Mindmap-Galerie Alibaba Cloud-Schlüsselverwaltungsdienst
Key Management Service (KMS) ist Ihre One-Stop-Plattform für Schlüsselverwaltung und Datenverschlüsselung sowie eine zentrale Plattform für die Verwaltung von Anmeldeinformationen und bietet einfachen, zuverlässigen, sicheren und konformen Datenverschlüsselungsschutz und Funktionen für die Verwaltung von Anmeldeinformationen. KMS hilft Ihnen, die Beschaffungs-, Betriebs- und Wartungskosten sowie die Forschungs- und Entwicklungskosten für kryptografische Infrastruktur, Datenverschlüsselungs- und -entschlüsselungsprodukte sowie Produkte für die Verwaltung von Anmeldeinformationen zu reduzieren, sodass Sie sich nur auf das Geschäft selbst konzentrieren können.
Bearbeitet um 2024-01-16 17:57:58Einhundert Jahre Einsamkeit ist das Meisterwerk von Gabriel Garcia Marquez. Die Lektüre dieses Buches beginnt mit der Klärung der Beziehungen zwischen den Figuren. Im Mittelpunkt steht die Familie Buendía, deren Wohlstand und Niedergang, interne Beziehungen und politische Kämpfe, Selbstvermischung und Wiedergeburt im Laufe von hundert Jahren erzählt werden.
Einhundert Jahre Einsamkeit ist das Meisterwerk von Gabriel Garcia Marquez. Die Lektüre dieses Buches beginnt mit der Klärung der Beziehungen zwischen den Figuren. Im Mittelpunkt steht die Familie Buendía, deren Wohlstand und Niedergang, interne Beziehungen und politische Kämpfe, Selbstvermischung und Wiedergeburt im Laufe von hundert Jahren erzählt werden.
Projektmanagement ist der Prozess der Anwendung von Fachwissen, Fähigkeiten, Werkzeugen und Methoden auf die Projektaktivitäten, so dass das Projekt die festgelegten Anforderungen und Erwartungen im Rahmen der begrenzten Ressourcen erreichen oder übertreffen kann. Dieses Diagramm bietet einen umfassenden Überblick über die 8 Komponenten des Projektmanagementprozesses und kann als generische Vorlage verwendet werden.
Einhundert Jahre Einsamkeit ist das Meisterwerk von Gabriel Garcia Marquez. Die Lektüre dieses Buches beginnt mit der Klärung der Beziehungen zwischen den Figuren. Im Mittelpunkt steht die Familie Buendía, deren Wohlstand und Niedergang, interne Beziehungen und politische Kämpfe, Selbstvermischung und Wiedergeburt im Laufe von hundert Jahren erzählt werden.
Einhundert Jahre Einsamkeit ist das Meisterwerk von Gabriel Garcia Marquez. Die Lektüre dieses Buches beginnt mit der Klärung der Beziehungen zwischen den Figuren. Im Mittelpunkt steht die Familie Buendía, deren Wohlstand und Niedergang, interne Beziehungen und politische Kämpfe, Selbstvermischung und Wiedergeburt im Laufe von hundert Jahren erzählt werden.
Projektmanagement ist der Prozess der Anwendung von Fachwissen, Fähigkeiten, Werkzeugen und Methoden auf die Projektaktivitäten, so dass das Projekt die festgelegten Anforderungen und Erwartungen im Rahmen der begrenzten Ressourcen erreichen oder übertreffen kann. Dieses Diagramm bietet einen umfassenden Überblick über die 8 Komponenten des Projektmanagementprozesses und kann als generische Vorlage verwendet werden.
Alibaba Cloud-Schlüsselverwaltungsdienst
Produkteinführung
Key Management Service (KMS) ist Ihre One-Stop-Plattform für Schlüsselverwaltung und Datenverschlüsselung sowie eine zentrale Plattform für die Verwaltung von Anmeldeinformationen und bietet einfachen, zuverlässigen, sicheren und konformen Datenverschlüsselungsschutz und Funktionen für die Verwaltung von Anmeldeinformationen. KMS hilft Ihnen, die Beschaffungs-, Betriebs- und Wartungskosten sowie die Forschungs- und Entwicklungskosten für kryptografische Infrastruktur, Datenverschlüsselungs- und -entschlüsselungsprodukte sowie Produkte für die Verwaltung von Anmeldeinformationen zu reduzieren, sodass Sie sich nur auf das Geschäft selbst konzentrieren können.
Geschäftskomponenten
KMS bietet hauptsächlich zwei Geschäftskomponenten: Schlüsselverwaltung und Anmeldeinformationsverwaltung.
Geschäftskomponenten veranschaulichen Referenzdokumentation Schlüsselverwaltung KMS bietet sicheres Hosting von Schlüsseln und die Möglichkeit, Schlüssel für kryptografische Vorgänge zu verwenden. Es bietet Ihnen nicht nur die Schlüsselverwaltungsfunktionen, die für den Datenverschlüsselungsschutz auf der Serverseite von Cloud-Produkten erforderlich sind, sondern bietet Ihnen auch die Möglichkeit, Schlüssel zum digitalen Signieren, Verschlüsseln, Entschlüsseln und anderen kryptografischen Vorgängen an Daten in zu verwenden selbst erstellte Anwendungen. Übersicht über die wichtigsten Dienste Berechtigungsverwaltung KMS bietet Funktionen wie verschlüsselte Speicherung von Anmeldeinformationen, regelmäßige Rotation, sichere Verteilung und zentrale Verwaltung, sodass Ihre Anwendungen das Risiko einer Konfiguration von Anmeldeinformationen im Klartext vermeiden, Rotation unterstützen und den Schaden durch Vorfälle von Anmeldeinformationslecks effektiv reduzieren können. Übersicht über die Verwaltung von Anmeldeinformationen
Merkmale
Schlüsselverwaltung
Die Schlüsselverwaltung bietet die in der folgenden Tabelle gezeigten Funktionen.
