用户可通过密钥管理服务(Key Management Service,简称:KMS)进行密钥全生命周期管理,目前支持的功能如下。
密钥分组管理: 通过密钥环(KeyRing)分组管理密钥
自带密钥: 用户可通过自带密钥(Bring Your Own Key,简称BYOK)功能,将自己的密钥材料导入到用户主密钥中托管
密钥的分发或注入: 通过系统自动分发以满足安全性密钥分发,实现非一次性密钥备份机制以及密钥存储。
密钥更新: 按照一定生命周期与规定强度进行密钥更新
密钥归档: 用户可将相同类型或用途的密钥放在同一密钥环中以便于管理
密钥恢复: 对于计划删除的用户主密钥,取消计划删除将恢复密钥启用中状态
记录和审计与密钥管理相关的活动,在KMS的审计日志中可以看到各系统服务对密钥的使用情况。
凭据管理:用户或应用程序通过凭据管理服务,创建、检索、更新、删除凭据,轻松实现对敏感凭据的全生命周期的统一管理
凭据版本管理(凭据安全轮转):为提升系统安全性,需要对敏感凭据进行定期更新,凭据管理服务提供凭据多版本管理功能,应用节点通过API/控制台操作即可实现凭据安全轮换
云原生集成:凭据管理与云原生集成,支持托管IAM、RDS、Redis、ECS凭据和配置轮转周期以实现凭据动态化,有效应对IAM的AKSK、RDS、Redis和ECS账密泄露的安全威胁。
记录和审计与凭据管理相关的活动,在KMS的审计日志中可以看到各系统服务对密钥的使用情况。