KMS
| 中文名 | 英文名 | 缩写 | 解释 |
|---|---|---|---|
| 密钥环 | Keyring | - | 用户管理密钥的集合,用户将相同类型或用途的密钥放在同一密钥环中以便于管理。用户可以通过 CreateKeyring API 创建密钥环。 |
| 用户主密钥 | Customer Master Key | CMK | 用户主密钥用于加密保护数据密钥并产生信封,也可直接用于加密短数据(长度小于 4096 字节)。用户可以通过 CreateKey API 创建一个用户主密钥。 |
| 数据密钥 | Data Key | DK | 用户可以使用数据密钥对任意长度的数据进行加解密操作 |
| 信封加密 | Envelope Encryption | - | 用户调用 GenerateDataKey API生成数据密钥的明文和密文,使用数据密钥的明文对用户数据进行加密,之后数据密钥明文则丢弃。加密后的数据同数据密钥的密文一起存放。当需要解密数据时,调用 Decrypt API对数据密钥密文进行解密,解密后的数据密钥明文对加密数据进行解密,后得到数据明文。 |
| 硬件安全模块 | Hardware Security Module | HSM | 一种执行密码运算、安全生成和存储密钥的硬件设备。KMS 基于 HSM 对用户托管的密钥进行保护和相关的密码学运算。 |
| 自带密钥 | Bring Your Own Key | BYOK | 用户可通过BYOK能力将自带密钥安全的导入到KMS作为用户主密钥的密钥材料,并基于该用户主密钥加密保护数据密钥或者直接加密短数据。 |
Secret Manager
| 中文名 | 英文名 | 解释 |
|---|---|---|
| 凭据 | Secret | 凭据是用于对应用程序进行身份验证的敏感信息,例如数据库账号密码、SSH Key、敏感地址、AK敏感数据等内容。 |
| ECS凭据 | ECS Secret | 可用于托管用于登录ECS实例时使用的用户名/口令(Password)和SSH密钥对。 |
| IAM凭据 | IAM Secret | 可以使用IAM凭据托管IAM用户的访问密钥(AccessKey)。 |
| 通用凭据 | Generic Secret | 通用凭据(Generic Secret)为基础类型凭据。可以使用通用凭据存储账号口令、访问密钥、OAuth密钥和Token、API Key等任意的敏感数据。 |
| 数据库凭据 | RDS Secret | 数据库凭据可用于托管RDS、Redis等多个类型的数据库实例的账号和密码。 |
| 加密主密钥 | Encryption master key | 用来对保管的Secret数据进行加密的密钥。 |