Funktion veranschaulichen Referenzdokumentation Umfangreiche Schlüsselverwaltungstypen Bietet kostenlose Standardschlüssel für die serverseitige Verschlüsselung von Cloud-Produkten sowie kostenpflichtige Softwareschlüssel und Hardwareschlüssel für die Verschlüsselung Ihrer selbst erstellten Anwendungsdaten oder die serverseitige Verschlüsselung von Cloud-Produkten, um verschiedene Geschäfts- und Sicherheits-Compliance-Anforderungen an die Schlüsselverwaltung zu erfüllen. Übersicht über die wichtigsten Dienste Erweiterte Sicherheits-Compliance-Funktionen Unterstützt die Integration eines autoritär zertifizierten Hardware-Sicherheitsmoduls (HSM), um Ihr hohes Sicherheitsniveau und Ihre Compliance-Anforderungen für kryptografische Technologieanwendungen zu erfüllen. Hardwareschlüssel Unterstützt Cloud-native Verschlüsselung Unterstützt eine breite Palette von Cloud-Produktintegrationen und hilft Ihnen, KMS-Schlüssel und Verschlüsselungstechnologien einfach zu nutzen, um vertrauliche Datenbestände in der Cloud zu schützen. Zusätzlich zur serverseitigen Verschlüsselung von Cloud-Produkten unterstützt es auch die On-Disk-Verschlüsselung von Kubernetes Secret-Schlüsseldaten im Container Service ACK Pro-Cluster. Cloud-Produkte, die integrierte KMS-Verschlüsselung unterstützen Minimalistischer Anwendungszugriff Mit dem Alibaba Cloud SDK können Sie die Schlüsselverwaltungsfunktion einfach nutzen und mit dem KMS-Instanz-SDK kryptografische Vorgänge abschließen. Realisieren Sie die Lebenszyklusverwaltung von Schlüsseln und verwenden Sie Schlüssel zum Verschlüsseln, Entschlüsseln, Signieren, Überprüfen und für andere kryptografische Funktionen von Daten. Alibaba Cloud SDK KMS-Instanz-SDK Zentralisiertes und skaliertes Management Unterstützt ROS, Terraform und andere Produkte und hilft Ihnen, automatisch Standardverschlüsselungsrichtlinien zu implementieren und die serverseitige Verschlüsselung standardmäßig in Cloud-Server-ECS (Cloud-Disk), Objektspeicher-OSS, relationalem Datenbank-RDS, Big-Data-Computing MaxCompute und anderen Produkten zu aktivieren. Terraform-Übersicht
Berechtigungsverwaltung
Funktion veranschaulichen Referenzdokumentation Cloud-native Integration Mit der Cloud-nativen Integration können Sie RAM-, RDS- und ECS-Anmeldeinformationen verwalten und den Rotationszyklus konfigurieren, um die Anmeldeinformationen dynamisch zu gestalten. So können Sie Sicherheitsbedrohungen, die durch den Verlust von AK-, RDS- und ECS-Konten von RAM verursacht werden, effektiv bekämpfen. Übersicht über die Verwaltung von Anmeldeinformationen Minimalistischer Anwendungszugriff Ihre Anwendung kann auf einfache Weise über den Credential Manager-Client, das RAM-Anmeldeinformations-Plug-in und den Credential Manager-JDBC-Client auf Anmeldeinformationen zugreifen und diese verwenden. Credential Manager-Client Credential Manager-JDBC-Client RAM-Anmeldeinformations-Plugin Zentralisiertes und skaliertes Management Unterstützt ROS, Terraform und andere Produkte, um Ihnen ein sicheres Hosting von Anmeldeinformationen und eine automatisierte Verwaltung der Betriebs- und Wartungsorchestrierung zu ermöglichen. Terraform-Übersicht
Weitere Referenzen
Basiskonzept
Konzept veranschaulichen Schlüsseldienst Key Service bietet Ihnen kryptografische Computerdienste wie sichere Speicherung und Lebenszyklusverwaltung von Schlüsseln, Datenverschlüsselung und -entschlüsselung mithilfe von Schlüsseln, digitale Signaturen und Signaturüberprüfung. Weitere Informationen zu Schlüsseldiensten finden Sie unter Übersicht über Schlüsseldienste. Hardware-Sicherheitsmodul HSM (Hardware-Sicherheitsmodul) Ein Hardware-Sicherheitsmodul ist ein Hardwaregerät, das kryptografische Vorgänge ausführt sowie Schlüssel sicher generiert und speichert. Die kryptografische Maschine ist das am häufigsten verwendete Hardware-Sicherheitsmodul beim Aufbau von IT-Systemen. KMS unterstützt die Integration Ihres kryptografischen Maschinenclusters in den Alibaba Cloud Encryption Service, bietet eine höhere Sicherheits- und Compliance-Level-Garantie für Ihre in KMS gehosteten Schlüssel und erfüllt die Test- und Zertifizierungsanforderungen der Aufsichtsbehörden. CMK (Kundenhauptschlüssel) CMK (Customer Master Key) bezieht sich auf den von Ihnen erstellten und in KMS gehosteten Schlüssel, kurz „Master Key“ genannt. Der Hauptschlüssel besteht aus der Schlüssel-ID, grundlegenden Metadaten und Schlüsselmaterial. Serviceschlüssel Der Schlüssel wird vom Cloud-Dienst in Ihrem Namen erstellt und im KMS gehostet. Er wird standardmäßig beim Verschlüsseln des Cloud-Produktservers verwendet. Standardschlüsselverwaltung Die Standardschlüsselverwaltung ist eine von KMS bereitgestellte Art der Schlüsselverwaltung. Standardschlüssel können nur in Cloud-Produkte zur serverseitigen