tencent cloud

文档反馈

最后更新时间:2024-01-11 16:31:21
    敏感信息加密是密钥管理服务 KMS 核心的能力,适用于保护小型敏感数据(小于4KB),如密钥、证书、配置文件等。使用 CMK 加密敏感数据信息,而非直接将明文存储。使用时,再将密文解密到内存,保证明文不落盘。整个交互传输过程都使用 HTTPS 请求,确保敏感数据安全。
    若需要通过 KMS 对海量数据进行高性能的加解密服务,请参见 信封加密 场景。

    敏感信息举例

    -
    密钥,证书
    后台配置文件
    用途
    加密业务数据,通信通道,数字签名
    保存系统架构和其他业务信息,例如数据库 IP、密码
    丢失风险
    保密信息被盗、加密通道遭监听、签名被伪造
    业务数据被拖库、成为攻击其他系统的跳板

    示意图

    本场景中,敏感数据通过主密钥 CMK 进行加解密保护,主密钥 CMK 受到经过第三方认证硬件安全模块(HSM)的保护。主密钥 CMK 在 HSM 内部实现加解密,包括腾讯云在内的任何无权限人员都无法看到 CMK 明文。
    
    
    

    功能特点

    权限控制:与腾讯云访问管理(CAM)集成,通过身份管理和策略管理控制账号对CMK的访问权限。
    内置审计:与腾讯云审计集成,可记录所有 API 请求,包括密钥管理操作和密钥使用情况。保证数据操作可溯源可审计。
    集中化密钥管理:通过腾讯云 KMS 服务实现对各类应用程序的密钥的集中管理。
    安全合规:密钥管理服务底层使用国家密码局或 FIPS-140-2 认证的硬件安全模块(HSM)来保护密钥的安全,确保密钥的保密性、完整性和可用性。
    敏感数据加密:支持敏感数据(小于4KB)的加密和解密操作。如密钥、证书、配置文件等。

    注意事项

    需注意 SecretId 和 SecretKey 的保密存储:
    腾讯云接口认证主要依靠 SecretID 和 SecretKey,SecretID 和 SecretKey 是用户的唯一认证凭证。业务系统需要该凭证调用腾讯云接口。
    需注意 SecretID 和 SecretKey 的权限控制:
    建议使用子账号,根据业务需要进行接口授权的方式管控风险。
    需注意明文数据的存储:
    敏感数据加密已将数据进行加密处理,为保障数据的安全性,需确保原始明文数据的删除。
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持