概述

用户主密钥（CMK，Customer Master Key）是 KMS 服务的基本元素，它包含密钥 ID、密钥元数据（别名、描述、状态等）和用于加解密数据的密钥材料。

默认情况下，通过 KMS 服务创建 CMK 密钥时，由 KMS 服务底层加密机生成安全的密钥材料。当您希望使用自己的密钥材料时，也就是希望实施 BYOK（Bring Your Own Key）方案时，可通过 KMS 服务生成一个密钥材料为空的 CMK，并将自己的密钥材料导入到该用户主密钥中，形成一个外部密钥 CMK（EXTERNAL CMK），再由 KMS 服务进行该外部密钥的分发管理。

功能特点

• 在 腾讯云金融专区 上实施 BYOK（Bring Your Own Key）方案，即允许您在 腾讯云金融专区 架构上使用您自有的密钥材料进行敏感数据加解密服务。
• 完全掌控并管理您在 腾讯云金融专区 上使用的密钥服务，包括按需导入或删除密钥材料。
• 您可以在本地密钥管理基础设施中备份一份密钥材料，作为 腾讯云金融专区 密钥管理系统的额外灾备措施。
• 通过支持在云上使用您自有的密钥材料进行加解密操作，满足相关行业合规要求。

注意事项

• 需要确保导入密钥材料的安全性：
• 在使用密钥导入功能时，您需要确保自己生成密钥材料的随机源的安全可靠性。目前 KMS 国密版本仅允许导入128位对称密钥，FIPS 版本仅允许导入256位对称密钥。
• 需要确保导入密钥材料的可用性：
• KMS 服务提供自身服务的高可用及备份恢复能力，但导入的密钥材料的可用性需由用户来管理。强烈建议您采用安全可靠的方式保存密钥材料的原始备份，以便在意外删除密钥材料或密钥材料过期时，能及时将备份的密钥材料重新导入KMS服务。
• 需注意密钥导入操作的规范性：
• 当您将密钥材料导入CMK 时，该 CMK 与该密钥材料永久关联，即不能将其他密钥材料导入该外部密钥 CMK 中。当使用该外部密钥 CMK 加密数据时，加密后的数据必须使用加密时采用的 CMK（即 CMK 的元数据及密钥材料与导入的密钥匹配）才能解密数据，否则解密将失败。请谨慎处理密钥材料、CMK 的删除操作。
• 需要注意密钥导入的状态： 待导入状态的密钥属于启用状态的密钥，该启用状态密钥需付费使用。