Wondershare EdrawMind
Galería de mapas mentales Servicio de gestión de claves en la nube de Alibaba
- 2
Servicio de gestión de claves en la nube de Alibaba
Key Management Service (KMS) es su plataforma integral de servicio de cifrado de datos y administración de claves y su plataforma integral de administración de seguridad de credenciales, que brinda capacidades de administración de credenciales y protección de cifrado de datos simples, confiables y seguras. KMS le ayuda a reducir los gastos de adquisición, operación y mantenimiento, y de I D en infraestructura criptográfica, productos de cifrado y descifrado de datos y productos de gestión de credenciales, para que sólo pueda centrarse en el negocio en sí.
Editado a las 2024-01-16 17:57:58,
Servicio de gestión de claves en la nube de Alibaba
- Recomendados
- Resumen
Servicio de aplicaciones distribuidas empresariales en la nube de Alibaba (EDAS)
- 1
Servicio de gestión de claves en la nube de Alibaba
Introducción del producto
Key Management Service (KMS) es su plataforma integral de servicio de cifrado de datos y administración de claves y su plataforma integral de administración de seguridad de credenciales, que brinda capacidades de administración de credenciales y protección de cifrado de datos simples, confiables y seguras. KMS le ayuda a reducir los gastos de adquisición, operación y mantenimiento, y de I+D en infraestructura criptográfica, productos de cifrado y descifrado de datos y productos de gestión de credenciales, para que sólo pueda centrarse en el negocio en sí.
componentes comerciales
KMS proporciona principalmente dos componentes comerciales: gestión de claves y gestión de credenciales.
componentes comerciales ilustrar Documentación de referencia Gestión de claves KMS proporciona alojamiento seguro de claves y la capacidad de utilizar claves para operaciones criptográficas. No solo puede brindarle las funciones de administración de claves necesarias para la protección del cifrado de datos en el lado del servidor de los productos en la nube, sino que también puede brindarle la capacidad de usar claves para firmar, cifrar, descifrar y otras operaciones criptográficas digitales en los datos. aplicaciones autoconstruidas. Descripción general del servicio clave Gestión de credenciales KMS proporciona capacidades como almacenamiento de credenciales cifradas, rotación periódica, distribución segura y administración centralizada, lo que permite que sus aplicaciones eviten el riesgo de credenciales de configuración en texto claro, admitan la rotación y reduzcan de manera efectiva el daño de los incidentes de fuga de credenciales. Descripción general de la gestión de credenciales
Características
Gestión de claves
La administración de claves proporciona la funcionalidad que se muestra en la siguiente tabla.
Función ilustrar Documentación de referencia Tipos de gestión de claves enriquecidos Proporciona claves predeterminadas gratuitas para el cifrado del lado del servidor de productos en la nube y también proporciona claves de software y claves de hardware pagas para el cifrado de datos de aplicaciones de creación propia o el cifrado del lado del servidor de productos en la nube para cumplir con diferentes escenarios de cumplimiento de seguridad y negocios. Descripción general del servicio clave Capacidades avanzadas de cumplimiento de seguridad Admite la integración de un módulo de seguridad de hardware (HSM) certificado con autoridad para cumplir con su alto nivel de seguridad y requisitos de cumplimiento para aplicaciones de tecnología criptográfica. llave de hardware Admite cifrado nativo de la nube Admite una amplia gama de integraciones de productos en la nube, lo que le ayuda a utilizar fácilmente claves KMS y tecnologías de cifrado para proteger los activos de datos confidenciales en la nube. Además de admitir el cifrado del lado del servidor de productos en la nube, también admite el cifrado en disco de los datos de la clave secreta de Kubernetes en el clúster Container Service ACK Pro. Productos en la nube que admiten cifrado KMS integrado Acceso minimalista a la aplicación Alibaba Cloud SDK le ayuda a utilizar fácilmente la función de administración de claves y a utilizar el SDK de