Verschlüsselung integriert werden, darunter: Dienstschlüssel: Ein Schlüssel, der vom Cloud-Dienst in Ihrem Namen für die serverseitige Verschlüsselung erstellt und gehostet wird. Hauptschlüssel: Sie erstellen und verwalten den Schlüssellebenszyklus des Hauptschlüssels. In jeder Region kann nur einer erstellt werden. Das Schlüsselmaterial kann von KMS generiert oder von Ihnen importiert werden. Für den Standardschlüssel unterstützt KMS nur die Verwendung des symmetrischen Verschlüsselungsalgorithmus AES_256. Software-Schlüsselverwaltung Die Softwareschlüsselverwaltung ist eine von KMS bereitgestellte Art der Schlüsselverwaltung. Der Softwareschlüssel enthält nur den Hauptschlüssel, den Sie unabhängig vom Schlüssellebenszyklus erstellen und verwalten. Er kann in Cloud-Produkte für die serverseitige Verschlüsselung integriert werden und kann auch in Ihre selbst erstellten Anwendungen integriert werden, um Kryptografielösungen auf Anwendungsebene zu erstellen. Schlüsselmaterial kann nur von KMS generiert und nicht von Ihnen selbst importiert werden. Für Softwareschlüssel unterstützt Sie KMS bei der Verwendung mehrerer Schlüsselspezifikationen, einschließlich symmetrischer kryptografischer Algorithmen und asymmetrischer kryptografischer Algorithmen. Hardware-Schlüsselverwaltung Die Hardwareschlüsselverwaltung ist eine von KMS bereitgestellte Art der Schlüsselverwaltung. Der Hardwareschlüssel enthält nur den Hauptschlüssel, den Sie unabhängig erstellen und den Schlüssellebenszyklus verwalten. Er kann in Cloud-Produkte für die serverseitige Verschlüsselung integriert werden und kann auch in Ihre selbst erstellten Anwendungen integriert werden, um Kryptografielösungen auf Anwendungsebene zu erstellen. Schlüsselmaterial kann von der an KMS angeschlossenen Verschlüsselungsmaschine (HSM) generiert werden, oder Sie können es selbst importieren. Für Hardwareschlüssel unterstützt Sie KMS bei der Verwendung mehrerer Schlüsselspezifikationen, einschließlich symmetrischer kryptografischer Algorithmen und asymmetrischer kryptografischer Algorithmen. veranschaulichen KMS bietet Ihnen Hardware-Schlüsselverwaltung und kryptografische Vorgänge, indem es eine Verbindung zu Ihrem Kryptografiemaschinen-Cluster (HSM) im Alibaba Cloud Encryption Service herstellt. Daher müssen Sie vor der Verwendung des Hardwareschlüssels eine kryptografische Maschine (HSM) kaufen, einen kryptografischen Maschinencluster im Alibaba Cloud Encryption Service konfigurieren und ihn in KMS verbinden. Informationen zu bestimmten Vorgängen finden Sie unter So konfigurieren Sie einen kryptografischen Maschinencluster, der über eine KMS-Hardwareschlüsselverwaltungsinstanz verbunden werden kann. Schlüsselmaterial Schlüsselmaterial ist einer der wichtigen Inputs für kryptografische Operationen. Es wird empfohlen, das Schlüsselmaterial des privaten Schlüssels des asymmetrischen kryptografischen Algorithmus und das Schlüsselmaterial des symmetrischen kryptografischen Algorithmus vertraulich zu behandeln, um auf dem Schlüsselmaterial basierende kryptografische Vorgänge zu schützen. Standardschlüssel: Wenn Sie den Hauptschlüssel im Standardschlüssel erstellen, unterstützt er die Generierung von Schlüsselmaterial durch KMS (Origin-Attribut ist Aliyun_KMS) und unterstützt auch den Import von Schlüsselmaterial durch Sie selbst (Origin-Attribut ist EXTERNAL). Softwareschlüssel: Wenn Sie einen Softwareschlüssel erstellen, wird nur von KMS generiertes Schlüsselmaterial (Ursprungsattribut ist Aliyun_KMS) unterstützt. Das Importieren von Schlüsselmaterial durch Sie selbst wird derzeit nicht unterstützt. Hardwareschlüssel: Wenn Sie einen Hardwareschlüssel erstellen, kann die mit KMS verbundene kryptografische Maschine (HSM) Schlüsselmaterial generieren (Origin-Attribut ist Aliyun_KMS), oder Sie können das Schlüsselmaterial selbst importieren (Origin-Attribut ist EXTERNAL). Referenzen Anmeldeinformationen sind vertrauliche Informationen, die zur Authentifizierung von Anwendungen verwendet werden, z. B. Kennwörter für Datenbankkonten, SSH-Schlüssel, vertrauliche Adressen, vertrauliche AK-Daten usw. Secrets Manager Credential Manager bietet Ihnen eine vollständige Lebenszyklusverwaltung von Anmeldeinformationen sowie eine sichere und bequeme Methode für den Anwendungszugriff und hilft Ihnen, das Risiko des Verlusts sensibler Informationen zu vermeiden, das durch die harte Codierung von Anmeldeinformationen im Code verursacht wird. Weitere Informationen zu Credential Butler finden Sie unter Übersicht über Credential Butler. Anwendungszugriffspunkt Der Anwendungszugriffspunkt AAP ist ein von KMS implementiertes Zugriffskontrollschema, das für die Identitätsauthentifizierung und Verhaltensauthentifizierung geeignet ist, wenn Anwendungen auf KMS-Ressourcen zugreifen.
