密钥管理服务(KMS)

密钥管理服务(Key Management Service)是一个安全易用的云上密钥托管服务,其密钥安全由硬件安全模块 (HSM) 保护,可与许多其他华为云服务集成以保护您存储在这些服务上的数据,您也可以借助密钥管理服务开发自己的加密应用,而不去关心繁琐的密钥管理专注于自己的核心业务。

服务费用低至0.00元 /月了解详情

产品优势

客户关键问题

硬件加密机的购买和部署需要花费企业大量资金,密钥管理规范的制定和执行需要投入大量人力成本。
低成本

KMS解决方案

无需购买昂贵的密钥管理设备,无需为部署划分独立的安全区域,按需使用,按量收费,仅需登录管理控制台,点击创建,即可享用安全、可靠的密钥管理服务。

客户关键问题

出于成本考虑,使用的通常是较旧型号的硬件加密机,且只能靠离线备份,数据可靠性得不到保障。
高安全、高可靠

KMS解决方案

基于业界一流的硬件加密机提供安全的密钥的管理,提供分布式架构确保高可用性。

客户关键问题

硬件加密机需要专人专职管理,各家标准不统一,需要花费大量学习成本,如何安全地部署,也需要花费大量的资金和人力。
简单易用

KMS解决方案

一键即可创建密钥,加密服务随手可得;计划删除密钥机制,确保安全删除的前提下,避免误删除密钥导致数据无法解密;一键禁用密钥,紧急保护数据免泄漏。

客户关键问题

如何加密存储在其他华为云服务中的数据,并且加密数据的密钥由客户自己控制。
已与华为服务集成

KMS解决方案

和云审计服务(Cloud Trace Service)联动,KMS所有密钥操作都可查询到。

客户关键问题

如何审计KMS的所有密钥操作。
内部审计

KMS解决方案

和云审计服务(Cloud Trace Service)联动,KMS所有密钥操作都可查询到。

产品架构

HSM集群 Root KMS集群 Root Key Root Key CMK CMK CMK DEK DEK DEK DEK

HSM集群

提供高安全、高可靠的密钥加解密服务。

KMS

提供高安全、高可靠、低成本的密钥管理服务。

Root Key

受HSM安全保护,任何人都无法直接或间接获取。用于加密保护CMK。

CMK

通过HSM的Root Key加密并保存在KMS,任何人无法直接或间接获取CMK的明文。用于加密保护DEK。

DEK

通过KMS的CMK加密并由用户保存,只有具有CMK访问权限的用户才可以通过KMS获取密钥明文。用于加密保护用户的数据。

密钥管理服务

  • 通过密钥管理服务(KMS),用户能方便地管理自已的密钥,并能随时使用数据加密密钥(DEK)进行数据加密,确保用户关键业务数据的安全。
  • 其中,业务数据使用DEK进行加密,DEK使用KMS上的用户主密钥(CMK)进行加密,CMK使用HSM上的根密钥(Root Key)进行加密,HSM作为信任根,能确保无法从外部获取Root Key,从而构成完整的信任链。
  • 此外,HSM和KMS之间,KMS与业务之间,使用TLS1.2加密通道进行通信,确保信任链的可靠传递。

应用场景

  • 用户个人数据加解密
  • 业务核心数据加解密
  • 关键信息资产加解密
用户个人数据加解密

适用场景:网络游戏、个人云、基于位置的服务、移动应用

场景特点:若企业提供的业务中,包含帐号配置信息、用户照片、音视频、位置信息、浏览记录等个人隐私数据,使用普通的存储服务容易造成信息泄露,KMS服务提供简单、易用的加解密方案,能确保用户个人数据安全地保存在云上,帮助企业远离拖库风险。

配置推荐:

业务核心数据加解密

适用场景:电视台、新媒体业务群、出版社、平面媒体

场景特点:海量的原始文本、图片、影音素材等,构成了媒体企业的核心竞争力,使用KMS服务,可以保护企业核心业务数据免于泄漏,并提供高可靠的加解密方案,帮助企业平稳过渡到云上。

配置推荐:

关键信息资产加解密

适用场景:知识密集型事业单位、政府公共业务

场景特点:知识密集型事业单位的业务包括教、科、文、卫等涉及国计民生的关键信息资产,KMS服务可以提供高安全、低成本的加解密存储方案,有效保护关键信息资产的安全。

配置推荐:

功能描述

自己的密钥自己掌控

为确保用户加密数据的安全,密钥管理服务不保存明文或密文的数据加密密钥,用户通过对用户主密钥的管理,能确保安全获取和使用数据加密密钥。

硬件加密机提供信任根

所有密钥的加解密操作都通过硬件加密机完成,硬件加密机作为信任根,保障密钥管理服务中用户主密钥的安全,通过用户主密钥,保障数据加密密钥的安全,整个过程构成一条完整的信任链。

快捷、按需使用、按量计费

无需购买昂贵的硬件加密机,不用担心闲置带来额外的管理成本,开通即使用,按量计费,大幅节省人力物力成本。