Wondershare EdrawMind
Galleria mappe mentale Servizio di gestione delle chiavi Alibaba Cloud
- 6
Servizio di gestione delle chiavi Alibaba Cloud
Key Management Service (KMS) è la tua piattaforma unica di servizi di gestione delle chiavi e crittografia dei dati e piattaforma unica di gestione della sicurezza delle credenziali, che fornisce protezione della crittografia dei dati semplice, affidabile e conforme e funzionalità di gestione delle credenziali. KMS ti aiuta a ridurre le spese di approvvigionamento, funzionamento e manutenzione, nonché le spese di ricerca e sviluppo sull'infrastruttura crittografica, sui prodotti per la crittografia e decrittografia dei dati e sui prodotti per la gestione delle credenziali, in modo che tu possa concentrarti solo sul business stesso.
Modificato alle 2024-01-16 17:57:58
- Breve storia del tempo
Questa è una mappa mentale su una breve storia del tempo. "Una breve storia del tempo" è un'opera scientifica popolare con un'influenza di vasta portata. Non solo introduce i concetti di base della cosmologia e della relatività, ma discute anche dei buchi neri e dell'espansione dell'universo. questioni scientifiche all’avanguardia come l’inflazione e la teoria delle stringhe.
- Il coraggio di essere odiato
Dopo aver letto "Il coraggio di essere antipatico", "Il coraggio di essere antipatico" è un libro filosofico che vale la pena leggere. Può aiutare le persone a comprendere meglio se stesse, a comprendere gli altri e a trovare modi per ottenere la vera felicità.
- Appunti di lettura di Il coraggio di non piacere.
"Il coraggio di essere antipatico" non solo analizza le cause profonde di vari problemi nella vita, ma fornisce anche contromisure corrispondenti per aiutare i lettori a comprendere meglio se stessi e le relazioni interpersonali e come applicare la teoria psicologica di Adler nella vita quotidiana.
Servizio di gestione delle chiavi Alibaba Cloud
- Breve storia del tempo
Questa è una mappa mentale su una breve storia del tempo. "Una breve storia del tempo" è un'opera scientifica popolare con un'influenza di vasta portata. Non solo introduce i concetti di base della cosmologia e della relatività, ma discute anche dei buchi neri e dell'espansione dell'universo. questioni scientifiche all’avanguardia come l’inflazione e la teoria delle stringhe.
- Il coraggio di essere odiato
Dopo aver letto "Il coraggio di essere antipatico", "Il coraggio di essere antipatico" è un libro filosofico che vale la pena leggere. Può aiutare le persone a comprendere meglio se stesse, a comprendere gli altri e a trovare modi per ottenere la vera felicità.
- Appunti di lettura di Il coraggio di non piacere.
"Il coraggio di essere antipatico" non solo analizza le cause profonde di vari problemi nella vita, ma fornisce anche contromisure corrispondenti per aiutare i lettori a comprendere meglio se stessi e le relazioni interpersonali e come applicare la teoria psicologica di Adler nella vita quotidiana.
- Consigliato per te
- Profilo
Servizio di gestione delle chiavi Alibaba Cloud
Introduzione al prodotto
Key Management Service (KMS) è la tua piattaforma unica di servizi di gestione delle chiavi e crittografia dei dati e piattaforma unica di gestione della sicurezza delle credenziali, che fornisce protezione della crittografia dei dati semplice, affidabile e conforme e funzionalità di gestione delle credenziali. KMS ti aiuta a ridurre le spese di approvvigionamento, funzionamento e manutenzione, nonché le spese di ricerca e sviluppo sull'infrastruttura crittografica, sui prodotti per la crittografia e decrittografia dei dati e sui prodotti per la gestione delle credenziali, in modo che tu possa concentrarti solo sul business stesso.
componenti aziendali
KMS fornisce principalmente due componenti aziendali: gestione delle chiavi e gestione delle credenziali.
componenti aziendali illustrare Documentazione di riferimento Gestione delle chiavi KMS fornisce l'hosting sicuro delle chiavi e la possibilità di utilizzare le chiavi per operazioni crittografiche. Non solo può fornire le funzioni di gestione delle chiavi necessarie per la protezione della crittografia dei dati sul lato server dei prodotti cloud, ma può anche fornire la possibilità di utilizzare le chiavi per firmare digitalmente, crittografare, decrittografare e altre operazioni crittografiche sui dati in applicazioni autocostruite. Panoramica dei servizi chiave Gestione delle credenziali KMS offre funzionalità come l'archiviazione di credenziali crittografate, la rotazione regolare, la distribuzione sicura e la gestione centralizzata, consentendo alle tue applicazioni di evitare il rischio di configurazione di credenziali in testo non crittografato, supportare la rotazione e ridurre efficacemente i danni derivanti da incidenti di perdita di credenziali. Panoramica sulla gestione delle credenziali
Caratteristiche
Gestione delle chiavi
La gestione delle chiavi fornisce funzionalità come mostrato nella tabella seguente.