Produktvorteile
Mehrere Integrationen
Identitätsauthentifizierung und Zugriffskontrolle
KMS verwendet den Identitätsauthentifizierungsmechanismus (AccessKey), um die Legitimität von Anfragen zu identifizieren. KMS lässt sich auch in die Zugriffskontrolle (RAM) integrieren, damit Sie verschiedene benutzerdefinierte Richtlinien konfigurieren können, um verschiedene Autorisierungsszenarien zu erfüllen. KMS akzeptiert nur Anfragen, die von legitimen Benutzern initiiert wurden und die dynamische Erkennung von Berechtigungen durch RAM erfüllen.
Verwendung des Prüfschlüssels
Durch die Integration von KMS mit Operation Audit (ActionTrail) können Sie die aktuelle KMS-Nutzung anzeigen und die KMS-Nutzung in anderen Cloud-Diensten wie OSS speichern, um längerfristige Audit-Anforderungen zu erfüllen.
Integrierte Verschlüsselung im Cloud-Produkt
KMS ist nahtlos in Alibaba Cloud ECS, RDS, OSS und andere Produkte integriert. Durch die Ein-Parteien-Integration können Sie KMS-Schlüssel problemlos zum Verschlüsseln und Kontrollieren der in diesen Diensten gespeicherten Daten verwenden. Sie müssen nur die Kosten für die Schlüsselverwaltung bezahlen, ohne komplexe Verschlüsselungsmaßnahmen implementieren zu müssen. Gleichzeitig löst die integrierte Verschlüsselung das Problem des Verschlüsselungsschutzes nativer Daten in anderen Cloud-Produkten.
Einfach zu verwenden
Verschlüsselung leicht gemacht
KMS bietet eine einfache API für kryptografische Operationen, die das Konzept der Kryptografie vereinfacht und abstrahiert, sodass Sie die API problemlos zum Vervollständigen der Datenverschlüsselung und -entschlüsselung verwenden können.
Zentralisierte Schlüsselhinterlegung
Sie können jederzeit einen neuen Schlüssel erstellen und über Access Control (RAM) und Application Access Points (AAP) einfach verwalten, wer oder welche Apps darauf zugreifen können.
Sie können ActionTrail verwenden, um die Vorgänge für KMS-Ressourcen zu überprüfen.
Unterstützen Sie das Bringen Ihres eigenen Schlüssels (BYOK)
KMS unterstützt BYOK (Bring Your Own Key). Sie können Schlüssel von externen Systemeinrichtungen wie der Offline-Schlüsselverwaltungsinfrastruktur (KMI) in KMS importieren, um Daten in Cloud-Produkten durch Verschlüsselung zu schützen oder kryptografische Technologie-Nutzungsszenarien in selbst erstellten Anwendungssystemen zu nutzen.
KMS verwendet einen sicheren und konformen Schlüsselaustauschalgorithmus, um sicherzustellen, dass der Klartext des Schlüssels weder vom Betreiber noch von Dritten eingesehen werden kann.
Hohe Zuverlässigkeit, hohe Verfügbarkeit, Skalierbarkeit
KMS unterstützt redundante Passwort-Computing-Funktionen in mehreren Verfügbarkeitszonen in jeder Region und stellt so sicher, dass von verschiedenen Produkten in Alibaba Cloud und Ihren benutzerdefinierten Anwendungen an KMS initiierte Anfragen mit geringer Latenz verarbeitet werden können. Sie können bei Bedarf schnell ein Upgrade durchführen.
Sicherheits- und Compliance-Funktionen
KMS wurde einem strengen Sicherheitsdesign und einer strengen Prüfung unterzogen, um sicherzustellen, dass Ihre Schlüssel in Alibaba Cloud den strengsten Schutz erhalten.
KMS bietet ausschließlich sichere Zugriffskanäle auf Basis von TLS und verwendet nur eine Suite mit sicheren Transportverschlüsselungsalgorithmen, die Sicherheitsspezifikationen wie PCI DSS entsprechen.
KMS unterstützt von Aufsichtsbehörden lizenzierte und zertifizierte kryptografische Einrichtungen.
