阿里云密钥管理服务KMS全解析,密钥管理服务KMS是阿里云针对云上数据加密需求设计的密码应用服务,为用户的应用提供符合国密要求的密钥服务及极简应用加解密服务,阿里云百科aliyunbaike.com整理密钥管理费用价格、KMS使用、功能和优势详解
阿里云密钥管理服务KMS密钥管理服务KMS介绍
密钥管理服务(Key Management Service,简称KMS)是阿里云针对云上数据加密需求设计的密码应用服务,为您的应用提供符合国密要求的密钥服务及极简应用加解密服务,助您轻松使用密钥来加密保护敏感的数据资产。可领代金券 aliyun.club 免费领取12张优惠券。
密钥管理优势
- 完整的密钥控制权:阿里云提供了高安全的密钥管理服务专属版,您可以将密钥存储到自己独享的云密码机集群中,拥有云密码机的完整控制权,也就拥有了更高的密钥安全保障,从而也获得更高云上数据安全性保证。
- 严格设计安全合规:密钥管理服务经过严格的安全设计和审核,保证您的密钥在阿里云得到最严格的保护。通过使用具备中国国家密码管理局托管密码机,您可以满足相应的监管与合规要求。
- 广泛的云产品集成:密钥管理服务和云服务器、云数据库、对象存储、文件存储等阿里云产品广泛集成,您可以使用密钥管理服务中的密钥加密这些产品中的数据,帮助您保护敏感的数据资产,增强云产品默认安全能力。
- 可用、可靠、弹性:密钥管理服务在每个地域构建了多可用区冗余的密码计算能力,提供99.9999999999%(12个9)的数据持久性,保证密钥管理服务中的密钥的安全性与稳定性。
密钥产品使用实践和收费价格对照表
| 阿里云百科 | 云产品落盘/透明加密 | 数据字段加密 | AK/SK凭据管理 | 密钥备份与恢复 | 国密改造 |
|---|---|---|---|---|---|
| 适用场景 | 支持阿里云80+云产品包含ECS、RDS、OSS等 | 支持文件、数据字段、证书链等加密 | 支持AK/SK、Token、数据库账号密码等 | 支持对密钥、凭据进行全球多地域进行备份 | 支持国密算法,支持企业国密改造 |
| 加密方式 | 落盘/透明 | 应用加密 | 应用加密 | 不涉及 | 应用加密/落盘/透明加密 |
| 数据访问特点 | 实时访问-云产品调用 | 实时访问/缓存访问 | 实时访问 | 归档后可以实时请求 | 实时访问 |
| 处理性能 | 不限制 | 十万+QPS | 十万+QPS | 不涉及 | 十万+QPS |
| 是否需要集成SDK | 否 | 是 | 是 | 否 | 是 |
| SDK开发语言支持情况 | 不涉及 | JAVA、Go、PHP、Python等 | JAVA、Go、PHP、Python等 | 不涉及 | JAVA、Go、PHP、Python等 |
| Terraform是否支持 | 是 | 是 | 是 | 否 | 否 |
| SLA | 遵循各个云产品 | 99.95% | 99.95% | 99.9999% | 99.95% |
| 计费单元 | 免费 | QPS、密钥数量、VPC等 | QPS、凭据数量 | 备份周期 | QPS、VPC、HSM等 |
| 产品价格 | 0.0元/月 | 2499元/月 | 2748元/月 | 64元/月 | 7699元/月 |
密匙管理产品功能
阿里云密匙管理服务是理想的云上数据加密方案,具有以下功能:
使用权威认证密码机,满足监管合规需求
密钥管理服务密钥的产生基于密码机中安全、高系统熵值为种子的随机数生成算法,从而保护密钥不被攻击者恢复。密钥通过硬件安全机制来保护,密钥明文只在密码机的内部用于密码运算,不会离开密码机硬件的安全边界。
全方位的密钥管理,帮助构建云上密钥管理中心
密钥管理服务提供密钥全生命周期管理,您可以在密钥管理服务生成密钥,或者导入您的自带密钥到托管密码机中(也就是BYOK:Bring Your Own Key),也可以禁用、启用、延迟删除、自动轮转密钥。
极简的应用加密接口,加速用户应用快速集成
