人工轮转主密钥
人工轮转密钥 管理员创建新的CMK,假定ID为CMK-B。管理员调用 UpdateAlias,将别名alias/MyAppKey绑定到CMK-B。应用加密模块调用 Encrypt 接口时,在 KeyId 参数传入别名 alias/MyAppKey:KMS发现alias/MyAppKey绑定了ID为CMK-B的主密钥,...
自动轮转密钥
本文为您介绍如何对密钥管理服务(KMS)中的用户主密钥(CMK)进行自动轮转。密钥版本 KMS中的CMK支持多个密钥版本。...KMS通过生成一个新的密钥版本来实现...说明 对于上述不支持基于版本进行密钥轮转的场景,替代方案请参见 人工轮转主密钥。
密钥轮转
主密钥 设置方式 说明 通过控制台 在 密钥管理 的 默认密钥 页签,单击主密钥的ID。在详情页面下方,单击 密钥版本 页签,然后单击 设置轮转。在 设置轮转策略 对话框,打开 轮转状态 开关,单击 确定。密钥详情页面,轮转状态 变更为 已...
密钥管理服务设置主密钥自动轮转
密钥管理服务中的用户主密钥已设置自动轮转,视为“合规”。应用场景 确保业务对主密钥自动轮转的适应性,为主密钥设置自动轮转可有效降低密钥的泄露风险,提升系统安全性。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际...
API概览
密钥版本管理 密钥版本管理接口用于对主密钥进行密钥轮转。API 描述 DescribeKeyVersion 查看一个密钥版本。ListKeyVersions 列出主密钥的所有密钥版本。UpdateRotationPolicy 更新对称主密钥的轮转策略。如果配置自动轮转,KMS将周期性...
ReEncrypt
自动轮转密钥详情,请参见 自动轮转密钥。主密钥不变,改变加密上下文的内容,进行重新加密。将主密钥加密的数据或者数据密钥在KMS内部使用其它的主密钥进行重新加密。ReEncrypt权限设置如下:需要有操作源主密钥的kms:ReEncryptFrom权限。...
ReEncrypt
自动轮转密钥详情,请参见 自动轮转密钥。主密钥不变,改变加密上下文的内容,进行重新加密。将主密钥加密的数据或者数据密钥在KMS内部使用其它的主密钥进行重新加密。ReEncrypt权限设置如下:需要有操作源主密钥的kms:ReEncryptFrom权限。...
数据加密
作为额外的保护,它使用定期轮转的主密钥对加密密钥本身进行加密。该方式适合于批量数据的加解密。该加密方式下,数据加密密钥的生成和管理由OSS负责。您可以将Bucket默认的服务器端加密方式设置为AES-256,也可以在上传Object或修改Object...
将用户主密钥从KMS默认实例迁移至您独享的KMS实例
不支持迁移的场景:自行导入密钥材料(即BYOK方式)的主密钥 开启了自动轮转的主密钥 重要 如果您的密钥开启了自动轮转,但只有一个密钥版本,关闭自动轮转后支持迁移。有多个密钥版本的主密钥 本文适用于应用部署在阿里云上,如果您的应用...
阿里云卓越架构安全支柱最佳实践
密钥管理服务设置凭据自动轮转 密钥管理服务中的凭据设置自动轮转,视为“合规”。NAS文件系统设置了加密 NAS文件系统设置了加密,视为“合规”。OSS存储空间开启日志转存 OSS存储空间的日志管理中开启日志转存,视为“合规”。OSS存储空间...
服务器端加密
为了提升安全性,OSS还会使用定期轮转的主密钥对加密密钥本身进行加密。OSS负责生成和管理数据加密密钥,并采用高强度、多因素的安全措施进行保护。配置方式如下:配置云盒Bucket默认加密方式 配置云盒Bucket默认加密方式为SSE-OSS,并指定...
RMiT金融标准检查合规包
密钥管理服务设置主密钥自动轮转 对密钥管理服务中的用户主密钥设置自动轮转,视为“合规”。使用专有网络服务的Elasticsearch实例 如果指定参数,则检查Elasticsearch实例关联的专有网络在指定参数范围内视为“合规”;如果未指定参数,则...
API概览
场景大类 细分场景 描述 API选型 API区别 用户主密钥 用户主密钥管理 管理用户主密钥生命周期,查询用户主密钥相关信息。KMS API 无 密钥版本管理 对用户主密钥进行密钥轮转,查询密钥版本信息。别名管理 管理别名的声明周期,查询别名相关...
