密钥管理服务（Key Management Service，KMS）是一款安全管理类服务，可以让您轻松创建和管理密钥，保护密钥的保密性、完整性和可用性，满足用户多应用多业务的密钥管理需求，符合监管和合规要求。

功能

安全合规

密钥管理服务底层使用国家密码局或 FIPS-140-2 认证的硬件安全模块（HSM）来保护密钥的安全，确保密钥的保密性、完整性和可用性。

托管式密钥管理

密钥管理服务为您提供了丰富的管理功能，包括密钥创建、启用、禁用、轮换设置、别名设置、查看密钥详情、修改相关信息等功能 。您可以依托腾讯云密钥管理服务轻松的创建、保护以及执行您的各项密钥管理策略。

密钥轮换

提供 CMK 密钥交换能力，默认关闭，由用户设置是否打开，开启后 CMK 会一年交换一次，密钥交换由密钥管理服务系统管理，对上透明，交换后使用该 CMK 加密的旧的密文依然可以解密。新的加密则使用新的 CMK。

权限控制

与腾讯云访问管理集成，通过身份管理和策略管理控制哪些账户，哪些角色可以访问或管理您的敏感密钥。

内置审计

与腾讯云审计集成，可记录所有 API 请求，包括密钥管理操作和密钥使用情况。

稳定可靠

采用多机房分布式集群化的业务部署和热备份，底层 HSM 设备采用双机房冷备份部署，确保密钥管理服务的高可用性。

无缝集成服务

密钥管理服务与对象存储、分布式数据库、云硬盘等服务的加密特性无缝集成，您可以轻松地应用密钥管理服务来管理这些服务内所存储数据的加密。

集中化密钥管理

您可以通过 API、SDK、云产品等多种方式调用并集成密钥管理服务，实现对各类应用程序的密钥的集中管理，无论这些业务应用在腾讯云内或是腾讯云外。

敏感数据加密

敏感信息加密是密钥管理服务核心的能力，实际应用中主要用来保护服务器硬盘上敏感数据的安全（小于4KB），如密钥、证书、配置文件等。

信封加密

信封加密（Envelope Encryption）是一种应对海量数据的加解密方案。在密钥管理服务信封加密场景中，只需要传输数据加密密钥 DEK 到密钥管理服务服务端（通过 CMK 进行加解密），所有的业务数据都是采用的本地对称加密处理，对业务的访问体验影响很小。

产品概述

下图所示为密钥管理服务（KMS）产品架构图：

产品优势

安全合规

KMS 使用经过第三方认证的硬件安全模块（HSM）来生成和保护密钥，安全和质量控制已通过多种合规性计划认证。您的主密钥的的创建、管理等操作都将在合规的 HSM 硬件中进行，腾讯云在内的任何人都无法获取到您的明文主密钥。

高可用

在服务架构方层面，KMS 服务通过单地域多机房提供可靠性，其底层使用的 HSM 设备也采用多机房集群化部署，并提供双机房冷备份设备，确保服务的高可用性。在接入层面，KMS 通过云 API3.0 提供对外接入服务。云 API3.0 分地域部署，接入域名提供统一域名和地域立域名两种方式，确保服务接入的高可用性。

集中化密钥管理

您可以通过 API、SDK 及已经对接的云产品接入腾讯云 KMS 服务，并使用 KMS 集中管理您业务应用的密钥策略，无论这些业务应用是在腾讯云或是腾讯云外。

成本低廉

无须购买的硬件加密设备，一键部署，按量付费，腾讯云将提供所有后端服务维护。

一般常见问题

什么是信封加密？

信封加密（Envelope Encryption）是一种应对海量数据的加解密方案。在密钥管理服务信封加密场景中，只需要传输数据加密密钥到密钥管理服务端（通过主密钥进行加解密），所有的业务数据都是采用的本地对称加密处理，对业务的访问体验影响很小。

海量的业务数据在存储或通信的过程中使用数据加密密钥以对称加密的方式加密，而数据加密密钥又通过主密钥加密保护，而解密时，以通信场景为例，发送方将数据密文和数据加密密钥密文一起传输，接收方先解密出数据加密密钥明文，然后通过数据加密密钥解密出数据明文。

什么是主密钥？

用户主密钥（Customer Master Keys，CMK）是由腾讯云为你保管的主密钥，这些主密钥受到经过第三方认证硬件安全模块（HSM）的保护，通过它来加解密业务使用到的密码、证书、数据密钥等敏感数据，可以通过控制台和 API 来创建和管理主密钥。

用户主密钥（CMK）包括用户密钥（CMK）和云产品密钥（CMK）两种类型。

什么是用户密钥？

用户密钥是用户通过控制台和 API 来创建的用户主密钥。您可以对用户密钥进行创建/启用/禁用/轮换/权限控制等操作。