密钥托管

• 密钥托管是 KMS 的核心应用场景，提供密钥全托管和保护能力，支持基于云原生接口的数据加密

• SOFTWARE 保护级别的密钥托管，适用于对安全合规要求较低且预算有限的用户，具有速度快，价格低廉的特性。使用软件保护级别的用户主密钥，密码学运算都在通用的计算芯片中运行

• HSM 保护级别的密钥托管，使用符合国家密码局标准的加密设备对密钥进行存储和密码学相关运算

使用KMS服务在线加密数据

用户在云上部署服务，需要对敏感数据进行加密保护。如果被加密的数据对象较小（小于4096字节），则可以通过密钥管理服务的 OpenAPI，在线对数据直接加解密。

典型应用场景

• 对配置文件加密

• 对SSH口令、虚拟机登陆密码、SSL证书加密

加密流程

1. 用户调用 CreateKey 接口，创建用户主密钥

2. 用户调用 Encrypt 接口，加密明文数据，返回密文数据

3. 用户将密文数据部署到服务端

4. 服务端需要使用密文数据时，调用 Decrypt接口解密数据得到明文数据

基于信封加密技术在本地做加解密

用户在云上部署服务，需要对敏感数据进行加密保护。如果被加密的数据对象较大（大于4096字节），则可以通过密钥管理服务的 OpenAPI，利用信封加密技术，对数据进行保护。

典型应用场景

• 对业务数据进行加密

• 对磁盘数据加密

加密流程

1. 用户调用CreateKey 创建用户主密钥

2. 用户调用 GenerateDataKey 创建数据密钥，用于数据加密

3. 使用数据密钥的明文对明文数据加密得到数据密文

4. 将数据密钥的密文和数据密文一同持久化

解密流程

1. 调用 Decrypt 接口，使用用户主密钥解密数据密钥密文

2. 使用数据密钥密文解密密文数据，得到明文数据