instancia de KMS para completar operaciones criptográficas. Realice la gestión del ciclo de vida de las claves y utilice claves para cifrar, descifrar, firmar, verificar y otras funciones criptográficas de los datos. SDK de nube de Alibaba SDK de instancia de KMS Gestión centralizada y escalada Admite ROS, Terraform y otros productos, lo que le ayuda a implementar automáticamente políticas de cifrado predeterminadas y habilitar el cifrado del lado del servidor de forma predeterminada en el servidor en la nube ECS (disco en la nube), OSS de almacenamiento de objetos, base de datos relacional RDS, computación de big data MaxCompute y otros productos. Descripción general de Terraform
Gestión de credenciales
Función ilustrar Documentación de referencia Integración nativa de la nube La integración nativa de la nube le permite administrar las credenciales de RAM, RDS y ECS y configurar el ciclo de rotación para que las credenciales sean dinámicas, lo que le ayuda a enfrentar de manera efectiva las amenazas de seguridad causadas por la fuga de las cuentas AK, RDS y ECS de RAM. Descripción general de la gestión de credenciales Acceso minimalista a la aplicación Su aplicación puede acceder y utilizar credenciales de forma sencilla a través del cliente Credential Manager, el complemento de credenciales RAM y el cliente JDBC de Credential Manager. Cliente del administrador de credenciales Cliente JDBC del administrador de credenciales Complemento de credenciales de RAM Gestión centralizada y escalada Admite ROS, Terraform y otros productos para ayudarle a lograr un alojamiento seguro de credenciales y una gestión automatizada de la operación y la orquestación del mantenimiento. Descripción general de Terraform
Más referencias
concepto basico
concepto ilustrar Servicio clave Key Service le proporciona servicios informáticos criptográficos, como almacenamiento seguro y gestión del ciclo de vida de claves, cifrado y descifrado de datos mediante claves, firmas digitales y verificación de firmas. Para obtener más información sobre los servicios clave, consulte Descripción general de los servicios clave. Módulo de seguridad de hardware HSM (Módulo de seguridad de hardware) Un módulo de seguridad de hardware es un dispositivo de hardware que realiza operaciones criptográficas, genera y almacena claves de forma segura. La máquina criptográfica es el módulo de seguridad de hardware más utilizado en la construcción de sistemas de TI. KMS admite la integración de su clúster de máquinas criptográficas en Alibaba Cloud Encryption Service, brindando una mayor seguridad y garantía de nivel de cumplimiento para sus claves alojadas en KMS y cumpliendo con los requisitos de prueba y certificación de las agencias reguladoras. CMK (Clave maestra del cliente) CMK (Clave maestra del cliente) se refiere a la clave creada por usted y alojada en KMS, denominada "Clave maestra" para abreviar. La clave maestra consta del ID de la clave, los metadatos básicos y el material de la clave. Clave de servicio La clave la crea el servicio en la nube en su nombre y se aloja en KMS. Se utiliza de forma predeterminada al cifrar el servidor del producto en la nube. Gestión de claves predeterminada La administración de claves predeterminada es un tipo de administración de claves proporcionada por KMS. Las claves predeterminadas solo se pueden integrar con productos en la nube para cifrado del lado del servidor, incluidos: Clave de servicio: una clave creada y alojada por el servicio en la nube en su nombre para el cifrado del lado del servidor. Clave maestra: usted crea y administra el ciclo de vida de la clave maestra de forma independiente. Solo se puede crear una en cada región. El material de la clave puede ser generado por KMS o importado por usted. Para la clave predeterminada, KMS solo le permite utilizar el algoritmo de cifrado simétrico AES_256. Gestión de claves de software La gestión de claves de software es un tipo de gestión de claves proporcionada por KMS. La clave de software solo contiene la clave maestra que usted crea y administra el ciclo de vida de la clave de forma independiente. Puede integrarse con productos en la nube para el cifrado del lado del servidor y también puede integrarse