密鑰管理服務（KMS）的重要性

隨著《網絡安全等級保護》、《網絡安全法》等各種安全法律法規的發布執行以及個人、企業的安全意識逐漸增強。人們采用加密的方式進行數據存儲及傳輸，避免個人隱私數據、企業重要數據信息被監聽、泄露、篡改、丟失等風險。密鑰是打開網絡世界的鑰匙，因此加解密使用的密鑰必須妥善管理，如果密鑰泄露則數據被解密，如果密鑰丟失則無法被使用者解密。密鑰管理服務的意義在于把管理各種數據信息的復雜問題簡化成加解密數據的密鑰管理。密鑰管理服務可以幫助您輕松創建和管理密鑰，保護密鑰的保密性、完整性和可用性，滿足多應用多業務的密鑰管理需求，并符合監管和合規要求。極大的降低在密碼基礎設施和數據加解密產品上的采購、運維、研發開銷，幫助您更好的關注業務的發展。

青云KMS方案介紹

QingCloud密鑰管理服務（KMS）是一項托管服務，可助您輕松創建和管理密鑰，滿足審計、法規、合規性需求。實現用戶可控的數據安全加密，避免數據安全事故的發生。您可以通過控制臺以及API兩種方式創建和管理用戶主密鑰（CMK）。默認開啟密鑰輪轉功能，加強密鑰使用的安全性，實現數據保護的安全策略和最佳實踐。

日前，青云QingCloud密鑰管理服務（KMS）已上線，點擊以下鏈接即可訪問（https://console.qingcloud.com/pek3/kms/）。

創建密鑰

1、在 QingCloud 控制臺，點擊安全–>密鑰管理服務，進入密鑰管理服務頁面。

2、點擊創建，彈出創建用戶CMK窗口。

3、填寫相應的參數信息，然后點擊提交。

（1）名稱：用戶密鑰的名稱。

（2）密鑰別名：用戶密鑰的別名。對密鑰的使用， 您既可以使用密鑰ID，也可以使用密鑰別名。

（3）密鑰類型：對稱加密。

（4）加密算法：SYMMETRIC_DEFAULT

（5）密鑰輪轉：是否打開密鑰自動輪換功能。默認每年輪轉一次。選項：開啟，關閉。

（6）描述：用戶密鑰的描述信息。

云服務器加載密鑰

您可以在創建云服務器時選擇密鑰。目前僅云服務器類型為企業級e2時支持加密功能。

備份制作鏡像加載密鑰

您可以在備份制作鏡像時加載密鑰。

1、在 QingCloud 控制臺，點擊存儲–>備份，進入備份頁面。

2、右鍵點擊要創建鏡像的備份，然后點擊制作成新鏡像，進入根據云服務器備份制作鏡像頁面。

3、輸入鏡像名稱并選擇是否加密，然后點擊制作成新鏡像。

SSD企業級硬盤加載密鑰

您可以在創建SSD企業級硬盤時加載密鑰。

青云KMS適用對象

1、等保測評：通過采用密碼技術保證重要數據在傳輸、存儲過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要個人信息。滿足等保數據保密性要求。

2、云計算數據安全：云服務用戶通過使用密鑰管理服務（KMS），實現自行對敏感、核心數據的加解密過程。實現用戶可控的數據安全加密，避免數據安全事故的發生。

3、開發者：滿足Kubernetes集群 Secret落盤加密、信封加解密本地數據、在線加解密 SSL私鑰、敏感配置文件等需求。

青云KMS應用場景

1、云產品（云硬盤）加密

隨著云計算、云存儲的廣泛應用，越來越多的企業將重要核心數據存儲在云端，云產品的加密管理刻不容緩。青云KMS與大多數用于加密數據的其他青云的云服務集成。您通過使用在KMS中管理的密鑰，云產品可以加密任何歸屬于您的數據。這些數據既可以是您可以直接訪問的數據，也可以是您無法直接訪問的云產品內部數據（例如數據庫引擎產生的文件）。從而達到增加云上數據的安全和隱私目的。

2、信封加密

信封加密是類似數字信封技術的一種加密手段。這種技術將加密數據的數據密鑰封入信封中存儲、傳遞和使用，不再使用主密鑰直接加解密數據。當您的業務需要使用信封加密時，您可以調用KMS的API生成一個對稱密鑰，同時使用指定的用戶主密鑰加密該對稱密鑰（被密封的信封保護）。在傳輸或存儲等非安全的通信過程中，直接傳遞被信封保護的對稱密鑰。當您需要使用該對稱密鑰時，打開信封取出密鑰即可。

3、密鑰輪轉

多次重復的使用加密密鑰，會增加加密密鑰的安全風險。密鑰輪轉是用來加強密鑰使用的安全性，實現數據保護的安全策略和最佳實踐。開啟密鑰輪換后，密鑰管理服務會根據設置的輪換周期（默認一年）自動輪換密鑰，每次輪換都會生成一個新版本的用戶主密鑰。加密數據時，KMS會自動使用當前最新版本的用戶主密鑰來執行加密操作；解密數據時，KMS會自動使用加密時所使用的用戶主密鑰來執行解密操作。KMS會保留與該用戶主密鑰關聯的所有版本的用戶主密鑰。這使得KMS可以解密使用該用戶主密鑰加密的任何密文。

青云KMS功能介紹

功能架構圖

主要功能如下：

1、密鑰管理：您可以按需創建多個用戶主密鑰CMK。KMS CMK滿足審計、法規和合規性需求的情況。支持對密鑰進行修改、禁用、啟用、計劃刪除等操作。默認開啟密鑰輪轉功能，加強密鑰使用的安全性，實現數據保護的安全策略和最佳實踐。

2、密鑰加密存儲：密鑰常用于保護特定的數據，因此數據的安全依賴于密鑰的安全。支持對用戶主密鑰CMK多重加密存儲，保障CMK不泄露。

3、密鑰操作API：您可以通過API的方式進行用戶主密鑰CMK創建、數據密鑰創建、在線加解密、密鑰輪轉等操作。

更多信息詳見：https://docsv3.qingcloud.com/security/key_management_service/