阿里云KMS密钥管理系统技术白皮书.pdf

阿里云 云企业版

密钥管理服务技术白皮书

产品版本：V3.14.0文档版本：

阿里云

法律声明

阿里云提醒您在阅读或使用本文档之前仔细阅读、充分理解本法律声明各条款的内容.如果您阅读或使用本文档，您的阅读或使用行为将被视为对本声明全部内容的认可.

1.您应当通过阿里云网站或阿里云提供的其他授权通道下载、获取本文档，且仅能用于自身的合法合规的业务活动.本文档的内容视为阿里云的保密信息，您应当严格 遵守保密义务；未经阿里云事先书面同意，您不得向任何第三方披露本手册内容或提供给任何第三方使用.

2.未经阿里云事先书面许可，任何单位、公司或个人不得擅自摘抄、翻译、复制本文 档内容的部分或全部，不得以任何方式或途径进行传播和宣传.

3.由于产品版本升级、调整或其他原因，本文档内容有可能变更.阿里云保留在没有任何通知或者提示下对本文档的内容进行修改的权利，并在阿里云授权通道中不时发布更新后的用户文档.您应当实时关注用户文档的版本变更并通过阿里云授权渠道下载、获取最新版的用户文档.

4.本文档仅作为用户使用阿里云产品及服务的参考性指引，阿里云以产品及服务基础上尽最大努力提供相应的介绍及操作指引，但阿里云在此明确声明对本文档内 容的准确性、完整性、适用性、可靠性等不作任何明示或暗示的保证.任何单位、公司或个人因为下载、使用或信赖本文档而发生任何差错或经济损失的，阿里云不承担任何法律责任.在任何情况下，阿里云均不对任何间接性、后果性、惩戒性、偶然性、特殊性或刑罚性的损害，包括用户使用或信赖本文档而遭受的利润损失，承担责任（即使阿里云已被告知该等损失的可能性）.

5.阿里云网站上内容，包括但不限于著作、产品、图片、档案、资讯、资料、网站架构、网站画面的安排、网页设计，均由阿里云和/或其关联公司依法拥有其知识产权，包括但不限于商标权、专利权、著作权、商业秘密等.非经阿里云和/或其关联公司书面同意，任何人不得擅自使用、修改、复制、公开传播、改变、散布、发 行或公开发表阿里云网站、产品程序或内容.此外，未经阿里云事先书面同意，任何人不得为了任何营销、广告、促销或其他目的使用、公布或复制阿里云的名称（包括但不限于单独为或以组合形式包含“阿里云”、“Aliyun”、“万网”等阿里云和/或其关联公司品牌，上述品牌的附属标志及图案或任何类似公司名称、商方能够识别阿里云和/或其关联公司）. 号、商标、产品或服务名称、域名、图案标示、标志、标识或通过特定描述使第三

6.如若发现本文档存在任何错误，请与阿里云取得直接联系.

通用约定

格式 说明 样例危险 该类警示信息将导致系统重大变更甚至故 危险障，或者导致人身伤害等结果. 重置操作将丢失用户配置数据.警告该类警示信息可能会导致系统重大变更甚 至故障，或者导致人身伤害等结果. 重启操作将导致业务中断，恢复业务时间约十分钟.注意 用于警示信息、补充说明等，是用户必须 了解的内容. 权重设置为0，该服务器不会再接受新请求.②说明用户必须了解的内客. 用于补充说明、最佳实践、窍门等，不是 您也可以通过按CtrlA选中全部文件.多级菜单递进. 单击设置>网络>设置网络类型.粗体 表示按键、菜单、页面名称等U元素. 在结果确认页面，单击确定.命令或代码. 执行cd/d C:/window命令，进入windows系统文件夹.斜体 表示参数、变量. bae log list --inst anceidInstance_IDipconfig [-alt]或者[alb] 表示可选项，至多选择一个.0或者 (alb) 表示必选项，至多选择一个. swit ch (activelst and)

目录

1.什么是密钥管理服务2.功能原理2.1.方便的密钥管理2.2.信封加密技术2.3.安全的密钥存储

1.什么是密钥管理服务

密钥管理服务KMS（KeyManagementService）是您的一站式密钥管理和数据加密服务平台，提供简单、可靠、安全、合规的数据加密保护能力.KMS帮助您极大的降低在密码基础设施和数据加解密产品上的采购、运维、研发开销，帮助您更好的关注业务的发展.

KMS支持的功能如下：

加密密钥的托管

KMS为您提供加密密钥的托管功能，KMS托管的加密密钥叫做用户主密钥CMK（CustomerMasterKey）. 您可以对CMK进行生命周期管理（启用或禁用CMK）.

自带密钥（BYOK）

KMS支持自带密钥BYOK（BringYourOwnKey）.您可以将密钥租借给KMS用作云上数据的加密保护，从而更好的管理密钥.可租借的密钥包括以下两种：

o线下密钥管理基础设施KMI（Key Management Infrastructure）中的密钥o在加密服务中自主管理的HSM中的密钥

说明通过安全合规的密钥交换算法，导入到KMS的托管密码机中的密钥不会被任何机制所导出，密钥明文不会被操作者或任何第三者查看.

自动轮转加密密钥

KMS支持同一个CMK有多个密钥版本，每个版本为一个独立的密钥，各个版本互不相关.在多版本的基础上，KMS内建了加密密钥的自动轮转能力，帮助您实现安全最佳实践并满足合规审计要求.详情请参见用户指南手册密钥的轮转章节中的密钥轮转概述和自动轮转密钥.

全托管密码机

KMS提供了全托管的密码机，您可以将密钥托管在密码机中，密码运算仅在密码机内部进行，从而保证密钥的安全性.

说明全托管密码机需要额外购买硬件安全模块（HSM），并且购买KMS高级版本的License.

简化的密码运算API

oKMS提供了简化的密码运算API，相比于传统密码模块或密码软件库的API使简单易用.oKMS的加密密钥支持可认证的加密，通过传入额外认证数据AAD（AdditionalAuthenticatedData）保

护数据的完整性.详情请参见用户指南手册使用对称密钥章节中的EncryptionContext说明.

主密钥别名

KM5支持为主密钥创建别名，通过别名可以更方使的使用主密钥.详情请参见用户指南手册中的别名使用说明.例如：您可以通过主密钥别名在特定场景下实现人工轮转主密钥.

资源标签

KMS支持资源标签，通过资源标签您可以更方便的管理KMS中的密钥资源.