con sus aplicaciones de creación propia para crear soluciones de criptografía de capa de aplicación. El material clave solo puede ser generado por KMS y usted mismo no puede importarlo. Para las claves de software, KMS le permite utilizar múltiples especificaciones de claves, incluidos algoritmos criptográficos simétricos y algoritmos criptográficos asimétricos. Gestión de claves de hardware La gestión de claves de hardware es un tipo de gestión de claves proporcionada por KMS. La clave de hardware solo contiene la clave maestra que usted crea y administra el ciclo de vida de la clave de forma independiente. Puede integrarse con productos en la nube para el cifrado del lado del servidor y también puede integrarse con sus aplicaciones de creación propia para crear soluciones de criptografía de capa de aplicación. El material clave puede ser generado por la máquina de cifrado (HSM) conectada a KMS, o puede importarlo usted mismo. Para las claves de hardware, KMS le permite utilizar múltiples especificaciones de claves, incluidos algoritmos criptográficos simétricos y algoritmos criptográficos asimétricos. ilustrar KMS le proporciona administración de claves de hardware y operaciones criptográficas conectándose al clúster de su máquina criptográfica (HSM) en Alibaba Cloud Encryption Service. Por lo tanto, antes de usar la clave de hardware, debe comprar una máquina criptográfica (HSM), configurar un clúster de máquinas criptográficas en Alibaba Cloud Encryption Service y conectarlo en KMS. Para operaciones específicas, consulte Cómo configurar un clúster de máquinas criptográficas que se puede conectar a través de una instancia de administración de claves de hardware KMS. Material clave El material clave es uno de los insumos importantes para las operaciones criptográficas. Se recomienda mantener confidencial el material de clave de la clave privada del algoritmo criptográfico asimétrico y el material de clave del algoritmo criptográfico simétrico para proteger las operaciones criptográficas basadas en el material de clave. Clave predeterminada: cuando crea la clave maestra en la clave predeterminada, admite la generación de material de claves por parte de KMS (el atributo de origen es Aliyun_KMS) y también admite la importación de material de claves por usted mismo (el atributo de origen es EXTERNO). Clave de software: cuando crea una clave de software, solo se admite el material de clave generado por KMS (el atributo de origen es Aliyun_KMS). Actualmente no se admite la importación de material de clave usted mismo. Clave de hardware: cuando crea una clave de hardware, la máquina criptográfica (HSM) conectada a KMS puede generar material de clave (el atributo de origen es Aliyun_KMS), o puede importar el material de clave usted mismo (el atributo de origen es EXTERNO). Cartas credenciales Las credenciales son información confidencial que se utiliza para autenticar aplicaciones, como contraseñas de cuentas de bases de datos, claves SSH, direcciones confidenciales, datos confidenciales de AK, etc. Gerente de secretos Credential Manager le brinda administración del ciclo de vida completo de las credenciales y un método de acceso a aplicaciones seguro y conveniente, lo que lo ayuda a evitar el riesgo de fuga de información confidencial causada por la codificación de credenciales en el código. Para obtener más información sobre Credential Butler, consulte Descripción general de Credential Butler. Punto de acceso a la aplicación El punto de acceso a aplicaciones AAP es un esquema de control de acceso implementado por KMS, que es adecuado para la autenticación de identidad y la autenticación de comportamiento cuando las aplicaciones acceden a los recursos de KMS.
Ventajas del producto
Múltiples integraciones
Autenticación de identidad y control de acceso
KMS utiliza el mecanismo de autenticación de identidad (AccessKey) para identificar la legitimidad de las solicitudes. KMS también se integra con el control de acceso (RAM) para permitirle configurar diversas políticas personalizadas para cumplir con diferentes escenarios de autorización. KMS solo acepta solicitudes iniciadas por usuarios legítimos y que cumplan con la detección dinámica de permisos de la RAM.
