允许您在腾讯云架构上使用您自有的密钥材料进行敏感数据加解密服务,即在腾讯云上实施 BYOK(Bring Your Own Key)方案。
应用场景
敏感数据加密
技术应用:敏感信息加密是密钥管理系统核心的能力,实际应用中主要用来保护服务器硬盘上敏感数据的安全(小于4KB),如密钥、证书、配置文件等。 场景举例:密钥、证书、后台配置文件。 面临挑战:保密信息被盗、加密通道遭监听、签名被伪造。 解决方案:您可以通过密钥管理系统的 API 或在线工具对密钥加解密,加密后本地保存密钥的密文文件,使用时解密且不保存本地,使得攻击者难以获取,从而保证网页和应用的安全性。
信封加密
技术应用:信封加密(Envelope Encryption)是一种应对海量数据的高性能加解密方案。在密钥管理系统的信封加密场景中,只需要传输数据加密密钥 DEK 到密钥管理服务端(通过 CMK 进行加解密),所有的业务数据都是采用高效的本地对称加密处理,对业务的访问体验影响很小。 场景举例:核心数据保护。 解决方案:您可将所有核心数据通过数据密钥加密,保存在对应的存储容器内,数据密钥再经过密钥管理服务加密,为核心数据提供双重保护。同时,缺乏有效权限的人员,即使拿到密文的数据密钥和数据,也无法得到其中内容,保障核心数据不会泄漏。
密钥导入
技术应用:在腾讯云上实施 BYOK(Bring Your Own Key)方案,允许您在腾讯云架构上使用您自有的密钥材料进行敏感数据加解密服务。 场景举例:自有密钥材料进行敏感数据加解密服务。 解决方案:实施 BYOK(Bring Your Own Key)方案,可通过 KMS 服务生成一个密钥材料为空的 CMK,并将自己的密钥材料导入到该用户主密钥中,形成一个外部密钥 CMK(EXTERNAL CMK),再由 KMS 服务进行该外部密钥的分发管理。
