密钥管理服务(Key Management Service,简称KMS)提供密钥的安全托管及密码运算等服务。KMS内置密钥轮转等安全实践,支持其它云产品通过一方集成的方式对其管理的用户数据进行加密保护。借助KMS,您可以专注于数据加解密、电子签名验签等业务功能,无需花费大量成本来保障密钥的保密性、完整性和可用性。
产品官网:官网
KMS控制台:控制台
官方文档:帮助文档
在线API调试:在线调试
KMS SDK下载:SDK地址
使用Java、Go、Python语言实现KMS已开放接口的使用样例以及加解密最佳实践样例。
- Java实现的对应目录:kms-samples-java
- Go实现的对应目录:kms-samples-go
- Python实现的对应目录:kms-samples-python
| 样例 | 描述 | Java | Go | Python |
|---|---|---|---|---|
| API测试 | 对阿里云KMS接口的测试代码 | 接口测试代码 | 接口测试代码 | 接口测试代码 |
| 直接加密 | 使用主密钥对数据进行加密解密操作 | 主密钥加密, 解密 | 主密钥加密, 解密 | 主密钥加密, 解密 |
| 信封加密 | 使用主密钥生成一个数据密钥, 再使用数据密钥在本地加解密数据 |
信封加密, 解密 | 信封加密, 解密 | 信封加密, 解密 |
| 数字签名 | 使用非对称CMK生成数字签名以及验证签名的场景 | 数字签名 | ECC, RSA | 数字签名 |
| 非对称加密 | 使用非对称CMK进行数据加密和解密的场景 | 非对称加密 | RSA | 非对称加密 |
| 导出数据密钥 | 基于公钥保护导出数据密钥 | ExportDataKeyDemo, GenerateAndExportDataKeyDemo |
--- | --- |
| 数据密钥转加密 | 调用ReEncrypt接口对密文进行转加密 | 对称CMK间转保护数据密钥, 公钥保护的DataKey转为对称CMK保护 |
--- | --- |
| 短期访问凭证调用 阿里云KMS API |
直接使用阿里云账号的主账号的AccessKey ID 和AccessKey Secret进行应用开发会有一定的安全 风险,为了提升安全性,您可以使用为RAM角色 签发的STS Token来访问阿里云服务。 |
ECS RamRole安全访问KMS, STS Token访问KMS |
--- | --- |
| KMS错误重试 | 使用指数退避方法对请求错误进行重试 | 指数退避方法对请求错误进行重试示例 | --- | --- |
| 证书请求 | 基于非对称主密钥生成证书请求 | RSA证书请求, ECC证书请求, SM2证书请求 |
--- | 证书请求 |
| 支付宝开放平台 | 通过阿里云KMS产生RSA密钥对, 提供支付宝开放平台接口加签功能 |
alipayEasySDK公钥模式, alipayEasySDK证书模式, alipaySDK公钥模式, alipaySDK证书模式 |
--- | --- |
| PDF文件加签 | 通过阿里云KMS非对称密钥对, 对pdf文件进行签名 |
PDF文件签名示例 | --- | --- |