Key Management Service

ปกป้อง จัดการ ใช้และตรวจสอบคีย์สำหรับเข้ารหัสบน Alibaba Cloud อย่างง่ายดาย

การจัดการวงจรชีวิตของคีย์ที่ปลอดภัยและน่าเชื่อถือบนระบบคลาวด์

Alibaba Cloud Key Management Service (KMS) มีบริการจัดการคีย์และบริการด้านการเข้ารหัสอย่างปลอดภัยและสอดคล้องกับกฎระเบียบเพื่อช่วยให้คุณสามารถเข้ารหัสพร้อมปกป้องข้อมูลที่ละเอียดอ่อนได้ KMS ผนวกรวมเข้ากับบริการหลากหลายประเภทของ Alibaba Cloud เพื่อทำให้คุณเข้ารหัสข้อมูลได้ทั่วทั้งระบบคลาวด์และควบคุมสภาพแวดล้อมแบบกระจาย KMS มีบันทึกการใช้คีย์ผ่านทาง ActionTrail รองรับการหมุนเวียนคีย์แบบกำหนดเอง และ HSM ที่ผ่านการรับรองระบบของ FIPS 140-2 ระดับ 3 หรือการตรวจสอบอื่นๆ ที่เกี่ยวข้อง เพื่อช่วยให้คุณสามารถปฏิบัติตามความต้องการด้านการกำกับดูแลและการปฏิบัติตามกฎระเบียบได้

ได้รับการจัดการอย่างสมบูรณ์

ได้รับการจัดการอย่างสมบูรณ์

KMS มีบริการจัดการคีย์และเข้ารหัส คุณสามารถจัดการวงจรชีวิตและสิทธิ์อนุญาตของคีย์ ใช้คีย์เพื่อเข้ารหัสและลงลายมือชื่อ ในขณะที่ Alibaba Cloud ก็จะจัดการกับโครงสร้างพื้นฐานด้านการเข้ารหัสโดยสมบูรณ์และรับประกันความพร้อมใช้งาน ความปลอดภัยและความน่าเชื่อถือของบริการได้

ความพร้อมใช้งาน ความน่าเชื่อถือและความยืดหยุ่น

ความพร้อมใช้งาน ความน่าเชื่อถือและความยืดหยุ่น

KMS ดำเนินการกับคำขอของคุณด้วยค่าหน่วงที่ต่ำผ่านทางโมดูลการเข้ารหัสที่ซ้ำซ้อนในเขตที่พร้อมใช้งานในแต่ละภูมิภาค และสามารถปรับขนาดให้ตอบโจทย์ความต้องการของคุณเพื่อให้สร้างคีย์ได้มากมาย คุณสามารถนำคีย์ของตนเองมาใช้กับ KMS และเก็บสำเนาคีย์ไว้ออฟไลน์เพื่อให้ใช้ได้อย่างทนทานมากขึ้น

การรักษาความปลอดภัยและการปฏิบัติตามข้อบังคับ

การรักษาความปลอดภัยและการปฏิบัติตามข้อบังคับ

KMS จะตรวจสอบให้แน่ใจว่ามีการปกป้องคุ้มครองคีย์ของคุณบน Alibaba Cloud อย่างเคร่งครัด โดยใช้ดีไซน์และการตรวจสอบที่ปลอดภัย KMS จะช่วยให้คุณบรรลุข้อกำหนดด้านการกำกับดูแลและการปฏิบัติตามกฎระเบียบอย่างรวดเร็ว ด้วยการเสนอ HSM ที่ได้รับการจัดการ ที่ผ่านการรับรองระบบของ FIPS 140-2 ระดับ 3 หรือการตรวจสอบอื่นๆ ที่เกี่ยวข้อง ด้วยการทำให้คุณสามารถปรับเปลี่ยนนโยบายการหมุนเวียนคีย์ที่กำหนดเอง จัดการสิทธิ์อนุญาตใน RAM และติดตามการใช้คีย์ใน ActionTrail คุณสามารถเชื่อมต่อกิจกรรมใน ActionTrail เข้ากับ OSS หรือ Log Service เพื่อผนวกรวมกับโซลูชัน SIEM สำหรับข้อมูลการวิเคราะห์และการตรวจจับภัยคุกคามเพิ่มเติม

