密鑰管理服務（KMS）與云硬盤、對象存儲、彈性文件、關系型數據庫MYSQL版等產品實現了服務端集成，在使用這些云服務時，可通過密鑰管理服務實現對數據的加解密，并集中使用密鑰管理服務（KMS）對密鑰進行管理。

支持服務端加密的密鑰類型

服務端加密支持選擇默認密鑰及用戶自行創建的用戶主密鑰，具體可選擇的密鑰類型如下。

• 默認密鑰

  • 系統為云產品自動創建的用于服務端加密的默認密鑰，默認密鑰與云產品對應，每個天翼云賬號下的每個云產品在每個資源池支持創建1個默認密鑰。

  • 默認密鑰的別名定義為alias_<云產品代碼>，例如alias_ecs。

  • 默認密鑰的密鑰材料由KMS生成，不支持導入外部密鑰材料，同時不支持自動輪轉、啟用/禁用、計劃刪除、自定義別名等操作。

• 用戶主密鑰

  • 云產品加密時，可選用戶在KMS服務中自建的用戶主密鑰，密鑰類型為對稱密鑰，算法支持AES_256、SM4，保護級別可選軟件保護、硬件保護。

  • 用戶主密鑰按照KMS服務標準資費進行計費，請您確保賬戶余額充足，避免因KMS服務凍結導致云產品無法正常調用KMS服務進行加解密操作，云產品可能會出現異常。

  • 用戶主密鑰支持計劃刪除，操作計劃刪除前請確保該密鑰非未被用于云產品加密，避免刪除后導致云產品無法正常加解密而出現異常。為避免誤刪，您可以為密鑰開啟刪除保護功能。

云產品服務端加密的流程

通常情況下，云產品采用信封加密的機制實現對云產品數據的加密，即通過KMS生成數據密鑰，并應用數據密鑰在云產品服務端完成加解密操作，并將數據密鑰密文及數據密文落盤存儲，實現流程如下示意圖。

1. 用戶在KMS中創建一個用戶主密鑰，或由云產品觸發創建默認密鑰。

2. 云產品調用KMS的GenerateDataKey接口請求數據密鑰。

3. KMS返回數據密鑰，包含數據密鑰明文和數據密鑰密文。其中數據密鑰密文，是由指定的密鑰加密數據密鑰明文生成的。

4. 云產品使用數據密鑰明文加密數據明文，并將數據密鑰密文（由KMS使用密鑰加密）與數據密文（由云產品使用數據密鑰加密）一同寫入持久化存儲介質中。