KMS使用经过第三方认证的硬件安全模块(HSM)来生成和保护密钥,对密钥的所有操作都会进行访问控制及日志跟踪,符合国内和国际法律合规的要求。
基于KMS系统可轻松的创建、保护以及执行您的各项密钥管理策略。实现密钥的创建、生成、维护、轮转、删除、使用等生命周期管理。
KMS目前集成了移动云块存储产品,其他云产品持续集成中。您可以通过KMS管理这些服务的密钥,还可以通过KMS API完成本地数据的加密。
您可按需使用、按量支付密钥管理和API调用费用。节约硬件设施采购及维护成本。
通过KMS生成密钥,或者导入外部密钥进行敏感数据加解密服务。您可以禁用、启用密钥、销毁密钥。KMS支持配置自定义轮转策略,帮助您自动化加密密钥的周期性轮转,以增强密钥应用的安全性。
托管密码机通过安全的硬件机制来保护KMS中的密钥。密钥的明文只会在密码机的内部用于密码运算,而不会离开密码机硬件的安全边界。
支持在KMS自行创建密钥,或者导入外部密钥,通过授权云产品使用自选密钥进行数据加密保护,同时可通过KMS对密钥进行全生命周期管理。
敏感信息加密是密钥管理系统核心的能力,实际应用中主要用来保护服务器硬盘上敏感数据的安全(小于4KB),如密钥、证书、配置文件等。
小数据加解密(密钥、证书、后台配置文件等)。可通过KMS界面或者调用KMS的API接口使用指定的用户主密钥直接加密、解密数据。当前支持不大于4KB的小数据加解密。
信封加密(Envelope Encryption)是一种应对海量数据的高性能加解密方案。使用信封加密技术,通过KMS产生两级密钥结构:主密钥和数据密钥,使用数据密钥本地加密业务数据,数据密钥的密文和被加密的业务数据一同存储。解密时,首先解密相应数据密钥密文,获得数据密钥明文后本地解密业务数据。
大量数据(例如:照片、视频或者数据库文件等)加解密。用户可采用信封加密方式加解密数据,无需通过网络传输大量数据即可完成数据加解密。
