對稱密鑰加密

又稱私鑰加密，即信息的發送方和接收方用一個密鑰去加密和解密數據。

非對稱密鑰加密

非對稱密鑰由一對互相關聯的公鑰和私鑰組成，其中的公鑰可以被分發給任何人，而私鑰必須被安全保護起來，只有受信任者可以使用。非對稱密鑰通常用于在信任程度不對等的系統之間，實現數字簽名驗簽或者加密傳遞敏感信息。

用戶主密鑰（Customer Master Key，CMK）

用戶主密鑰包括對稱密鑰及非對稱密鑰，主要用于加密保護數據密鑰，也可直接用于加密少量的數據。用戶可以調用KMS的產品控制臺或CreateKey接口創建一個用戶主密鑰。

默認主密鑰（Default CMK）

用戶使用云產品加密功能時，由云產品觸發KMS系統自動生成的并托管在用戶賬號下的服務密鑰。

信封加密（Envelope Encryption）

信封加密是類似數字信封技術的一種加密手段。這種技術將加密數據的數據密鑰封入信封中存儲、傳遞和使用，不再使用用戶主密鑰（CMK）直接加密和解密數據。當需要加密業務數據時，可以調用KMS的GenerateDataKey或GenerateDataKeyWithoutPlaintext接口生成一個對稱密鑰，同時使用指定的用戶主密鑰加密該對稱密鑰（被密封的信封保護）。

數據加密密鑰（Data Encryption Key，DEK）

信封加密技術中用于加密業務數據的密鑰，受用戶主密鑰CMK加密保護。

硬件安全模塊（Hardware Security Module，HSM）

硬件安全模塊也稱為密碼機，是一種執行密碼運算、安全生成和存儲密鑰的硬件設備。KMS提供的托管密碼機可以滿足監管機構的檢測認證要求，為用戶在KMS托管的密鑰提供更高的安全等級保證。

密鑰導入（Bring Your Own Key，BYOK）

指用戶可以自行導入密鑰材料至用戶主密鑰中，KMS不會為創建的用戶主密鑰（CMK）生成密鑰材料。

應用接入點

是一種身份驗證和訪問控制機制，當用戶VPC內的自建應用需要訪問KMS服務時，需要創建應用接入點實現私網通道打通，同時在應用接入點內完成訪問權限策略配置以及身份憑證的生成。