Uso de claves de auditoría
Al integrar KMS con Operation Audit (ActionTrail), puede ver el uso reciente de KMS y almacenar el uso de KMS en otros servicios en la nube, como OSS, para satisfacer las necesidades de auditoría a largo plazo.
Cifrado integrado de productos en la nube
KMS se integra perfectamente con Alibaba Cloud ECS, RDS, OSS y otros productos. A través de la integración de una sola parte, puede utilizar fácilmente claves KMS para cifrar y controlar los datos almacenados en estos servicios. Solo necesita pagar el costo de la administración de claves sin implementar medidas de cifrado complejas. Al mismo tiempo, el cifrado integrado resuelve el problema de protección del cifrado de datos nativos en otros productos en la nube.
Fácil de usar
Cifrado simplificado
KMS proporciona una API de operación criptográfica simple, que simplifica y abstrae el concepto de criptografía, lo que le permite usar fácilmente la API para completar el cifrado y descifrado de datos.
Custodia de claves centralizada
Puede crear una nueva clave en cualquier momento y administrar fácilmente quién o qué aplicaciones pueden acceder a ella a través del control de acceso (RAM) y los puntos de acceso a aplicaciones (AAP).
Puede utilizar ActionTrail para revisar las operaciones en los recursos KMS.
Soporte trae tu propia clave (BYOK)
KMS admite BYOK (traiga su propia clave). Puede importar claves desde instalaciones de sistemas externos, como infraestructura de administración de claves (KMI) fuera de línea, a KMS para la protección de cifrado de datos en productos en la nube o escenarios de uso de tecnología criptográfica en sistemas de aplicaciones de creación propia.
KMS utiliza un algoritmo de intercambio de claves seguro y compatible para garantizar que el operador ni ningún tercero vea el texto sin formato de la clave.
Alta confiabilidad, alta disponibilidad, escalabilidad
KMS admite capacidades de computación de contraseñas redundantes en múltiples zonas de disponibilidad en cada región, lo que garantiza que las solicitudes iniciadas por varios productos en Alibaba Cloud y sus aplicaciones personalizadas en KMS puedan procesarse con baja latencia. Puede actualizar rápidamente según sea necesario.
Capacidades de seguridad y cumplimiento
KMS se ha sometido a un estricto diseño de seguridad y auditorías para garantizar que sus claves reciban la protección más estricta en Alibaba Cloud.
KMS solo proporciona canales de acceso seguros basados en TLS y solo utiliza un conjunto de algoritmos de cifrado de transporte seguro que cumple con especificaciones de seguridad como PCI DSS.
KMS admite instalaciones criptográficas certificadas y autorizadas por agencias reguladoras.
Alibaba Cloud Encryption Service proporciona equipos de cifrado de hardware que han sido probados y certificados por la Administración Estatal de Criptozoología y han obtenido la certificación GM/T 0028 Nivel 2. KMS admite la integración del clúster de máquinas de cifrado que administra en Alibaba Cloud Encryption Service para la administración de claves y el cálculo de contraseñas.
bajo costo
No necesita pagar el costo inicial de compra de equipos criptográficos de hardware ni los gastos continuos de operación, mantenimiento, parches y reemplazo.
KMS le ahorra los costos de investigación y desarrollo y los gastos de mantenimiento que implica la creación de un clúster de dispositivos criptográficos con disponibilidad y confiabilidad, así como también instalaciones de administración de claves autoconstruidas.
La integración de KMS con otros productos de Alibaba Cloud le ahorra el costo de desarrollar un sistema de cifrado de datos y solo necesita administrar claves para obtener capacidades de cifrado de datos controlables en la nube.