การเข้ารหัสข้อมูลสำหรับบริการคลาวด์แบบผนวกรวม

การเข้ารหัสข้อมูลสำหรับบริการคลาวด์แบบผนวกรวม

KMS ถูกผนวกรวมเข้ากับบริการของ Alibaba Cloud หลากหลายประเภท เช่น ECS, RDS, OSS, NAS, และ MaxCompute ด้วยค่าใช้จ่ายในการจัดการคีย์ขั้นต่ำทำให้คุณสามารถใช้ประโยชน์สูงสุดจาก KMS ในการเข้ารหัสข้อมูลสำหรับบริการดังกล่าวและสามารถควบคุมสภาพแวดล้อมการประมวลผลและการจัดเก็บข้อมูลแบบกระจายได้ การเข้ารหัสผ่านทางเซิร์ฟเวอร์ เช่น OSS SSE หรือ TDE ฐานข้อมูล ทำให้คุณสามารถควบคุมพฤติกรรมการเข้ารหัสผ่านทาง KMS และ RAM ได้ ส่วน Alibaba Cloud ก็จะจัดการกับปัญหาต่างๆ และจ่ายค่าใช้จ่ายในการเข้ารหัสแทนคุณ

การเข้ารหัสแบบกำหนดเองและลายมือชื่อดิจิทัล

การเข้ารหัสแบบกำหนดเองและลายมือชื่อดิจิทัล

KMS มีการเข้ารหัสที่เรียบง่ายและ HSM แบบ API เพื่อให้คุณสามารถเข้ารหัสข้อมูลในแอปพลิเคชันของคุณ เพื่อการรักษาความปลอดภัยและการปฏิบัติตามข้อบังคับแบบบูรณาการได้อย่างง่ายดาย และเป็นการลดพื้นหน้าของการโจมตีข้อมูลที่ละเอียดอ่อนเพิ่มเติมด้วย นอกจากนี้ คุณยังสามารถใช้คีย์แบบอสมมาตร เพื่อการลงลายมือชื่อดิจิทัล และรับประกันข้อมูลสำคัญยังคงสภาพเดิม

ความคุ้มค่า

ความคุ้มค่า

KMS ช่วยให้คุณจ่ายค่าทรัพยากรที่คุณใช้เท่านั้น ทำให้ไม่จำเป็นต้องซื้อ HSM และตัดค่าใช้จ่ายในการใช้งาน แพตช์และเปลี่ยนทดแทนฮาร์ดแวร์ที่เกี่ยวข้องอย่างต่อเนื่อง KMS ช่วยให้คุณลดค่าใช้จ่ายในการสร้างและบำรุงรักษาโครงสร้างพื้นฐานด้านการจัดการคีย์ของคุณเอง

ฟีเจอร์

ฟีเจอร์การจัดการที่ครอบคลุม

KMS มีฟีเจอร์จัดการคีย์มากมายที่ตอบโจทย์ทุกความต้องการของคุณ

คีย์ที่สร้างขึ้นผ่านทาง KMS หรือนำเข้ามาจากที่อื่น

คุณสามารถสร้างคีย์ใน KMS หรือนำเข้า Bring Your Own Key (BYOK) ใน HSM ที่มีการจัดการได้ BYOK จะทำให้คุณสามารถจัดเก็บสำเนาคีย์ออฟไลน์เพิ่มเติมได้ HSM ที่มีการจัดการจะรับประกันคีย์ที่นำเข้ามาจะไม่ถูกส่งออก

การจัดการวงจรชีวิตคีย์และการหมุนเวียนคีย์โดยอัตโนมัติ

คุณสามารถเปิดหรือปิดใช้งานคีย์ หรือจัดตารางวงจรประจำเพื่อลบคีย์ได้ สำหรับ BYOK คุณสามารถลบคีย์ได้ทุกเมื่อ หรือกำหนดนโยบายการหมดอายุโดยอัตโนมัติก็ได้ KMS จะทำให้คุณสามารถปรับเปลี่ยนนโยบายการหมุนเวียนคีย์แบบกำหนดเอง เพื่อหมุนเวียนคีย์ที่ใช้เข้ารหัสโดยอัตโนมัติเป็นระยะๆ ดังนั้น จึงเป็นการยกระดับความปลอดภัยของคีย์

การตรวจสอบสิทธิ์ การอนุญาตและการตรวจสอบ (AAA)

คุณสามารถจัดการนโยบายการตรวจสอบสิทธิ์และการอนุญาตของผู้ใช้ KMS ได้ผ่าน RAM คุณสามารถติดตามและตรวจสอบการใช้คีย์ผ่านทาง ActionTrail หรือจัดเก็บบันทึกการใช้คีย์ใน OSS หรือ Log Service สำหรับสถานการณ์ที่หลากหลาย เช่น การจัดเก็บข้อมูลในระยะยาว การวิเคราะห์ข้อมูล และการผนวกรวม SIEM