Alibaba Cloud Encryption Service bietet Hardware-Verschlüsselungsgeräte, die von der State Cryptozoology Administration getestet und zertifiziert wurden und die GM/T 0028 Level 2-Zertifizierung erhalten haben. KMS unterstützt die Integration des von Ihnen im Alibaba Cloud Encryption Service verwalteten Verschlüsselungsmaschinen-Clusters zur Schlüsselverwaltung und Passwortberechnung.
niedrige Kosten
Sie müssen nicht die Anschaffungskosten für die Hardware-Kryptografieausrüstung und die laufenden Kosten für Betrieb, Wartung, Patching und Austausch bezahlen.
KMS erspart Ihnen die F&E-Kosten und Wartungskosten für den Aufbau eines kryptografischen Geräteclusters mit Verfügbarkeit und Zuverlässigkeit sowie selbst erstellter Schlüsselverwaltungseinrichtungen.
Durch die Integration von KMS mit anderen Alibaba Cloud-Produkten sparen Sie die Kosten für die Entwicklung eines Datenverschlüsselungssystems und müssen nur Schlüssel verwalten, um kontrollierbare Datenverschlüsselungsfunktionen in der Cloud zu erhalten.
Anwendungsszenarien
Typisches Szenario
Szenen Benutzer-Rolle Forderungen veranschaulichen Informationssysteme erfüllen Sicherheits-Compliance-Anforderungen Chief Risk Officer (CRO) Gewährleisten Sie die Sicherheit und Konformität von Informationssystemen. Als Chief Risk Officer (CRO) hoffe ich, dass IT-Systeme die Anforderungen für den Schutz der Informationssystemsicherheit erfüllen, einschließlich: Korrekter Einsatz von Kryptografie- und Schlüsselverwaltungsfunktionen zum Verschlüsseln und Schützen wichtiger Daten mit vollständiger Zugriffskontrolle und Sicherheitsüberprüfung der Schlüssel. Speichern und kontrollieren Sie die Verwendung von Datenbankkontokennwörtern, Serverkontokennwörtern, SSH-Schlüsseln und anderen Anmeldeinformationen sicher und kontrollieren Sie sie, um Informationslecks und Systemangriffsrisiken durch Anmeldeinformationslecks vorzubeugen. Verschlüsselungsschutz für sensible Daten IT-Systembauer Sorgen Sie für die Sicherheit sensibler Daten in Anwendungssystemen. Als IT-Systementwickler müssen Anwendungen auf Anforderung der IT-Sicherheitsabteilung sensible Geschäftsdaten und gespeicherte oder verwendete Betriebsdaten verschlüsseln und schützen. Durch den Einsatz von KMS können die Implementierungskosten im Vergleich zu selbst erstellten Schlüsselverwaltungs- und Ver- und Entschlüsselungseinrichtungen erheblich gesenkt werden. ISV-Service-integrierte KMS-Anmeldeinformationsverwaltungslösung DienstleisterISV Für den Dienst sind die Anmeldeinformationen des Benutzers erforderlich, der Benutzer möchte jedoch nicht, dass der Inhalt der Anmeldeinformationen dem Personal des Dienstanbieters zugänglich gemacht wird. Der ISV-Dienst muss während des Betriebs die Anmeldeinformationen des Benutzers verwenden, der Benutzer möchte jedoch nicht, dass vertrauliche Anmeldeinformationen dem Dienstanbieter offengelegt werden. ISV-Dienste können KMS integrieren und KMS als Anmeldeinformationsverwaltungslösung eines Drittanbieters verwenden.
Informationssysteme erfüllen Sicherheits-Compliance-Anforderungen
Wenn Unternehmen oder Organisationen die Sicherheits-Compliance-Anforderungen von Informationssystemen bewerten, können sie auf die folgenden zwei Situationen stoßen:
Sicherheitsspezifikationen erfordern den Einsatz kryptografischer Technologie zum Schutz von Informationssystemen, und die verwendeten kryptografischen Technologien und Schlüsselverwaltungseinrichtungen müssen bestimmte technische Standards und Sicherheitsspezifikationen erfüllen.
Sicherheitsvorschriften schreiben den Einsatz von Kryptografie nicht vor, aber der Einsatz von Kryptografie wird den Prozess der Einhaltung der Vorschriften beschleunigen. Zum Beispiel: Erhalten Sie mehr Punkte in der Punktesystemspezifikation.
