入门概述

最近更新时间:2019-11-05 14:42:30

密钥管理系统 KMS 提供安全合规的密钥的全生命周期管理和数据加解密能力。

对于用户而言,KMS 服务中涉及的核心密钥组件包括用户主密钥 CMK(Customer Master Key,CMK)、数据加密密钥 DEK(Data Encryption Key,DEK)。其中 CMK 属于用户的一级密钥,CMK 用于对敏感数据的加解密以及 DEK 的派生。DEK 是信封加密流程中的二级密钥,用于加密业务数据的密钥,受用户主密钥 CMK 的保护。

关于使用 CMK 及 DEK 进行业务加解密的场景,请参见 敏感数据加密信封加密最佳实践

密钥概述

用户主密钥 CMK

用户主密钥是 KMS 中的核心资源,这些主密钥经过第三方认证硬件安全模块(HSM)的保护,作为用户加密解密的一级密钥。KMS 服务主要是针对用户主密钥的管理服务。

用户主密钥 CMK 是主密钥的逻辑表示。CMK 包含元数据,例如密钥 ID、创建日期、描述和密钥状态等。通常情况下您可以使用 KMS 的自动生成用户主密钥功能来生成 CMK,同时支持您自有密钥的导入来形成 CMK。

用户主密钥 CMK 包括用户密钥和云产品密钥两种类型:

  • 用户密钥是用户通过控制台或 API 来创建的用户主密钥。您可以对用户密钥进行创建/启用/禁用/轮换/权限控制等操作。
  • 云产品密钥是腾讯云产品/服务(例如 CBS、COS、TDSQL 等)在调用密钥管理系统时,自动为用户创建的 CMK。您可以对云产品密钥进行查询及开启密钥轮换操作,不支持禁用、计划删除操作。

数据加密密钥 DEK

数据加密密钥是基于 CMK 生成的二级密钥,可用于用户本地数据加密解密。
您可以使用 KMS 用户主密钥(CMK)生成 DEK,但是,KMS 不会存储、管理或跟踪您的 DEK,也不会用于 DEK 执行加密操作。您必须在 KMS 之外使用和管理 DEK。

一般 DEK 在信封加密流程中使用,通过 DEK 进行本地业务数据的加密。DEK 受用户主密钥 CMK 保护,可以自定义,也可以通过 GenerateDataKey 接口来创建 DEK。

操作总览

操作 说明
创建密钥 通过控制台快速创建密钥
查看密钥 通过控制台查看密钥 ID 和详情信息
编辑密钥 通过控制台编辑密钥名称、描述信息等
启用禁用密钥 通过控制台启用/禁用密钥
密钥轮换 通过控制台开启密钥轮换
加密解密 通过控制台密钥加密数据
删除密钥 通过控制台快速删除密钥
访问控制 设定子账号管理密钥管理系统的权限