密钥管理服务为简化应用使用密码服务,精心设计极简的密码服务接口,提供SM2/SM3/SM4等国密算法或国际算法的对称加解密、非对称加解密、签名验签等密码服务。
和阿里云产品的集成,实现云上数据“默认加密”
密钥管理服务和阿里云产品广泛集成,您可以使用云产品服务托管创建密钥、在KMS控制台自行创建密钥,或者导入外部密钥,对您存放在RDS、ECS、OSS等20多款云产品上的数据进行加密保护,保障您的数据安全。
全面审计密钥的使用,确认密钥被正确使用
您可以通过ActionTrail服务追踪和审计密钥的使用情况,无论是使用云产品使用密钥,还是用户应用使用密钥,您都可以审计调用KMS接口使用密钥的情况。你也可以将日志输出到OSS、日志服务用于长期存储、数据分析、SIEM集成等更多的场景。
密匙管理服务使用场景
敏感数据加密防止被明文拖库:
您部署的互联网应用中存储有用户手机号码、身份证号、银行卡号等用户敏感数据,存在被攻击明文拖库的风险。使用kms提供的极简应用加密服务,在应用层对敏感数据进行加密保护后再存到数据库,增加攻击难度,降低数据批量明文泄露风险。
密匙管理能够解决:
- 敏感数据集中加密存储:敏感数据在数据库持久化存储之前已经被KMS加密,数据加密密钥被密码机的硬件保护机制保护,任何人无法窃取,数据安全性高。
- 业务系统按需解密数据:业务系统需要处理或展示敏感数据时,通过用户鉴权后调用KMS,按需解密数据,整个过程只有业务所需的小部分数据在内存中被解密为明文,数据暴露和泄露风险小。
客户端文件数据加密防泄漏
您的客户端应用需要对文件进行加密后传输或存储。常规将文件传递到密码机加密的方案,加密过程跨互联网,安全难保障,且网络开销导致加密时延较长。使用KMS信封加密技术,KMS负责密钥安全管理和交换,应用调KMS接口在本地完成数据加密,保障文件数据的安全性和加密效率。
密匙管理能够解决:
- 海量数据加密存储OSS:您可以使用OSS客户端加密SDK,用于在上传之前完成对大量数据的加密操作。也可以自行调用KMS实现信封加密。
- NoSQL高并发读写加密后的数据:按照空间或者时间化分,在一定范围内(如:每个表或每5秒钟)使用相同的数据密钥加密,将数据密文在NoSQL中存储。
账密、证书私钥等凭据加密防泄漏
您在云服务器、容器、函数计算等服务部署的应用,需要诸如密码、OAuth Secret、服务器证书私钥等敏感数据。通过KMS在部署前托管凭据,部署后动态使用的方式,保证敏感数据在运维、传输、存储等过程的安全性。
密匙管理能够解决:
- 规避在代码库或配置中泄露密码、密钥等敏感数据。
- 规避研发人员接触密码、密钥等敏感数据,防止人为泄露。
- 自动周期性轮转凭据,提升安全水位,满足规范要求。
- 简化凭据泄露后的应急处置,减少应急部署带来的故障风险。
- 满足对各类凭据的中心化、规模化的安全管理需求。
- 通过各类客户端工具,支持极简的应用接入。
云产品数据服务端加密
云产品集成KMS,使用KMS中的主密钥对云产品的数据进行加密保护。您只需要在云产品的加密配置中,指定所使用的KMS密钥,随后通过RAM配置密钥的使用权限,在ActionTrail中审计云产品调用KMS的操作。
密匙管理能够解决:
- 通过加密来控制分布式计算存储环境:云上计算和存储环境是分布式和多租户的。云产品加密将计算与存储行为和KMS绑定起来。例如ECS实例的启动需要解密被加密的云盘。而加密云盘在分布式存储系统的多个冗余拷贝、从云盘自动生成的快照也都被KMS保护起来。
- 将海量数据的加密负载交给阿里云:如果您产生了海量数据,其数据的加密解密行为,会消耗大量的计算资源,对系统性能和吞吐量产生负面影响。通过云产品的服务端加密,您将加密负载交给了阿里云,而仍然保持对数据加密行为的可控和可见能力。
更多关于密钥管理服务的说明,请移步到阿里云官方KMS页面 aliyunbaike.com/go/kms
2024阿里云服务器租用价格
①阿里云官方活动:https://t.aliyun.com/U/bLynLC 云服务器99元1年,新老同享,多配置特价
②代金券:领券入口 aliyun.club 免费领取12张代金券,总面值2088元优惠券。