KMS bietet die folgenden Funktionen, um Unternehmen bei der Erfüllung von Compliance-Anforderungen zu unterstützen:
Funktion veranschaulichen Referenzdokumentation Passwort-Compliance KMS unterstützt die Verbindung zu Ihrem kryptografischen Maschineninstanz-Cluster (HSM) im Alibaba Cloud Encryption Service, um die Schlüsselverwaltung und kryptografische Berechnung zu implementieren. Das Schlüsselmaterial des Hardwareschlüssels verlässt nicht die HSM-Sicherheitsgrenze Ihrer kryptografischen Maschineninstanz. Mit KMS können Sie kryptografische Computerdienste wie Schlüsselverwaltung, Datenverschlüsselung und -entschlüsselung sowie digitale Signaturen für gängige kryptografische Algorithmen über Hardwareschlüssel implementieren. veranschaulichen Die vom Alibaba Cloud Encryption Service bereitgestellte kryptografische Maschineninstanz (HSM) erfüllt die Konformität der GM/T 0028 Level 2-Zertifizierung. Übersicht über die wichtigsten Dienste Was ist ein Verschlüsselungsdienst? Berechtigungsverwaltung Durch die Verwendung von Credential Manager können Sie die Sicherheitsverwaltungsanforderungen für RAM AccessKey, RDS-Kontokennwort, ECS-SSH-Schlüssel und andere Anmeldeinformationen problemlos erfüllen und gleichzeitig effiziente und zuverlässige Notfallreaktionsfunktionen für Datenlecks bereitstellen. Übersicht über die Verwaltung von Anmeldeinformationen Vertraulichkeit der Daten Verschlüsseln Sie die Privatsphäre über KMS, um zu verhindern, dass die Privatsphäre in Angriffsszenarien preisgegeben wird, und erfüllen Sie die Anforderungen von Gesetzen und Vorschriften zum Datenschutz. Übersicht über die wichtigsten Dienste Authentifizierung und Zugriffskontrolle KMS implementiert eine einheitliche Authentifizierung und Autorisierungsverwaltung durch Zugriffskontrolle (RAM). KMS-Instanzen stellen nur VPC-Adressen bereit und bieten Ihnen eine praktische Authentifizierung und Autorisierungsverwaltung auf Anwendungsebene über Anwendungszugriffspunkte (AAP). Verwenden Sie RAM, um die Zugriffskontrolle auf Ressourcen zu implementieren Verwendung des Prüfschlüssels KMS speichert alle API-Aufrufdatensätze in ActionTrail, das Compliance-Audits zur Schlüsselnutzung durchführen kann. Mit KMS-Instanzen können Sie die Sicherheitsüberwachung aktivieren und alle API-Aufrufdatensätze des Instanz-Service-Gateways im von Ihnen angegebenen OSS-Speicherplatz speichern. Fragen Sie die Betriebsereignisse des Schlüsselverwaltungsdienstes mithilfe der Betriebsüberwachung ab
Verschlüsselungsschutz für sensible Daten
Sie können sensible Daten, die in der Cloud generiert oder gespeichert werden, durch Datenverschlüsselungstechnologie schützen. Alibaba Cloud unterstützt Sie auf vielfältige Weise dabei, sensible Daten zu verschlüsseln und zu schützen.
Verschlüsselungsschutzmethode Forderungen veranschaulichen Referenzdokumentation Das Anwendungssystem verwendet KMS, um Daten direkt zu verschlüsseln. Schützen Sie die Sicherheit sensibler Daten in Anwendungssystemen durch Verschlüsselungstechnologie. Die Verschlüsselungs- und Entschlüsselungs-QPS dieser sensiblen Daten ist nicht hoch und die Datengröße überschreitet 6 KB nicht. Sie können beispielsweise vertrauliche Informationen wie AK- und Datenbankkennwörter für Ihre Anwendungskonfiguration verschlüsseln. Rufen Sie die Verschlüsselungs-API von KMS auf, um vertrauliche Daten direkt mit dem Schlüssel zu verschlüsseln. Verschlüsseln und entschlüsseln Sie Daten online mit dem KMS-Hauptschlüssel Das Anwendungssystem verwendet KMS zur Verschlüsselung der Daten. Schützen Sie die Sicherheit sensibler Daten in Anwendungssystemen durch Verschlüsselungstechnologie. Diese sensiblen Daten erfordern eine Ver- und Entschlüsselung mit hoher QPS, oder die Menge der verschlüsselten Daten ist zu groß, um eine direkte Verschlüsselung zu verwenden. Verschlüsseln Sie beispielsweise vertrauliche Informationen wie die Mobiltelefonnummern und ID-Nummern Ihrer Benutzer. Verwenden Sie die Umschlagverschlüsselungstechnologie, um Schlüssel im KMS zu speichern, und stellen Sie nur verschlüsselte Datenschlüssel bereit. Verwenden Sie KMS nur, wenn Sie einen Datenschlüssel verwenden müssen, um den Klartext des Datenschlüssels für die lokale Verschlüsselung und Entschlüsselung von Geschäftsdaten abzurufen. Sie können auch das Verschlüsselungs-SDK verwenden, das die Umschlagverschlüsselung zum Verschlüsselungsschutz kapselt. Verschlüsseln und entschlüsseln Sie Daten lokal mithilfe der KMS-Umschlagverschlüsselung Übersicht über das Krypto-SDK Serverseitige Verschlüsselung des Cloud-Produkts Bieten Sie eine grundlegende Garantie für die Datensicherheitsumgebung von IT-Einrichtungen in der Cloud. Zum Beispiel: Verwenden Sie die serverseitige Objektspeicherverschlüsselung zum Schutz von OSS-Buckets, in denen vertrauliche Daten gespeichert sind, oder verwenden Sie die transparente Datenverschlüsselung (TDE) der Datenbank, um Tabellen zu schützen, in denen vertrauliche Daten gespeichert sind. Wenn Sie Alibaba Cloud-Produkte zum Speichern von Daten verwenden, können Sie die serverseitige Verschlüsselungsfunktion des Cloud-Produkts nutzen, um die Daten effektiver zu verschlüsseln und zu schützen. Cloud-Dienste, die serverseitige integrierte Verschlüsselung unterstützen Verwenden Sie den Anmeldeinformationsmanager Es bietet Ihnen eine vollständige Lebenszyklusverwaltung von Anmeldeinformationen sowie eine sichere und bequeme Methode für den Anwendungszugriff und hilft Ihnen, das Risiko des Verlusts vertraulicher Informationen zu vermeiden, das durch die harte Codierung von Anmeldeinformationen im Code verursacht wird. Beispiel: Sie können vertrauliche Daten wie Passwörter, Token, SSH-Schlüssel und AKs im Credential Manager hosten und diese über sichere Zugriffsmethoden verwalten. Hosten Sie Ihre Anmeldeinformationen für den Zugriff auf vertrauliche Informationen im Credential Manager, um die Sicherheit des Zugriffs auf vertrauliche Informationen durch Sicherheitszugriffsmechanismen auf Anwendungsebene zu gewährleisten. Sie können Anmeldeinformationen auch dynamisch rotieren, um das Risiko von Datenlecks zu vermeiden. Übersicht über die Verwaltung von Anmeldeinformationen
ISV-Service-integrierte KMS-Anmeldeinformationsverwaltungslösung
Benutzer können Anmeldeinformationen in KMS verwalten und ISV-Diensten die Verwendung von Anmeldeinformationen autorisieren. KMS fungiert als Sicherheitsschutzmechanismus eines Drittanbieters zwischen ISV-Diensten und Benutzern und ermöglicht es Benutzern und ISV-Diensten, ihre jeweiligen Aufgaben zu erfüllen und gemeinsam die Sicherheit des Systems zu gewährleisten.
