概述
最近更新时间: 2024-10-17 17:10:00
用户主密钥(CMK,Customer Master Key)是 KMS 服务的基本元素,它包含密钥 ID、密钥元数据(别名、描述、状态等)和用于加解密数据的密钥材料。
默认情况下,通过 KMS 服务创建 CMK 密钥时,由 KMS 服务底层加密机生成安全的密钥材料。当您希望使用自己的密钥材料时,也就是希望实施 BYOK(Bring Your Own Key)方案时,可通过 KMS 服务生成一个密钥材料为空的 CMK,并将自己的密钥材料导入到该用户主密钥中,形成一个外部密钥 CMK(EXTERNAL CMK),再由 KMS 服务进行该外部密钥的分发管理。
功能特点
- 在 腾讯云金融专区 上实施 BYOK(Bring Your Own Key)方案,即允许您在 腾讯云金融专区 架构上使用您自有的密钥材料进行敏感数据加解密服务。
- 完全掌控并管理您在 腾讯云金融专区 上使用的密钥服务,包括按需导入或删除密钥材料。
- 您可以在本地密钥管理基础设施中备份一份密钥材料,作为 腾讯云金融专区 密钥管理系统的额外灾备措施。
- 通过支持在云上使用您自有的密钥材料进行加解密操作,满足相关行业合规要求。
注意事项
- 需要确保导入密钥材料的安全性:
- 在使用密钥导入功能时,您需要确保自己生成密钥材料的随机源的安全可靠性。目前 KMS 国密版本仅允许导入128位对称密钥,FIPS 版本仅允许导入256位对称密钥。
- 需要确保导入密钥材料的可用性:
- KMS 服务提供自身服务的高可用及备份恢复能力,但导入的密钥材料的可用性需由用户来管理。强烈建议您采用安全可靠的方式保存密钥材料的原始备份,以便在意外删除密钥材料或密钥材料过期时,能及时将备份的密钥材料重新导入KMS服务。
- 需注意密钥导入操作的规范性:
- 当您将密钥材料导入CMK 时,该 CMK 与该密钥材料永久关联,即不能将其他密钥材料导入该外部密钥 CMK 中。当使用该外部密钥 CMK 加密数据时,加密后的数据必须使用加密时采用的 CMK(即 CMK 的元数据及密钥材料与导入的密钥匹配)才能解密数据,否则解密将失败。请谨慎处理密钥材料、CMK 的删除操作。
- 需要注意密钥导入的状态: 待导入状态的密钥属于启用状态的密钥,该启用状态密钥需付费使用。