HSM ที่มีการจัดการเต็มรูปแบบ

HSM ที่มีการจัดการมีกลไกการรักษาความปลอดภัยคีย์ที่สูง

การรับรองและการปฏิบัติตาม HSM

KMS ส่งมอบ HSM ที่ผ่านการรับรองระบบของ FIPS 140-2 ระดับ 3 และทำงานในโหมดระดับ 3 ที่ได้รับการอนุมัติจาก FIPS หรือนำเสนอ HSM ที่ผ่านการรับรองที่เกี่ยวข้องเพื่อให้สอดคล้องกับข้อกำหนดด้านการกำกับดูแลระดับท้องถิ่น

การสร้างคีย์อย่างปลอดภัย

HSM ที่มีการจัดการได้ใช้อัลกอริทึมในการสุ่มเลขที่ปลอดภัยและได้รับสิทธิ์อนุญาต อัลกอริทึมใช้ข้อมูลเริ่มต้นเอนโทรปีสูงเพื่อสร้างเนื้อหาที่สำคัญ วิธีนี้จะเป็นการป้องกันมิให้คีย์ถูกกู้คืนหรือคาดการณ์โดยผู้ที่มีเจตนามุ่งร้าย

การคุ้มครองคีย์ของฮาร์ดแวร์

HSM ที่ได้รับการจัดการจะปกป้องคุ้มครองคีย์ใน KMS โดยการใช้กลไกฮาร์ดแวร์ การประมวลผลข้อความธรรมดาของคีย์จากภายใน HSM เพื่อให้คีย์ทำงานได้เท่านั้น และจะจัดเก็บอยู่ด้านในส่วนที่รักษาความปลอดภัยของฮาร์ดแวร์ของ HSM

ผนวกรวมกับบริการ Alibaba Cloud อื่นๆ ได้

สามารถผนวกรวม KMS เข้ากับบริการ Alibaba Cloud มากมายเพื่อส่งมอบประสบการณ์การเข้ารหัสดั้งเดิมและขีดความสามารถในการรักษาความปลอดภัยขั้นสูง

การเข้ารหัสตามค่าเริ่มต้นระดับเบื้องต้น

KMS ให้บริการคลาวด์แต่ละบริการสามารถจัดการคีย์การเข้ารหัสได้โดยอัตโนมัติ ตามค่าเริ่มต้นแล้ว บริการคลาวด์สามารถใช้คีย์นี้ได้โดยไม่ต้องสนใจวงจรชีวิตและนโยบายการอนุญาต

แหล่งที่มาของคีย์การเข้ารหัสแบบตัวเลือก

คุณสามารถสร้างคีย์ใน KMS หรือนำเข้าจากที่อื่น ตลอดจนอนุญาตให้บริการคลาวด์สามารถใช้คีย์ที่ผู้ใช้จัดการเพื่อการปกป้องคุ้มครองการเข้ารหัสข้อมูลได้ ด้วยเหตุนี้ คุณจึงมีสิทธิ์ควบคุมคีย์โดยสมบูรณ์ ด้วยการจัดการสิทธิ์อนุญาตและวงจรชีวิตของคีย์

การตรวจสอบการใช้งานคีย์โดยบริการคลาวด์

คุณสามารถตรวจสอบการใช้งานคีย์โดยบริการคลาวด์ได้โดยเรียกคำสั่งดำเนินการ KMS API ในนามของคุณ ไม่ว่าจะเป็นคีย์ที่บริการหรือผู้ใช้จัดการก็ตาม

กระบวนการเข้ารหัสที่เรียบง่ายและมีประสิทธิผล

KMS ใช้แนวคิดการเข้ารหัสที่เป็นนามธรรมและมี API การเข้ารหัสที่ไม่ซับซ้อน

การเข้ารหัสซองจดหมาย

ด้วยคุณสมบัติการเข้ารหัสซองจดหมายที่มีอยู่ใน KMS จะทำให้คุณสามารถสร้างคีย์รองและเข้ารหัส CMK โดยการเรียกใช้ API เพียงครั้งเดียวได้

AEAD

KMS มีการเข้ารหัสข้อมูลที่เกี่ยวข้องที่ได้รับการตรวจสอบความถูกต้อง (AEAD) คุณสามารถใช้สภาพแวดล้อมในการเข้ารหัสเพื่อเพิ่มความสมบูรณ์และความถูกต้องของข้อมูลที่เข้ารหัสได้เพิ่มเติม

การตรวจสอบยืนยันลายมือชื่อดิจิทัล

KMS สามารถโฮสต์คีย์แบบอสมมาตรและมีอัลกอริทึมการตรวจสอบยืนยันลายมือชื่อดิจิทัล โดยอิงจากคีย์แบบอสมมาตร สามารถใช้ KMS ในหลากหลายสถานการณ์ เช่น การตรวจสอบยืนยันตัวตน การลงลายมือชื่อดิจิทัลในซอฟต์แวร์/แอปพลิเคชันและบล็อกเชน

สถานการณ์