KMS (Key Management Service)

密钥管理服务

CMK (Customer Master Key)

用户主密钥,CMK 是 KMS 密钥管理服务所管理的资源对象,一个一个的密钥,类型可以是对称密钥、或非对称密钥。用户用此密钥对数据进行加解密。

对称密钥

对称加密指采用单个密钥即可完成加解密的算法,同一个密钥即用作于信息的加密,又作用于解密。

非对称密钥

非对称加解密需要两个密钥,公开密钥和私有密钥。信息发送者使用公钥对数据进行加密,信息接受者必须使用对应的私钥才能解密。反之,信息发送者可以使用私钥对信息摘要进行加密获得签名,信息接受者使用公钥解密信息摘要进行验签。

数据密钥 Data Key

用户使用CMK 对一个密钥进行二次加密,在用户的应用系统中使用经过二次加密的数据密钥,而不直接使用CMK, 避免CMK 被泄露。

密钥别名

给密钥起一个别名,然后通过别名来使用密钥。用户即可以使用密钥ID,也可以使用密钥别名,两者等同。

轮转

密钥常用于保护特定的数据,因此数据的安全依赖于密钥的安全。通过密钥版本化和定期轮转可以加强密钥使用的安全性,实现数据保护的安全策略和最佳实践。