密钥管理系统(Key Management Service,KMS)是一款安全管理类服务,使用经过第三方认证的硬件安全模块 HSM(Hardware Security Module) 来生成和保护密钥。帮助用户轻松创建和管理密钥,满足用户多应用多业务的密钥管理需求,助力用户落实合规要求。
下图所示为密钥管理系统(KMS)产品架构图:


核心功能
密钥全生命周期管理
支持密钥生成、存储、轮换、归档、销毁等全流程管理,可通过控制台或 API 灵活配置策略。
计划删除缓冲:支持密钥的计划删除(7-30 天缓冲期),并支持本地备份导入的外部密钥材料。
加密能力
敏感数据加密:直接加密小于4KB 的敏感信息(如 API 密钥、证书),确保数据明文不落盘。
信封加密:通过数据密钥(DEK)与根密钥(CMK)结合,实现本地高性能加密,减少对业务性能的影响,适合海量数据场景。
非对称加密:支持 RSA 等非对称密钥管理,适用于数字签名、加密通信场景需求。
BYOK(Bring Your Own Key)方案
自主控制:允许用户导入自有密钥材料生成外部密钥 CMK,实现对密钥的完全自主管理。
云服务集成
透明加密:与对象存储(COS)、云硬盘(CBS)、数据库(TencentDB/CDB)等腾讯云产品无缝集成,用户只需选择 KMS 托管的密钥,无需关心加密的细节,即可实现透明的云上数据加解密。
凭据管理:与凭据管理系统(SSM)结合,实现数据库密码、Token 等敏感凭据的集中托管与加密存储。
权限控制与审计
细粒度权限:与访问管理(CAM)集成,支持资源级授权,精确控制用户 / 角色对密钥的访问权限。
操作审计:集成操作审计,记录所有密钥操作与 API 调用日志,支持自定义日志留存时间以落实合规审计需求。