PCI-DSS数据安全标准合规包
密钥管理服务设置凭据自动轮转 密钥管理服务中的凭据设置自动轮转,视为“合规”。密钥管理服务设置主密钥自动轮转 对密钥管理服务中的用户主密钥设置自动轮转,视为“合规”。KMS主密钥开启删除保护 KMS主密钥开启删除保护,视为“合规”...
服务器端加密
OSS会为每个对象使用不同的密钥进行加密,作为额外的保护,它将使用定期轮转的主密钥对加密密钥本身进行加密。重要 同一个Object在同一时间内仅可以使用一种服务器端加密方式。如果配置了Bucket加密,仍然可以在上传或拷贝Object时单独对...
服务器端加密
OSS会为每个Object使用不同的密钥进行加密,作为额外的保护,OSS会使用定期轮转的主密钥对加密密钥本身进行加密。KMS:使用KMS默认托管的CMK或指定CMK ID进行加解密操作。使用KMS加密方式前,需要开通KMS服务。具体操作,请参见 开通密钥...
服务器端加密
OSS会为每个对象使用不同的密钥进行加密,作为额外的保护,它将使用定期轮转的主密钥对加密密钥本身进行加密。重要 同一个Object在同一时间内仅可以使用一种服务器端加密方式。如果配置了Bucket加密,仍然可以在上传或拷贝Object时单独对...
非对称密钥概述
密钥版本 由于公私钥使用场景的特殊性,KMS不支持对非对称的用户主密钥进行自动轮转。您可以调用 CreateKeyVersion 接口,在指定用户主密钥中创建新的密钥版本,生成全新的一对公钥和私钥。如果您使用新的版本进行数字签名或者数据加密,则...
UpdateRotationPolicy
以下密钥不允许配置自动轮转策略:非对称密钥 服务密钥 用户自带密钥(外部导入到KMS的密钥)不处于 Enabled 状态的密钥 本文将提供一个示例,为密钥ID为 1234abcd-12ab-34cd-56ef-12345678*的用户主密钥开启自动轮转,自动轮转的时间周期...
别名概述
每个别名只能指向同地域的一个用户主密钥,但是每个用户主密钥可以拥有多个别名。一个别名一定会指向一个用户主密钥,但是别名是独立于用户主密钥存在的一个资源。别名的特点如下:可以调用 UpdateAlias 接口更改别名关联的用户主密钥,而...
KMS主密钥开启删除保护
KMS主密钥开启删除保护,视为“合规”。应用场景 开启删除保护,避免KMS主密钥在误操作中被删除,影响业务运行。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 KMS主密钥开启删除保护,视为...
KMS主密钥未设置为待删除
KMS主密钥未设置为待删除,视为“合规”。应用场景 确保使用中的主密钥未设置为待删除,避免因误操作被删除,影响业务运行。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 KMS主密钥未设置为...
客户端加密
OSS客户端加密是在数据上传至OSS...nil { fmt.Println("Error:",err)os.Exit(-1)} } 解密使用主密钥为不同的RSA加密的Object 解密使用主密钥为不同的RSA加密的Object示例代码如下:package main import("bytes""fmt""io/ioutil""os""github....
UpdateKeyDescription
调用UpdateKeyDescription接口更新主密钥的描述信息。将主密钥(CMK)的描述信息(DescribeKey 接口中的Description属性)替换为用户传入的值。使用此API可以对密钥的描述信息进行添加、变更、删除操作。调试 您可以在OpenAPI Explorer中...
UpdateKeyDescription
调用UpdateKeyDescription接口更新主密钥的描述信息。将主密钥(CMK)的描述信息(DescribeKey 接口中的Description属性)替换为用户传入的值。使用此API可以对密钥的描述信息进行添加、变更、删除操作。调试 您可以在OpenAPI Explorer中...
不使用外部来源KMS主密钥
KMS主密钥创建来源不是外部,视为“合规”。应用场景 不使用外部来源的KMS密钥,有着更高的安全性和可靠性,并且管理更方便、成本更低、灵活性更强,同时还能避免潜在的法律风险。风险等级 默认风险等级:中风险。当您使用该规则时,可以...
DisableKey
调用DisableKey接口禁用指定的主密钥(CMK)进行加解密。使用说明:禁用主密钥后,原来使用该主密钥加密的密文无法解密。您可以调用 EnableKey 将主密钥恢复至启用状态,然后解密密文。本文将提供一个示例,禁用ID为 1234abcd-12ab-34cd-56...