Funzione illustrare Documentazione di riferimento Tipi ricchi di gestione delle chiavi Fornisce chiavi predefinite gratuite per la crittografia lato server dei prodotti cloud e fornisce anche chiavi software e hardware a pagamento per la crittografia dei dati delle applicazioni autocostruite o la crittografia lato server dei prodotti cloud per soddisfare diversi scenari di conformità aziendale e di sicurezza. Panoramica dei servizi chiave Funzionalità avanzate di conformità alla sicurezza Supporta l'integrazione di Hardware Security Module (HSM) certificato in modo autorevole per soddisfare i tuoi elevati livelli di sicurezza e requisiti di conformità per le applicazioni di tecnologia crittografica. chiave hardware Supporta la crittografia nativa del cloud Supporta un'ampia gamma di integrazioni di prodotti cloud, aiutandoti a utilizzare facilmente le chiavi KMS e le tecnologie di crittografia per proteggere le risorse di dati sensibili nel cloud. Oltre a supportare la crittografia lato server dei prodotti cloud, supporta anche la crittografia su disco dei dati della chiave segreta Kubernetes nel cluster Container Service ACK Pro. Prodotti cloud che supportano la crittografia KMS integrata Accesso alle applicazioni minimalista Alibaba Cloud SDK ti aiuta a utilizzare facilmente la funzione di gestione delle chiavi e a utilizzare l'SDK dell'istanza KMS per completare le operazioni di crittografia. Realizza la gestione del ciclo di vita delle chiavi e utilizza le chiavi per crittografare, decrittografare, firmare, verificare e altre funzioni crittografiche dei dati. SDK Alibaba Cloud SDK dell'istanza KMS Gestione centralizzata e scalata Supporta ROS, Terraform e altri prodotti, aiutandoti a implementare automaticamente policy di crittografia predefinite e abilitare la crittografia lato server per impostazione predefinita nel server cloud ECS (disco cloud), OSS di archiviazione di oggetti, database relazionale RDS, big data computing MaxCompute e altri prodotti. Panoramica della terraformazione
Gestione delle credenziali
Funzione illustrare Documentazione di riferimento Integrazione nativa del cloud L'integrazione nativa del cloud ti consente di gestire le credenziali RAM, RDS ed ECS e di configurare il ciclo di rotazione per rendere dinamiche le credenziali, aiutandoti a gestire in modo efficace le minacce alla sicurezza causate dalla perdita degli account AK, RDS ed ECS della RAM. Panoramica sulla gestione delle credenziali Accesso alle applicazioni minimalista La tua applicazione può accedere e utilizzare le credenziali in modo semplice tramite il client Credential Manager, il plug-in delle credenziali RAM e il client JDBC Credential Manager. Cliente del gestore delle credenziali Client JDBC del gestore credenziali Plug-in credenziali RAM Gestione centralizzata e scalata Supporta ROS, Terraform e altri prodotti per aiutarti a ottenere un hosting sicuro delle credenziali e una gestione automatizzata dell'orchestrazione delle operazioni e della manutenzione. Panoramica della terraformazione
Più riferimenti
concetto di base
concetto illustrare Servizio chiavi Key Service fornisce servizi di elaborazione crittografica come archiviazione sicura e gestione del ciclo di vita delle chiavi, crittografia e decrittografia dei dati tramite chiavi, firme digitali e verifica della firma. Per ulteriori informazioni sui servizi chiave, vedere Panoramica dei servizi chiave. Modulo di sicurezza hardware HSM (Modulo di sicurezza hardware) Un modulo di sicurezza hardware è un dispositivo hardware che esegue operazioni crittografiche, genera e archivia in modo sicuro le chiavi. La macchina crittografica è il modulo di sicurezza hardware più comunemente utilizzato nella realizzazione di sistemi IT. KMS supporta l'integrazione del cluster della tua macchina crittografica nel servizio di crittografia Alibaba Cloud, fornendo una garanzia di livello di sicurezza e conformità più elevata per le tue chiavi ospitate in KMS e soddisfacendo i requisiti di test e certificazione delle agenzie di regolamentazione. CMK (chiave principale del cliente) CMK (Customer Master Key) si riferisce alla chiave creata da te e ospitata in KMS, denominata in breve "Master Key". La chiave principale è costituita dall'ID della chiave, dai metadati di base e dal materiale della chiave. Chiave di servizio La chiave viene creata dal servizio cloud per tuo conto e ospitata nel KMS e viene utilizzata per impostazione predefinita durante la crittografia lato server del prodotto cloud. Gestione delle chiavi predefinita La gestione delle chiavi predefinita è un tipo di gestione delle chiavi fornita da KMS. Le chiavi