Escenarios de aplicación
Escenario típico
Escenas rol del usuario demandas ilustrar Los sistemas de información cumplen con los requisitos de cumplimiento de seguridad. Director de Riesgos (CRO) Garantizar la seguridad y cumplimiento de los sistemas de información. Como Director de Riesgos (CRO), espero que los sistemas de TI cumplan con los requisitos para la protección de seguridad del sistema de información, que incluyen: Uso adecuado de la criptografía y las funciones de gestión de claves para cifrar y proteger datos importantes, con control de acceso completo y auditoría de seguridad de las claves. Almacene y controle de forma segura el uso de contraseñas de cuentas de bases de datos, contraseñas de cuentas de servidores, claves SSH y otra información de credenciales para evitar la fuga de información y los riesgos de ataques al sistema causados por la fuga de credenciales. Protección de cifrado de datos confidenciales constructor de sistemas de TI Garantizar la seguridad de los datos sensibles en los sistemas de aplicaciones. Como creador de sistemas de TI, a petición del departamento de seguridad de TI, las aplicaciones deben cifrar y proteger los datos comerciales confidenciales y los datos operativos almacenados o utilizados. Al utilizar KMS, los costos de implementación se pueden reducir considerablemente en comparación con la administración de claves y las instalaciones de cifrado y descifrado autoconstruidas. Solución de gestión de credenciales KMS integrada con servicio ISV Proveedor de serviciosISV El servicio requiere el uso de las credenciales del usuario, pero el usuario no desea que el contenido de las credenciales quede expuesto al personal del proveedor del servicio. El servicio ISV necesita utilizar la información de credenciales del usuario durante la operación, pero el usuario no quiere que la información de credenciales confidencial quede expuesta al proveedor de servicios. Los servicios ISV pueden integrar KMS y utilizar KMS como una solución de gestión de credenciales de terceros.
Los sistemas de información cumplen con los requisitos de cumplimiento de seguridad.
Cuando las empresas u organizaciones evalúan los requisitos de cumplimiento de seguridad de los sistemas de información, pueden encontrar las dos situaciones siguientes:
Las especificaciones de seguridad requieren el uso de tecnología criptográfica para proteger los sistemas de información, y la tecnología criptográfica y las instalaciones de gestión de claves utilizadas deben cumplir estándares técnicos y especificaciones de seguridad específicos.
Las normas de seguridad no exigen el uso de criptografía, pero su uso acelerará el proceso de cumplimiento de las normas. Por ejemplo: obtener más puntos en la especificación del sistema de puntuación.
KMS proporciona las siguientes capacidades para ayudar a las empresas a cumplir con los requisitos de cumplimiento:
Función ilustrar Documentación de referencia Cumplimiento de contraseña KMS admite la conexión al clúster de su instancia de máquina criptográfica (HSM) en Alibaba Cloud Encryption Service para implementar la administración de claves y el cálculo criptográfico. El material de la clave de la clave de hardware no saldrá del límite de seguridad HSM de su instancia de máquina criptográfica. KMS le permite implementar servicios de computación criptográfica como administración de claves, cifrado y descifrado de datos y firmas digitales para algoritmos criptográficos comunes a través de claves de hardware. ilustrar La instancia de máquina criptográfica (HSM) proporcionada por Alibaba Cloud Encryption Service cumple con la certificación GM/T 0028 Nivel 2. Descripción general del servicio clave ¿Qué es un servicio de cifrado? Gestión de credenciales Al utilizar Credential Manager, puede cumplir fácilmente con los requisitos de administración de seguridad para RAM AccessKey, contraseña de cuenta RDS, clave ECS SSH y otras credenciales, al mismo tiempo que brinda capacidades de respuesta de emergencia contra fugas de datos eficientes y confiables. Descripción general de la gestión de credenciales Confidencialidad de los datos La privacidad personal está cifrada y protegida a través de KMS para evitar que se filtre la privacidad personal en escenarios de ataque y cumplir con los requisitos de las leyes y regulaciones relacionadas con la protección de datos. Descripción general del servicio clave Autenticación y control de acceso KMS implementa una gestión unificada de autenticación y autorización a través del control de acceso (RAM). Las instancias KMS solo proporcionan direcciones VPC y le brindan una conveniente administración de autorización y autenticación a nivel de aplicación a través de puntos de acceso a aplicaciones (AAP). Utilice RAM para implementar control de acceso a recursos Uso de claves de auditoría KMS almacena todos los registros de llamadas API en ActionTrail, que puede realizar auditorías de cumplimiento sobre el uso de claves. Las instancias KMS le permiten habilitar la auditoría de seguridad y almacenar todos los registros de llamadas API de la puerta de enlace del servicio de instancia en el espacio de almacenamiento OSS que especifique. Consultar los eventos de operación del servicio de administración de claves mediante la auditoría de operaciones.
