密钥管理服务 KMS

密钥管理服务(Key Management Service)是一个安全易用的云上密钥托管服务,其密钥安全由硬件安全模块 (HSM) 保护,可与许多其他华为云服务集成以保护您存储在这些服务上的数据,您也可以借助密钥管理服务开发自己的加密应用,而不去关心繁琐的密钥管理专注于自己的核心业务。

服务费用低至 0.00元 /月 了解详情

产品优势

KMS解决方案

客户关键问题

低成本

KMS解决方案: 无需购买昂贵的密钥管理设备,无需为部署划分独立的安全区域,按需使用,按量收费,仅需登录管理控制台,点击创建,即可享用安全、可靠的密钥管理服务。

客户关键问题: 硬件加密机的购买和部署需要花费企业大量资金,密钥管理规范的制定和执行需要投入大量人力成本。

高安全、高可靠

KMS解决方案: 基于业界一流的硬件加密机提供安全的密钥的管理,提供分布式架构确保高可用性。

客户关键问题: 出于成本考虑,使用的通常是较旧型号的硬件加密机,且只能靠离线备份,数据可靠性得不到保障。

简单易用

KMS解决方案: 一键即可创建密钥,加密服务随手可得;计划删除密钥机制,确保安全删除的前提下,避免误删除密钥导致数据无法解密;一键禁用密钥,紧急保护数据免泄漏。

客户关键问题: 硬件加密机需要专人专职管理,各家标准不统一,需要花费大量学习成本,如何安全地部署,也需要花费大量的资金和人力。

已与华为服务集成

KMS解决方案: KMS已与多个华为云服务无缝集成,实现由您控制的密钥加密数据。

客户关键问题: 如何加密存储在其他华为云服务中的数据,并且加密数据的密钥由客户自己控制。

内部审计

KMS解决方案: 和云审计服务(Cloud Trace Service)联动,KMS所有密钥操作都可查询到。

客户关键问题: 如何审计KMS的所有密钥操作。

产品架构

Root Key Root Key CMK CMK CMK DEK DEK DEK DEK

相关产品

Root Key

受HSM安全保护,任何人都无法直接或间接获取。用于加密保护CMK。

CMK

通过HSM的Root Key加密并保存在KMS,任何人无法直接或间接获取CMK的明文。用于加密保护DEK。

DEK

通过KMS的CMK加密并由用户保存,只有具有CMK访问权限的用户才可以通过KMS获取密钥明文。用于加密保护用户的数据。

密钥管理服务

  • 通过密钥管理服务(KMS),用户能方便地管理自已的密钥,并能随时使用数据加密密钥(DEK)进行数据加密,确保用户关键业务数据的安全。
  • 其中,业务数据使用DEK进行加密,DEK使用KMS上的用户主密钥(CMK)进行加密,CMK使用HSM上的根密钥(Root Key)进行加密,HSM作为信任根,能确保无法从外部获取Root Key,从而构成完整的信任链。
  • 此外,HSM和KMS之间,KMS与业务之间,使用TLS1.2加密通道进行通信,确保信任链的可靠传递。

应用场景

  • 用户个人数据加解密

  • 业务核心数据加解密

  • 关键信息资产加解密

用户个人数据加解密

应用场景

网络游戏、个人云、基于位置的服务、移动应用

场景特点

  • 若企业提供的业务中,包含帐号配置信息、用户照片、音视频、位置信息、浏览记录等个人隐私数据,使用普通的存储服务容易造成信息泄露,KMS服务提供简单、易用的加解密方案,能确保用户个人数据安全地保存在云上,帮助企业远离拖库风险。
业务核心数据加解密

应用场景

电视台、新媒体业务群、出版社、平面媒体

场景特点

  • 海量的原始文本、图片、影音素材等,构成了媒体企业的核心竞争力,使用KMS服务,可以保护企业核心业务数据免于泄漏,并提供高可靠的加解密方案,帮助企业平稳过渡到云上。
关键信息资产加解密

应用场景

知识密集型事业单位、政府公共业务

场景特点

  • 知识密集型事业单位的业务包括教、科、文、卫等涉及国计民生的关键信息资产,KMS服务可以提供高安全、低成本的加解密存储方案,有效保护关键信息资产的安全。

功能描述

自己的密钥自己掌控

为确保用户加密数据的安全,密钥管理服务不保存明文或密文的数据加密密钥,用户通过对用户主密钥的管理,能确保安全获取和使用数据加密密钥。

硬件加密机提供信任根

所有密钥的加解密操作都通过硬件加密机完成,硬件加密机作为信任根,保障密钥管理服务中用户主密钥的安全,通过用户主密钥,保障数据加密密钥的安全,整个过程构成一条完整的信任链。

快捷、按需使用、按量计费

无需购买昂贵的硬件加密机,不用担心闲置带来额外的管理成本,开通即使用,按量计费,大幅节省人力物力成本。

立即注册华为云