密鑰管理服務(wù)（KMS）的重要性

隨著《網(wǎng)絡(luò)安全等級(jí)保護(hù)》、《網(wǎng)絡(luò)安全法》等各種安全法律法規(guī)的發(fā)布執(zhí)行以及個(gè)人、企業(yè)的安全意識(shí)逐漸增強(qiáng)。人們采用加密的方式進(jìn)行數(shù)據(jù)存儲(chǔ)及傳輸，避免個(gè)人隱私數(shù)據(jù)、企業(yè)重要數(shù)據(jù)信息被監(jiān)聽、泄露、篡改、丟失等風(fēng)險(xiǎn)。密鑰是打開網(wǎng)絡(luò)世界的鑰匙，因此加解密使用的密鑰必須妥善管理，如果密鑰泄露則數(shù)據(jù)被解密，如果密鑰丟失則無法被使用者解密。密鑰管理服務(wù)的意義在于把管理各種數(shù)據(jù)信息的復(fù)雜問題簡(jiǎn)化成加解密數(shù)據(jù)的密鑰管理。密鑰管理服務(wù)可以幫助您輕松創(chuàng)建和管理密鑰，保護(hù)密鑰的保密性、完整性和可用性，滿足多應(yīng)用多業(yè)務(wù)的密鑰管理需求，并符合監(jiān)管和合規(guī)要求。極大的降低在密碼基礎(chǔ)設(shè)施和數(shù)據(jù)加解密產(chǎn)品上的采購(gòu)、運(yùn)維、研發(fā)開銷，幫助您更好的關(guān)注業(yè)務(wù)的發(fā)展。

青云KMS方案介紹

QingCloud密鑰管理服務(wù)（KMS）是一項(xiàng)托管服務(wù)，可助您輕松創(chuàng)建和管理密鑰，滿足審計(jì)、法規(guī)、合規(guī)性需求。實(shí)現(xiàn)用戶可控的數(shù)據(jù)安全加密，避免數(shù)據(jù)安全事故的發(fā)生。您可以通過控制臺(tái)以及API兩種方式創(chuàng)建和管理用戶主密鑰（CMK）。默認(rèn)開啟密鑰輪轉(zhuǎn)功能，加強(qiáng)密鑰使用的安全性，實(shí)現(xiàn)數(shù)據(jù)保護(hù)的安全策略和最佳實(shí)踐。

日前，青云QingCloud密鑰管理服務(wù)（KMS）已上線，點(diǎn)擊以下鏈接即可訪問（https://console.qingcloud.com/pek3/kms/）。

創(chuàng)建密鑰

1、在 QingCloud 控制臺(tái)，點(diǎn)擊安全–>密鑰管理服務(wù)，進(jìn)入密鑰管理服務(wù)頁(yè)面。

2、點(diǎn)擊創(chuàng)建，彈出創(chuàng)建用戶CMK窗口。

3、填寫相應(yīng)的參數(shù)信息，然后點(diǎn)擊提交。

（1）名稱：用戶密鑰的名稱。

（2）密鑰別名：用戶密鑰的別名。對(duì)密鑰的使用， 您既可以使用密鑰ID，也可以使用密鑰別名。

（3）密鑰類型：對(duì)稱加密。

（4）加密算法：SYMMETRIC_DEFAULT

（5）密鑰輪轉(zhuǎn)：是否打開密鑰自動(dòng)輪換功能。默認(rèn)每年輪轉(zhuǎn)一次。選項(xiàng)：開啟，關(guān)閉。

（6）描述：用戶密鑰的描述信息。

云服務(wù)器加載密鑰

您可以在創(chuàng)建云服務(wù)器時(shí)選擇密鑰。目前僅云服務(wù)器類型為企業(yè)級(jí)e2時(shí)支持加密功能。

備份制作鏡像加載密鑰

您可以在備份制作鏡像時(shí)加載密鑰。

1、在 QingCloud 控制臺(tái)，點(diǎn)擊存儲(chǔ)–>備份，進(jìn)入備份頁(yè)面。

2、右鍵點(diǎn)擊要?jiǎng)?chuàng)建鏡像的備份，然后點(diǎn)擊制作成新鏡像，進(jìn)入根據(jù)云服務(wù)器備份制作鏡像頁(yè)面。

3、輸入鏡像名稱并選擇是否加密，然后點(diǎn)擊制作成新鏡像。

SSD企業(yè)級(jí)硬盤加載密鑰

您可以在創(chuàng)建SSD企業(yè)級(jí)硬盤時(shí)加載密鑰。

青云KMS適用對(duì)象

1、等保測(cè)評(píng)：通過采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸、存儲(chǔ)過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息。滿足等保數(shù)據(jù)保密性要求。

