,可以取消删除的计划,重新设置密钥状态为启用。DeleteKeyMaterial 删除密钥...
查看密钥策略
本文介绍如何查看密钥的密钥策略。注意事项 仅KMS实例中的密钥支持密钥策略。您可在创建密钥时设置密钥策略,也可在创建后进行修改,具体请参见 创建密钥、设置密钥策略。通过控制台查看 登录 密钥管理服务控制台,在顶部菜单栏选择地域后...
人工轮转主密钥
您可以通过KMS提供的密钥别名功能,实现对应用中加密密钥的轮转。KMS的解密API不需要您提供密钥的ID或者别名。这一抽象的轮转场景包括以下步骤:初始设置 管理员创建CMK,假定ID为CMK-A。管理员为上述CMK-A绑定别名alias/MyAppKey。应用...
密钥管理常见问题
本文介绍您在使用密钥的过程中可能遇到的问题。问题列表 KMS是否支持删除密钥 用户主密钥(CMK)删除后,使用该密钥加密的用户数据及产生的数据密钥是否还可以解密 KMS如何保障密钥的安全性 KMS是否支持导入密钥材料 密钥状态为不可用或...
GenerateDataKey
使用说明 GenerateDataKey接口将返回数据密钥的明文和密文。您可以使用返回的数据密钥明文(Plaintext),在KMS之外对数据进行加密。由于KMS不会记录或存储随机生成的数据密钥,因此您在存储加密后的数据时,也需要存储数据密钥的密文...
导入对称密钥材料
如果密钥的密钥材料过期或被删除,您可以为密钥再次导入相同的密钥材料,使得该密钥再次可用,导入密钥材料后不支持导出,因此请您妥善保管密钥材料。前提条件 已购买和启用KMS硬件密钥管理实例。具体操作,请参见 购买和启用KMS实例。说明...
管理SCIM密钥
本文为您介绍如何创建、禁用、启用、删除和轮转SCIM密钥的操作。使用限制 SCIM密钥只在创建时显示,不支持查询。所以您需要及时保存SCIM密钥。一个云SSO目录内最多创建2个SCIM密钥。创建SCIM密钥 新创建的SCIM密钥,默认处于启用状态。登录...
密钥管理类型和密钥规格
支持的对称密钥规格 对称密钥加密是最常用的敏感数据加密保护方式之一,加密过程和解密过程使用相同的密钥内容,KMS可以安全保管对称密钥的密钥材料以防止被非法窃取或使用,确保被加密数据的安全。对称密钥主要用于数据的加密保护场景,...
产品优势
审计密钥的使用 KMS通过与操作审计(ActionTrail)集成,可以查看近期KMS的使用状况,也可以将KMS使用情况存储到OSS等其他云服务中,满足更长周期的审计需求。更多信息,请参见 使用操作审计查询密钥管理服务的操作事件。控制云产品集成...
管理密钥
因此,KMS只提供计划删除密钥的方式,而不提供直接删除的方式。如果需要删除密钥,推荐您使用禁用密钥功能。说明 请确保密钥已经关闭删除保护。登录 密钥管理服务控制台。在页面左上角的地域下拉列表,选择专属KMS标准版实例所在的地域。在...
【更新公告】可观测监控 Prometheus 版大盘更新公告
若您需要保存旧版大盘,您可以在Grafana大盘页面的JSON Model中自行保存旧版大盘的JSON文件,然后通过新建新版大盘,将新版大盘的JSON文件替换为旧版大盘的JSON文件,以恢复旧版大盘数据。具体操作如下:打开 Grafana大盘概览页。说明 您...
密钥管理服务如何删除密钥
因此,对于主密钥的删除,KMS只提供计划删除密钥的方式(周期为7~30天),而不提供直接删除的方式,详情请参见 计划删除密钥。如果您有删除密钥方面的需求,推荐您使用禁用密钥功能,详情请参见 禁用密钥。适用于 密钥管理服务
【更新公告】可观测监控 Prometheus 版大盘更新公告
若您需要保存旧版大盘,您可以在Grafana大盘页面的JSON Model中自行保存旧版大盘的JSON文件,然后通过新建新版大盘,将新版大盘的JSON文件替换为旧版大盘的JSON文件,以恢复旧版大盘数据。具体操作如下:打开 Grafana大盘概览页。说明 您...
JSON_VALID
检查字符串是否为合法的JSON格式。命令格式 boolean json_valid(<json>)参数说明 json:必填,待处理的JSON字符串。返回值说明 返回BOOLEAN类型的true或者false。使用示例 示例1:检查"abc"是否为合法的JSON格式字符串。select json_valid...
基本概念
硬件安全模块HSM(Hardware Security Module)硬件安全模块,是一种执行密码运算、安全生成和存储密钥的硬件设备。密码机是构建IT系统时最常用的一种硬件安全模块。KMS支持集成您在阿里云加密服务的密码机集群,为您在KMS托管的密钥提供更...
使用托管密码机
aliyun kms CreateKey-ProtectionLevel HSM-Description"Key1 in Managed HSM"调用 DescribeKey,查看密钥的保护级别。aliyun kms DescribeKey-KeyId 1234abcd-12ab-34cd-56ef-12345678*预期输出:{"KeyMetadata":{"CreationDate":"2019-07...
密钥服务概述
密钥服务是KMS的核心组件,支持管理软件密钥、硬件密钥、默认密钥,提供密钥的全生命周期管理和安全存储能力,同时支持基于云原生接口的极简数据加密和数字签名。本文介绍KMS提供的密钥管理类型及密码运算API。密钥管理类型 KMS提供默认...
密钥轮转概述
密钥常用于保护特定的数据,因此,数据的安全依赖于密钥的安全。您可以通过密钥版本化和定期轮转来加强密钥使用的安全性,实现数据保护的安全策略和最佳实践。实现安全目标 您可以通过周期性轮转密钥,达成以下安全目标:减少每个密钥加密...
密钥管理服务支持被审计的事件说明
密钥管理服务已与操作审计服务...GenerateAndExportDataKey 随机生成一个数据密钥,通过您指定的密钥(CMK)和公钥加密后,返回CMK加密数据密钥的密文和公钥加密数据密钥的密文。GenerateDataKey 生成一个随机的数据密钥,用于本地数据加密。...
- 产品推荐
- 这些文档可能帮助您