Protección de cifrado de datos confidenciales
Puede proteger los datos confidenciales generados o almacenados en la nube mediante tecnología de cifrado de datos. Alibaba Cloud le ayuda a cifrar y proteger datos confidenciales de diversas formas.
Método de protección de cifrado demandas ilustrar Documentación de referencia El sistema de la aplicación utiliza KMS para cifrar datos directamente. Proteja la seguridad de los datos confidenciales en los sistemas de aplicaciones mediante tecnología de cifrado. El QPS de cifrado y descifrado de estos datos confidenciales no es alto y el tamaño de los datos no supera los 6K. Por ejemplo, configure su aplicación para cifrar información confidencial, como AK y contraseñas de cuentas de bases de datos. Llame a la API de cifrado de KMS para cifrar directamente datos confidenciales utilizando la clave. Cifre y descifre datos en línea usando la clave maestra KMS El sistema de aplicación utiliza KMS para cifrar datos. Proteja la seguridad de los datos confidenciales en los sistemas de aplicaciones mediante tecnología de cifrado. Estos datos confidenciales requieren un alto cifrado y descifrado QPS o la cantidad de datos cifrados es demasiado grande para utilizar el cifrado directo. Por ejemplo, cifre información confidencial, como los números de teléfono móvil y los números de identificación de sus usuarios. Utilice tecnología de cifrado de sobres para almacenar claves en KMS e implemente únicamente claves de datos cifradas. Solo cuando necesite utilizar una clave de datos, utilice KMS para obtener el texto sin formato de la clave de datos para el cifrado y descifrado local de datos comerciales. También puede utilizar el SDK de cifrado que encapsula el cifrado de sobres para la protección del cifrado. Cifre y descifre datos localmente utilizando el cifrado de sobre KMS Descripción general del SDK criptográfico Cifrado del lado del servidor de productos en la nube Proporcionar garantía básica para el entorno de seguridad de datos de las instalaciones de TI en la nube. Por ejemplo: usar el cifrado del lado del servidor de almacenamiento de objetos para proteger los depósitos de OSS que almacenan datos confidenciales o usar el cifrado de datos transparente de la base de datos (TDE) para proteger las tablas que almacenan datos confidenciales. Si utiliza los productos Alibaba Cloud para guardar datos, puede utilizar la función de cifrado del lado del servidor del producto en la nube para cifrar y proteger los datos de forma más eficaz. Servicios en la nube que admiten cifrado integrado del lado del servidor Usar el administrador de credenciales Le proporciona una gestión completa del ciclo de vida de las credenciales y un método de acceso a las aplicaciones seguro y conveniente, lo que le ayuda a evitar el riesgo de fuga de información confidencial causada por la codificación de credenciales en el código. Por ejemplo: puede alojar datos confidenciales como contraseñas, tokens, claves SSH y AK en Credential Manager y administrarlos a través de métodos de acceso seguro. Aloje sus credenciales de acceso a información confidencial en Credential Manager para garantizar la seguridad del acceso a información confidencial a través de mecanismos de acceso de seguridad a nivel de aplicación. También puede rotar dinámicamente las credenciales para evitar el riesgo de fuga de datos. Descripción general de la gestión de credenciales
Solución de gestión de credenciales KMS integrada con servicio ISV
Los usuarios pueden administrar las credenciales en KMS y autorizar a los servicios ISV a utilizar credenciales. KMS actúa como un mecanismo de protección de seguridad de terceros entre los servicios ISV y los usuarios, lo que permite a los usuarios y los servicios ISV realizar sus respectivas tareas y garantizar conjuntamente la seguridad del sistema.