Benutzer-Rolle veranschaulichen Referenzdokumentation Der Administrator des Benutzers Anmeldeinformationen in KMS verwalten. Verwalten Sie die Berechtigungen für die Verwendung von Anmeldeinformationen in der Zugriffskontrolle (RAM) und ermöglichen Sie ISV-Diensten die Verwendung bestimmter Anmeldeinformationen in KMS durch Ressourcenautorisierung über Alibaba Cloud-Konten hinweg. Ressourcenautorisierung für alle Alibaba Cloud-Konten ISV-Dienst Der ISV-Dienst verwendet benutzerspezifische Anmeldeinformationen über die in KMS integrierte API. API-Übersicht Prüfer des Benutzers Durch Betriebsprüfungen (ActionTrail) werden Post-Mortem-Prüfungen des Verhaltens des ISV-Dienstes mithilfe von Schlüsseln bei jedem Zugriff auf KMS durchgeführt. Fragen Sie die Betriebsereignisse des Schlüsselverwaltungsdienstes mithilfe der Betriebsüberwachung ab
Leistungsdaten
Überblick
KMS bietet zwei APIs, die KMS-API und die KMS-Instanz-API. Es ist zu beachten, dass das KMS-API-Anforderungskontingent für jedes Alibaba Cloud-Konto begrenzt ist und die Leistungsdaten der KMS-Instanz-API für jede KMS-Instanz begrenzt sind.
KMS-API
KMS legt ein Kontingent für die Anzahl der pro Sekunde angeforderten API-Vorgänge fest. Sobald das API-Anforderungskontingent überschritten ist, begrenzt KMS die Anforderungen (d. h. lehnt ansonsten gültige Anforderungen ab) und gibt eine Fehlerantwort ähnlich dem folgenden Beispiel zurück. Für solche Fehlerantworten, die durch einen erneuten Versuch behoben werden können, können Sie in Ihrer Anwendung Anforderungs-Backoff- und Wiederholungsrichtlinien einführen.
In der folgenden Tabelle ist das KMS-Anfragekontingent für jedes Alibaba Cloud-Konto in einer einzelnen Region aufgeführt.
Operationstyp Beteiligte APIs Quote Schlüsselverwaltungsvorgänge Fragen Sie die Metadaten, Eigenschaften oder den Status von Ressourcen wie Schlüssel, Aliase, Tags usw. ab. Die API-Schnittstellen in der Liste teilen sich diesen Kontingentsatz. GetParametersForImport DescribeKey ListKeys DescribeKeyVersion ListKeyVersions GetPublicKey ListAliases ListAliasesByKeyId ListResourceTags ListTagResources DescribeRegions 50 Mal/Sekunde Erstellen Sie einen Schlüssel. CreateKey 10 Mal/Sekunde Erstellen Sie Aliase, ändern Sie Schlüssel, Aliase, Beschriftungen und andere Vorgänge. Die API-Schnittstellen in der Liste teilen sich diesen Kontingentsatz. ImportKeyMaterial EnableKey DisableKey SetDeletionProtection ScheduleKeyDeletion CancelKeyDeletion DeleteKeyMaterial UpdateKeyDescription UpdateRotationPolicy Alias erstellen UpdateAlias Alias löschen TagResource UntagResource TagResources UntagResources 30 Mal/Sekunde kryptografische Operationen Verwenden Sie symmetrische Schlüssel, um Datenschlüssel zu generieren, zu verschlüsseln, zu entschlüsseln und für andere Vorgänge. Die API-Schnittstellen in der Liste teilen sich diesen Kontingentsatz. veranschaulichen Dieser Schnittstellensatz wird nur bei Verwendung der serverseitigen Verschlüsselung des Cloud-Produkts unterstützt. Weitere Informationen finden Sie unter Übersicht über die KMS-Verschlüsselung der Cloud-Produktintegration. Verschlüsseln GenerateDataKey GenerateDataKeyWithoutPlaintext ExportDataKey GenerateAndExportDataKey Entschlüsseln 750 Mal/Sekunde Verwenden Sie asymmetrische Schlüssel, um Verschlüsselungs-, Entschlüsselungs- und Signaturüberprüfungsvorgänge durchzuführen. Die API-Schnittstellen in der Liste teilen sich diesen Kontingentsatz. veranschaulichen Dieser Schnittstellensatz wird nur bei Verwendung der serverseitigen Verschlüsselung des Cloud-Produkts unterstützt. Weitere Informationen finden Sie unter Übersicht über die KMS-Verschlüsselung der Cloud-Produktintegration. AsymmetricSign AsymmetricVerify AsymmetricDecrypt AsymmetricEncrypt 200 Mal/Sekunde Berechtigungsbezogene Vorgänge