入门概述

最近更新时间:2025-05-30 11:28:42

我的收藏
密钥管理系统 提供安全合规的密钥的全生命周期管理和数据加解密能力。
对于用户而言,密钥管理系统 服务中涉及的核心密钥组件包括用户主密钥 CMK(Customer Master Key,CMK)、数据加密密钥 DEK(Data Encryption Key,DEK)。其中 CMK 属于用户的一级密钥,CMK 用于对敏感数据的加解密以及 DEK 的派生。DEK 是信封加密流程中的二级密钥,用于加密业务数据的密钥,受 CMK 的保护。
关于使用 CMK 及 DEK 进行业务加解密的场景,请参见 敏感数据加密信封加密实践教程

密钥概述

用户主密钥 CMK

CMK 是密钥管理系统中的核心资源,这些主密钥经过第三方认证硬件安全模块(HSM)的保护,作为用户加密解密的一级密钥。密钥管理系统服务主要是针对 CMK 的管理服务。
CMK 是主密钥的逻辑表示。CMK 包含元数据,例如密钥 ID、创建日期、描述和密钥状态等。通常情况下您可以使用 密钥管理系统 的自动生成用户主密钥功能来生成 CMK,同时支持您自有密钥的导入来形成 CMK。
CMK 包括用户密钥和云产品密钥两种类型:
用户密钥是用户通过控制台或 API 来创建的 CMK 。您可以对用户密钥进行创建/启用/禁用/轮换/权限控制等操作。
云产品密钥是腾讯云产品/服务(例如 CBS、COS、TDSQL 等)在调用密钥管理系统时,自动为用户创建的 CMK。您可以对云产品密钥进行查询及开启密钥轮换操作,不支持禁用、计划删除操作。

数据加密密钥 DEK

数据加密密钥 是基于 CMK 生成的二级密钥,可用于用户本地数据加密解密。
您可以使用密钥管理系统 CMK 生成 DEK,但是,密钥管理系统不会存储、管理或跟踪您的 DEK,也不会用 DEK 执行加密操作。您必须在密钥管理系统之外使用和管理 DEK。
一般 DEK 在信封加密流程中使用,通过 DEK 进行本地业务数据的加密。DEK 受 CMK 保护,可以自定义,也可以通过 GenerateDataKey 接口来创建 DEK。

操作总览

操作
说明
通过控制台快速创建密钥
通过控制台查看密钥 ID 和详情信息
通过控制台编辑密钥名称、描述信息等
通过控制台启用/禁用密钥
通过控制台开启密钥轮换
通过控制台密钥加密数据
通过控制台快速删除密钥
通过控制台启用取消密钥归档
设定子账号管理密钥管理系统的权限