DisableKey
调用DisableKey接口禁用指定的主密钥(CMK)进行加解密。使用说明:禁用主密钥后,原来使用该主密钥加密的密文无法解密。您可以调用 EnableKey 将主密钥恢复至启用状态,然后解密密文。本文将提供一个示例,禁用ID为 1234abcd-12ab-34cd-56...
对称加密概述
加解密特性 调用 Encrypt、ReEncrypt、GenerateDataKey 或 GenerateDataKeyWithoutPlaintext 接口加密时,您只需指定用户主密钥的标识符(或别名),KMS使用指定的用户主密钥完成加密后,返回密文数据。调用 Decrypt 接口进行解密时,您只...
创建别名
别名是用户主密钥(CMK)的可选标识符。您可以为密钥创建别名,方便您管理密钥。背景信息 别名必须拥有前缀 alias/。除前缀以外,长度为1~255个字符,支持英文字母、数字、下划线(_)、短划线(-)以及正斜线(/)。当RAM用户创建别名时,...
密钥管理服务控制台无法创建用户主密钥
问题描述 在密钥管理服务控制台中,创建密钥时,在左侧导航栏无 用户主密钥 选项,无法创建密钥。问题原因 KMS已经升级为专属KMS,需要购买专属KMS标准版才能使用用户主密钥功能。解决方案 请执行以下操作,购买专属KMS,更多信息请参见 ...
DeleteKeyMaterial
此操作不会删除密钥材料对应的主密钥(CMK)。如果主密钥处于待删除状态,删除密钥材料不会改变密钥状态和预计删除时间;如果主密钥不处于待删除状态,删除密钥材料会使得密钥状态变更为等待导入。删除密钥材料后,您可以重新导入密钥材料...
DeleteKeyMaterial
此操作不会删除密钥材料对应的主密钥(CMK)。如果主密钥处于待删除状态,删除密钥材料不会改变密钥状态和预计删除时间;如果主密钥不处于待删除状态,删除密钥材料会使得密钥状态变更为等待导入。删除密钥材料后,您可以重新导入密钥材料...
ScheduleKeyDeletion
调用ScheduleKeyDeletion接口申请删除一个指定的主密钥(CMK)。在密钥预删除期间,密钥状态处于待删除状态,无法用于加密、解密、产生数据密钥操作。主密钥一旦删除,将无法恢复,使用该主密钥加密的内容及产生的数据密钥也将无法解密。...
ScheduleKeyDeletion
调用ScheduleKeyDeletion接口申请删除一个指定的主密钥(CMK)。在密钥预删除期间,密钥状态处于待删除状态,无法用于加密、解密、产生数据密钥操作。主密钥一旦删除,将无法恢复,使用该主密钥加密的内容及产生的数据密钥也将无法解密。...
概述
用户主密钥由通用工具(例如:OpenSSL)随机生成,基础版的Spark全密态计算引擎仅支持使用16字节的字符串(Hex编码)作为主密钥,而高性能版的Spark全密态计算引擎支持使用16、24或32字节的字符串(Base64编码)作为主密钥。使用OpenSSL...
动态ECS凭据概述
凭据管家可以对托管的ECS凭据进行定期或人工轮转,为ECS实例更换高强度口令和公私钥,从而降低ECS凭据泄露的风险。产品优势 凭据管家通过以下技术手段,帮助您实现对ECS凭据的 集中安全管理。加密保护:基于专有硬件的加密保护,保障凭据...
专属KMS基础版和标准版的差异
密钥管理功能 支持进行用户主密钥生命周期管理、用户主密钥授权管理和CMK租户间隔离存储。密钥加密存储于用户独享的数据库。支持进行用户主密钥生命周期管理、用户主密钥授权管理和CMK租户间隔离存储。密钥安全存储于用户独享的硬件安全...
基本概念
用户主密钥CMK(Customer Master Key)用户主密钥CMK(Customer Master Key)指的是由您自主创建和托管在KMS的密钥,简称为“主密钥”。主密钥由密钥ID、基本元数据以及密钥材料组成。默认密钥(Defau lt Key)默认密钥仅可被云产品集成...
客户端加密
使用KMS托管用户主密钥 当使用KMS托管用户主密钥用于客户端数据加密时,无需向OSS加密客户端提供任何加密密钥,只需要在上传Object时指定KMS用户主密钥ID(即CMK ID)。具体工作原理如下图所示。加密并上传Object 获取加密密钥。通过使用...
- 产品推荐
- 这些文档可能帮助您