predefinite possono essere integrate solo con prodotti cloud per la crittografia lato server, tra cui: Chiave del servizio: una chiave creata e ospitata dal servizio cloud per tuo conto per la crittografia lato server. Chiave principale: crei e gestisci il ciclo di vita della chiave principale in modo indipendente. È possibile crearne solo una in ciascuna regione. Il materiale della chiave può essere generato da KMS o importato da te. Per la chiave predefinita, KMS supporta solo l'utilizzo dell'algoritmo di crittografia simmetrica AES_256. Gestione delle chiavi software La gestione delle chiavi software è un tipo di gestione delle chiavi fornita da KMS. La chiave software contiene solo la chiave master creata dall'utente e gestisce il ciclo di vita della chiave in modo indipendente. Può essere integrata con prodotti cloud per la crittografia lato server e può anche essere integrata con le applicazioni create autonomamente per creare soluzioni di crittografia a livello di applicazione. Il materiale chiave può essere generato solo da KMS e non può essere importato dall'utente. Per le chiavi software, KMS ti supporta nell'utilizzo di più specifiche di chiave, inclusi algoritmi crittografici simmetrici e algoritmi crittografici asimmetrici. Gestione delle chiavi hardware La gestione delle chiavi hardware è un tipo di gestione delle chiavi fornito da KMS. La chiave hardware contiene solo la chiave master creata dall'utente e gestisce il ciclo di vita della chiave in modo indipendente. Può essere integrata con prodotti cloud per la crittografia lato server e può anche essere integrata con le applicazioni create autonomamente per creare soluzioni di crittografia a livello di applicazione. Il materiale della chiave può essere generato dalla macchina di crittografia (HSM) connessa a KMS oppure puoi importarlo tu stesso. Per le chiavi hardware, KMS ti supporta nell'utilizzo di più specifiche di chiave, inclusi algoritmi crittografici simmetrici e algoritmi crittografici asimmetrici. illustrare KMS ti fornisce la gestione delle chiavi hardware e le operazioni di crittografia connettendoti al cluster della tua macchina crittografica (HSM) nel servizio di crittografia cloud Alibaba. Pertanto, prima di utilizzare la chiave hardware, è necessario acquistare una macchina crittografica (HSM) e configurare un cluster di macchine crittografiche in Alibaba Cloud Encryption Service e collegarlo in KMS. Per operazioni specifiche, vedere Come configurare un cluster di macchina crittografica che può essere connesso tramite un'istanza di gestione delle chiavi hardware KMS. Materiale chiave Il materiale chiave è uno degli input importanti per le operazioni crittografiche. Si consiglia di mantenere riservato il materiale della chiave privata dell'algoritmo di crittografia asimmetrica e il materiale della chiave dell'algoritmo di crittografia simmetrica per proteggere le operazioni di crittografia basate sul materiale della chiave. Chiave predefinita: quando crei la chiave principale nella chiave predefinita, supporta la generazione del materiale della chiave da parte di KMS (l'attributo di origine è Aliyun_KMS) e supporta anche l'importazione del materiale della chiave da parte dell'utente (l'attributo di origine è EXTERNAL). Chiave software: quando crei una chiave software, è supportato solo il materiale della chiave generato da KMS (l'attributo di origine è Aliyun_KMS). L'importazione del materiale della chiave da parte dell'utente non è attualmente supportata. Chiave hardware: quando crei una chiave hardware, la macchina crittografica (HSM) connessa al KMS può generare il materiale della chiave (l'attributo di origine è Aliyun_KMS) oppure puoi importare tu stesso il materiale della chiave (l'attributo di origine è EXTERNAL). Credenziali Le credenziali sono informazioni sensibili utilizzate per autenticare le applicazioni, come password di account di database, chiavi SSH, indirizzi sensibili, dati sensibili AK, ecc. Responsabile dei segreti Credential Manager fornisce la gestione dell'intero ciclo di vita delle credenziali e un metodo di accesso alle applicazioni sicuro e conveniente, aiutandoti a evitare il rischio di perdita di informazioni sensibili causata dall'hardcoding delle credenziali nel codice. Per ulteriori informazioni sul maggiordomo delle credenziali, vedere Panoramica del maggiordomo delle credenziali. Punto di accesso all'applicazione Il punto di accesso dell'applicazione AAP è uno schema di controllo dell'accesso implementato da KMS, adatto per l'autenticazione dell'identità e l'autenticazione del comportamento quando le applicazioni accedono alle risorse KMS.
