名词解释

辅助校验数据

辅助校验数据（Encryption Context）是 JSON 格式的一段数据，如果在调用加密接口时传入这段数据，解密时必须提供等价的 JSON 数据，否则解密失败，您可以通过定时更新 Encryption Context 来提高业务安全性，也可以在不禁用主密钥的情况下，快速阻止非法访问。

数据加密密钥

数据加密密钥 （Data Encryption Keys，DEK）是信封加密流程中，通过数据加密密钥进行本地业务数据的加密。数据加密密钥DEK受用户主密钥CMK保护，可以自定义，也可以通过 KMS 的 API 来创建新的数据密钥。

信封加密

信封加密（Envelope Encryption）是一种应对海量数据的高性能加解密方案。对于较大的文件或者对性能敏感的数据加密，使用 GenerateDataKey 接口生成 AES 数据加密密钥 DEK，只需要传输数据加密密钥 DEK 到 KMS 服务端（通过CMK 进行加解密），所有的业务数据都是采用高效的本地对称加密处理，对业务的访问体验影响很小。

用户主密钥

用户主密钥（Customer Master Keys，CMK）受到经过第三方认证硬件安全模块（HSM）的保护，通过它来加解密业务使用到的密码、证书、数据密钥等敏感数据，可以通过控制台和 API 来创建和 管理主密钥。 用户主密钥（CMK）包括用户密钥和云产品密钥两种类型。

用户密钥

用户密钥是用户通过控制台和 API 来创建的用户主密钥。您可以对用户密钥进行创建/启用/禁用/轮换/权限控制等操作。

云产品密钥

云产品密钥是云产品/服务在调用密钥管理服务时，自动为用户创建的用户主密钥。您可以对云产品密钥进行查询及开启密钥轮换操作，不支持禁用、计划删除操作。