敏感信息加密是密钥管理服务 KMS 核心的能力,适用于保护小型敏感数据(小于4KB),如密钥、证书、配置文件等。使用 CMK 加密敏感数据信息,而非直接将明文存储。使用时,再将密文解密到内存,保证明文不落盘。整个交互传输过程都使用 HTTPS 请求,确保敏感数据安全。
若需要通过 KMS 对海量数据进行高性能的加解密服务,请参见 信封加密 场景。 敏感信息举例
|
| | 保存系统架构和其他业务信息,例如数据库 IP、密码 |
| | |
示意图
本场景中,敏感数据通过主密钥 CMK 进行加解密保护,主密钥 CMK 受到经过第三方认证硬件安全模块(HSM)的保护。主密钥 CMK 在 HSM 内部实现加解密,包括腾讯云在内的任何无权限人员都无法看到 CMK 明文。
功能特点
权限控制:与腾讯云访问管理(CAM)集成,通过身份管理和策略管理控制账号对CMK的访问权限。
内置审计:与腾讯云审计集成,可记录所有 API 请求,包括密钥管理操作和密钥使用情况。保证数据操作可溯源可审计。
集中化密钥管理:通过腾讯云 KMS 服务实现对各类应用程序的密钥的集中管理。
安全合规:密钥管理服务底层使用国家密码局或 FIPS-140-2 认证的硬件安全模块(HSM)来保护密钥的安全,确保密钥的保密性、完整性和可用性。
敏感数据加密:支持敏感数据(小于4KB)的加密和解密操作。如密钥、证书、配置文件等。
注意事项
需注意 SecretId 和 SecretKey 的保密存储:
腾讯云接口认证主要依靠 SecretID 和 SecretKey,SecretID 和 SecretKey 是用户的唯一认证凭证。业务系统需要该凭证调用腾讯云接口。
需注意 SecretID 和 SecretKey 的权限控制:
建议使用子账号,根据业务需要进行接口授权的方式管控风险。
需注意明文数据的存储:
敏感数据加密已将数据进行加密处理,为保障数据的安全性,需确保原始明文数据的删除。
本页内容是否解决了您的问题?