rol del usuario ilustrar Documentación de referencia administrador del usuario Administrar credenciales en KMS. Administre los permisos para el uso de credenciales en el control de acceso (RAM) y permita que los servicios ISV utilicen credenciales específicas en KMS a través de la autorización de recursos en las cuentas de Alibaba Cloud. Autorización de recursos en cuentas de Alibaba Cloud servicio ISV El servicio ISV utiliza credenciales especificadas por el usuario a través de la API integrada con KMS. Descripción general de la API auditor del usuario A través de la auditoría de operaciones (ActionTrail), el servicio ISV realiza una auditoría post facto sobre el comportamiento del uso de claves cada vez que accede a KMS. Consultar los eventos de operación del servicio de administración de claves mediante la auditoría de operaciones.
Datos de rendimiento
Descripción general
KMS proporciona dos API, API de KMS y API de instancia de KMS. Cabe señalar que la cuota de solicitudes de API de KMS está limitada para cada cuenta de Alibaba Cloud, y los datos de rendimiento de la API de la instancia de KMS están limitados para cada instancia de KMS.
API de KMS
KMS establece una cuota para la cantidad de operaciones de API solicitadas por segundo. Una vez que se excede la cuota de solicitudes de API, KMS limitará las solicitudes (es decir, rechazará solicitudes que de otro modo serían válidas) y devolverá una respuesta de error similar al siguiente ejemplo. Para respuestas de error que se pueden resolver reintentando, puede introducir políticas de reintento y retroceso de solicitudes en su aplicación.
La siguiente tabla enumera la cuota de solicitudes de KMS para cada cuenta de Alibaba Cloud en una sola región.
Tipo de operación API involucradas cuota Operaciones de gestión clave Consulta los metadatos, propiedades o estado de recursos como claves, alias, etiquetas, etc. Las interfaces API de la lista comparten este conjunto de cuotas. Obtener parámetros para importar Describir clave Lista de claves Describir versión clave Lista de versiones de clave Obtener clave pública Lista de alias Lista de alias por claveId Lista de etiquetas de recursos ListaTagRecursos Describir Regiones 50 veces/segundo Crea una clave. Crear clave 10 veces/segundo Cree alias, modifique claves, alias, etiquetas y otras operaciones. Las interfaces API de la lista comparten este conjunto de cuotas. Importar material clave Habilitar clave Desactivar clave Establecer protección de eliminación Programar eliminación de claves Cancelar eliminación de clave Eliminar material clave Descripción de la clave de actualización Actualizar política de rotación CrearAlias ActualizarAlias EliminarAlias EtiquetaRecurso UntagResource EtiquetaRecursos DesetiquetarRecursos 30 veces/segundo operaciones criptográficas Utilice claves simétricas para generar claves de datos, cifrar, descifrar y otras operaciones. Las interfaces API de la lista comparten este conjunto de cuotas. ilustrar Este conjunto de interfaces solo se admite cuando se utiliza el cifrado del lado del servidor del producto en la nube. Para obtener más información, consulte Descripción general del cifrado KMS de integración de productos en la nube. cifrar Generar clave de datos Generar clave de datos sin texto sin formato Exportar clave de datos Generar y exportar clave de datos Descifrar 750 veces/segundo Utilice claves asimétricas para realizar operaciones de cifrado, descifrado y verificación de firmas. Las interfaces API de la lista comparten este conjunto de cuotas. ilustrar Este conjunto de interfaces solo se admite cuando se utiliza el cifrado del lado del servidor del producto en la nube. Para obtener más información, consulte Descripción general del cifrado KMS