入门概述

密钥管理系统KMS提供安全合规的密钥的全生命周期管理和数据加解密能力。

对于用户而言，KMS服务中涉及的核心密钥组件包括用户主密钥CMK（Customer Master Key，CMK）、数据加密密钥DEK（Data Encryption Key，DEK）。其中CMK属于用户的一级密钥，CMK 用于对敏感数据的加解密以及DEK的派生。DEK是信封加密流程中的二级密钥，用于加密业务数据的密钥，受用户主密钥CMK的保护。

关于使用CMK及DEK进行业务加解密的场景，请参见敏感数据加密和信封加密最佳实践。

密钥概述

用户主密钥CMK

用户主密钥是KMS中的核心资源，这些主密钥经过第三方认证硬件安全模块（HSM）的保护，作为用户加密解密的一级密钥。KMS服务主要是针对用户主密钥的管理服务。

用户主密钥CMK是主密钥的逻辑表示。CMK包含元数据，例如密钥ID、创建日期、描述和密钥状态等。通常情况下您可以使用 KMS 的自动生成用户主密钥功能来生成CMK，同时支持您自有密钥的导入来形成CMK。

用户主密钥CMK包括用户密钥和云产品密钥两种类型：

• 用户密钥是用户通过控制台或API来创建的用户主密钥。您可以对用户密钥进行创建/启用/禁用/计划删除等操作。
• 云产品密钥是腾讯云金融专区产品/服务在调用密钥管理系统时，自动为用户创建的CMK。CMK不支持禁用、计划删除操作。

数据加密密钥DEK

数据加密密钥是基于CMK 生成的二级密钥，可用于用户本地数据加密解密。 您可以使用KMS用户主密钥（CMK）生成DEK，但是，KMS 不会存储、管理或跟踪您的DEK，也不会用于DEK执行加密操作。您必须在KMS之外使用和管理DEK。

一般DEK在信封加密流程中使用，通过DEK进行本地业务数据的加密。DEK受用户主密钥CMK保护，可以自定义创建，也可以通过接口创建。