2、云計(jì)算數(shù)據(jù)安全：云服務(wù)用戶通過使用密鑰管理服務(wù)（KMS），實(shí)現(xiàn)自行對(duì)敏感、核心數(shù)據(jù)的加解密過程。實(shí)現(xiàn)用戶可控的數(shù)據(jù)安全加密，避免數(shù)據(jù)安全事故的發(fā)生。

3、開發(fā)者：滿足Kubernetes集群 Secret落盤加密、信封加解密本地?cái)?shù)據(jù)、在線加解密 SSL私鑰、敏感配置文件等需求。

青云KMS應(yīng)用場(chǎng)景

1、云產(chǎn)品（云硬盤）加密

隨著云計(jì)算、云存儲(chǔ)的廣泛應(yīng)用，越來越多的企業(yè)將重要核心數(shù)據(jù)存儲(chǔ)在云端，云產(chǎn)品的加密管理刻不容緩。青云KMS與大多數(shù)用于加密數(shù)據(jù)的其他青云的云服務(wù)集成。您通過使用在KMS中管理的密鑰，云產(chǎn)品可以加密任何歸屬于您的數(shù)據(jù)。這些數(shù)據(jù)既可以是您可以直接訪問的數(shù)據(jù)，也可以是您無法直接訪問的云產(chǎn)品內(nèi)部數(shù)據(jù)（例如數(shù)據(jù)庫(kù)引擎產(chǎn)生的文件）。從而達(dá)到增加云上數(shù)據(jù)的安全和隱私目的。

2、信封加密

信封加密是類似數(shù)字信封技術(shù)的一種加密手段。這種技術(shù)將加密數(shù)據(jù)的數(shù)據(jù)密鑰封入信封中存儲(chǔ)、傳遞和使用，不再使用主密鑰直接加解密數(shù)據(jù)。當(dāng)您的業(yè)務(wù)需要使用信封加密時(shí)，您可以調(diào)用KMS的API生成一個(gè)對(duì)稱密鑰，同時(shí)使用指定的用戶主密鑰加密該對(duì)稱密鑰（被密封的信封保護(hù)）。在傳輸或存儲(chǔ)等非安全的通信過程中，直接傳遞被信封保護(hù)的對(duì)稱密鑰。當(dāng)您需要使用該對(duì)稱密鑰時(shí)，打開信封取出密鑰即可。

3、密鑰輪轉(zhuǎn)

多次重復(fù)的使用加密密鑰，會(huì)增加加密密鑰的安全風(fēng)險(xiǎn)。密鑰輪轉(zhuǎn)是用來加強(qiáng)密鑰使用的安全性，實(shí)現(xiàn)數(shù)據(jù)保護(hù)的安全策略和最佳實(shí)踐。開啟密鑰輪換后，密鑰管理服務(wù)會(huì)根據(jù)設(shè)置的輪換周期（默認(rèn)一年）自動(dòng)輪換密鑰，每次輪換都會(huì)生成一個(gè)新版本的用戶主密鑰。加密數(shù)據(jù)時(shí)，KMS會(huì)自動(dòng)使用當(dāng)前最新版本的用戶主密鑰來執(zhí)行加密操作；解密數(shù)據(jù)時(shí)，KMS會(huì)自動(dòng)使用加密時(shí)所使用的用戶主密鑰來執(zhí)行解密操作。KMS會(huì)保留與該用戶主密鑰關(guān)聯(lián)的所有版本的用戶主密鑰。這使得KMS可以解密使用該用戶主密鑰加密的任何密文。

青云KMS功能介紹

功能架構(gòu)圖

主要功能如下：

1、密鑰管理：您可以按需創(chuàng)建多個(gè)用戶主密鑰CMK。KMS CMK滿足審計(jì)、法規(guī)和合規(guī)性需求的情況。支持對(duì)密鑰進(jìn)行修改、禁用、啟用、計(jì)劃刪除等操作。默認(rèn)開啟密鑰輪轉(zhuǎn)功能，加強(qiáng)密鑰使用的安全性，實(shí)現(xiàn)數(shù)據(jù)保護(hù)的安全策略和最佳實(shí)踐。

2、密鑰加密存儲(chǔ)：密鑰常用于保護(hù)特定的數(shù)據(jù)，因此數(shù)據(jù)的安全依賴于密鑰的安全。支持對(duì)用戶主密鑰CMK多重加密存儲(chǔ)，保障CMK不泄露。

3、密鑰操作API：您可以通過API的方式進(jìn)行用戶主密鑰CMK創(chuàng)建、數(shù)據(jù)密鑰創(chuàng)建、在線加解密、密鑰輪轉(zhuǎn)等操作。

更多信息詳見：https://docsv3.qingcloud.com/security/key_management_service/