de integración de productos en la nube. Signo Asimétrico AsimétricoVerificar Descifrar asimétrico Cifrado asimétrico 200 veces/segundo Operaciones relacionadas con credenciales Crear o eliminar credenciales. Las interfaces API de la lista comparten este conjunto de cuotas. CrearSecreto EliminarSecreto 10 veces/segundo Consultar información de credenciales y obtener valores de credenciales. Las interfaces API de la lista comparten este conjunto de cuotas. DescribirSecreto Obtener valor secreto 450 veces/segundo Consulta la lista de credenciales, la información de metadatos de credenciales y otras operaciones de lectura y escritura de baja frecuencia. Las interfaces API de la lista comparten este conjunto de cuotas. Lista de secretos Lista de ID de versión secreta Poner valor secreto ActualizaciónSecreto UpdateSecretVersionStage Obtener contraseña aleatoria Actualizar política de rotación secreta RestaurarSecreto 40 veces/segundo Rotación de credenciales. RotarSecreto 50 veces/hora Otras operaciones Active el servicio de gestión de claves y consulte el estado del servicio de gestión de claves. Las interfaces API de la lista comparten este conjunto de cuotas. Servicio OpenKms Describir EstadoKmsCuenta 1 vez/segundo
API de instancia de KMS
Ejemplo de gestión de claves de software
Tipo de operación interfaz API El rendimiento informático es 1000 (veces/segundo) El rendimiento informático es 2000 (veces/segundo) El rendimiento informático es 4000 (veces/segundo) El rendimiento informático es 10000 (veces/segundo) El rendimiento informático es 20000 (veces/segundo) Manejo de algoritmos simétricos Utilice claves simétricas para cifrar y descifrar datos, generar claves de datos y otras operaciones. Las interfaces API de la lista comparten este conjunto de cuotas. Cifrado avanzado AvanceDecrypt AdvanceGenerateDataKey cifrar Descifrar Generar clave de datos 1000 2000 4000 10000 20000 Manejo de algoritmos asimétricos Utilice claves asimétricas para cifrar y descifrar datos, generar claves de datos y otras operaciones. Las interfaces API de la lista comparten este conjunto de cuotas. cifrar Descifrar Firmar Verificar 200 300 500 1300 2500 Obtener clave pública Obtiene la clave pública para la clave asimétrica especificada. Obtener clave pública 1000 2000 4000 10000 20000 Usar credenciales Obtenga el valor de la credencial. Obtener valor secreto 500 1000 2000 4000 4000 Generar números aleatorios Genera un número aleatorio. GenerarAleatorio 1000 2000 4000 10000 20000
Ejemplo de gestión de claves de hardware
La siguiente tabla enumera los valores de referencia de datos de rendimiento de las instancias de administración de claves de hardware de KMS en varios escenarios de uso.
Tipo de operación interfaz API El rendimiento informático es 2000 (veces/segundo) El rendimiento informático es 4000 (veces/segundo) El rendimiento informático es 6000 (veces/segundo) Manejo de algoritmos simétricos Utilice claves simétricas para cifrar y descifrar datos, generar claves de datos y otras operaciones. Las interfaces API de la lista comparten este conjunto de cuotas. Cifrado avanzado AvanceDecrypt AdvanceGenerateDataKey cifrar Descifrar Generar clave de datos 2000 4000 6000 Manejo de algoritmos asimétricos Utilice claves asimétricas para cifrar y descifrar datos, generar claves de datos y otras operaciones. Las interfaces API de la lista comparten este conjunto de cuotas. cifrar Descifrar Firmar Verificar 300 500 700 Obtener clave pública Obtiene la clave pública para la clave asimétrica especificada. Obtener clave pública 2000 4000 6000 Usar credenciales Obtenga el valor de la credencial. Obtener valor secreto 1000 2000 3000 Generar números aleatorios Genera un número aleatorio. GenerarAleatorio 2000 4000 6000