Anmeldeinformationen erstellen oder löschen. Die API-Schnittstellen in der Liste teilen sich diesen Kontingentsatz. CreateSecret Secret löschen 10 Mal/Sekunde Anmeldedaten abfragen und Anmeldewerte abrufen. Die API-Schnittstellen in der Liste teilen sich diesen Kontingentsatz. Beschreibe das Geheimnis GetSecretValue 450 Mal/Sekunde Fragen Sie die Anmeldeinformationsliste, Anmeldeinformationsmetadateninformationen und andere Lese- und Schreibvorgänge mit geringer Häufigkeit ab. Die API-Schnittstellen in der Liste teilen sich diesen Kontingentsatz. ListSecrets ListSecretVersionIds PutSecretValue UpdateSecret UpdateSecretVersionStage GetRandomPassword UpdateSecretRotationPolicy RestoreSecret 40 Mal/Sekunde Rotation der Anmeldeinformationen. RotateSecret 50 Mal/Stunde Andere Operationen Aktivieren Sie den Schlüsselverwaltungsdienst und fragen Sie den Status des Schlüsselverwaltungsdienstes ab. Die API-Schnittstellen in der Liste teilen sich diesen Kontingentsatz. OpenKmsService DescribeAccountKmsStatus 1 Mal/Sekunde
KMS-Instanz-API
Beispiel für die Verwaltung von Softwareschlüsseln
Operationstyp API-Schnittstelle Rechenleistung beträgt 1000 (mal/Sekunde) Rechenleistung beträgt 2000 (mal/Sekunde) Rechenleistung beträgt 4000 (mal/Sekunde) Die Rechenleistung beträgt 10000 (mal/Sekunde) Die Rechenleistung beträgt 20000 (mal/Sekunde) Umgang mit symmetrischen Algorithmen Verwenden Sie symmetrische Schlüssel zum Verschlüsseln und Entschlüsseln von Daten, zum Generieren von Datenschlüsseln und für andere Vorgänge. Die API-Schnittstellen in der Liste teilen sich diesen Kontingentsatz. AdvanceEncrypt AdvanceDecrypt AdvanceGenerateDataKey Verschlüsseln Entschlüsseln GenerateDataKey 1000 2000 4000 10000 20000 Umgang mit asymmetrischen Algorithmen Verwenden Sie asymmetrische Schlüssel zum Verschlüsseln und Entschlüsseln von Daten, zum Generieren von Datenschlüsseln und für andere Vorgänge. Die API-Schnittstellen in der Liste teilen sich diesen Kontingentsatz. Verschlüsseln Entschlüsseln Zeichen Verifizieren 200 300 500 1300 2500 Holen Sie sich den öffentlichen Schlüssel Ruft den öffentlichen Schlüssel des angegebenen asymmetrischen Schlüssels ab. GetPublicKey 1000 2000 4000 10000 20000 Verwenden Sie Anmeldeinformationen Rufen Sie den Anmeldewert ab. GetSecretValue 500 1000 2000 4000 4000 Generieren Sie Zufallszahlen Generieren Sie eine Zufallszahl. Zufällig generieren 1000 2000 4000 10000 20000
Beispiel für die Verwaltung von Hardwareschlüsseln
In der folgenden Tabelle sind die Leistungsdatenreferenzwerte von KMS-Hardwareschlüsselverwaltungsinstanzen in verschiedenen Nutzungsszenarien aufgeführt.
Operationstyp API-Schnittstelle Rechenleistung beträgt 2000 (mal/Sekunde) Rechenleistung beträgt 4000 (mal/Sekunde) Rechenleistung beträgt 6000 (mal/Sekunde) Umgang mit symmetrischen Algorithmen Verwenden Sie symmetrische Schlüssel zum Verschlüsseln und Entschlüsseln von Daten, zum Generieren von Datenschlüsseln und für andere Vorgänge. Die API-Schnittstellen in der Liste teilen sich diesen Kontingentsatz. AdvanceEncrypt AdvanceDecrypt AdvanceGenerateDataKey Verschlüsseln Entschlüsseln GenerateDataKey 2000 4000 6000 Umgang mit asymmetrischen Algorithmen Verwenden Sie asymmetrische Schlüssel zum Verschlüsseln und Entschlüsseln von Daten, zum Generieren von Datenschlüsseln und für andere Vorgänge. Die API-Schnittstellen in der Liste teilen sich diesen Kontingentsatz. Verschlüsseln Entschlüsseln Zeichen Verifizieren 300 500 700 Holen Sie sich den öffentlichen Schlüssel Ruft den öffentlichen Schlüssel des angegebenen asymmetrischen Schlüssels ab. GetPublicKey 2000 4000 6000 Verwenden Sie Anmeldeinformationen Rufen Sie den Anmeldewert ab. GetSecretValue 1000 2000 3000 Generieren Sie Zufallszahlen Generieren Sie eine Zufallszahl. Zufällig generieren 2000 4000 6000