Vantaggi del prodotto
Integrazioni multiple
Autenticazione dell'identità e controllo degli accessi
KMS utilizza il meccanismo di autenticazione dell'identità (AccessKey) per identificare la legittimità delle richieste KMS si integra anche con il controllo degli accessi (RAM) per consentire di configurare diverse policy personalizzate per soddisfare diversi scenari di autorizzazione. KMS accetta solo richieste avviate da utenti legittimi e che soddisfano il rilevamento dinamico delle autorizzazioni da parte della RAM.
Controlla l'utilizzo delle chiavi
Integrando KMS con Operation Audit (ActionTrail), puoi visualizzare l'utilizzo recente del KMS e archiviarlo in altri servizi cloud come OSS per soddisfare le esigenze di controllo a lungo termine.
Crittografia integrata del prodotto cloud
KMS è perfettamente integrato con Alibaba Cloud ECS, RDS, OSS e altri prodotti. Attraverso l'integrazione da parte di un unico fornitore, puoi utilizzare facilmente le chiavi KMS per crittografare e controllare i dati archiviati in questi servizi. Devi solo pagare il costo della gestione delle chiavi senza implementare misure di crittografia complesse. Allo stesso tempo, la crittografia integrata risolve il problema della protezione tramite crittografia dei dati nativi in altri prodotti cloud.
Facile da usare
La crittografia diventa semplice
KMS fornisce una semplice API per operazioni di crittografia, che semplifica e astrae il concetto di crittografia, consentendo di utilizzare facilmente l'API per completare la crittografia e la decrittografia dei dati.
Deposito chiavi centralizzato
Puoi creare una nuova chiave in qualsiasi momento e gestire facilmente chi o quali app possono accedervi tramite il controllo degli accessi (RAM) e i punti di accesso alle applicazioni (AAP).
Puoi utilizzare ActionTrail per rivedere le operazioni sulle risorse KMS.
Supporto porta la tua chiave (BYOK)
KMS supporta BYOK (Porta la tua chiave). È possibile importare chiavi da strutture di sistema esterne come l'infrastruttura di gestione delle chiavi offline (KMI) in KMS per la protezione crittografata dei dati nei prodotti cloud o scenari di utilizzo della tecnologia crittografica in sistemi applicativi autocostruiti.
KMS utilizza un algoritmo di scambio di chiavi sicuro e conforme per garantire che il testo semplice della chiave non venga visualizzato dall'operatore o da terze parti.
Alta affidabilità, alta disponibilità, scalabilità
KMS supporta funzionalità di calcolo delle password ridondanti in più zone di disponibilità in ciascuna regione, garantendo che le richieste avviate da vari prodotti su Alibaba Cloud e le tue applicazioni personalizzate su KMS possano essere elaborate con bassa latenza. Puoi aggiornare rapidamente secondo necessità.
Funzionalità di sicurezza e conformità
KMS è stato sottoposto a rigorosi controlli e progettazione della sicurezza per garantire che le tue chiavi ricevano la protezione più rigorosa in Alibaba Cloud.
KMS fornisce solo canali di accesso sicuri basati su TLS e utilizza solo una suite di algoritmi di crittografia del trasporto sicuro conforme alle specifiche di sicurezza come PCI DSS.
KMS supporta strutture crittografiche autorizzate e certificate da agenzie di regolamentazione.
Alibaba Cloud Encryption Service fornisce apparecchiature di crittografia hardware che sono state testate e certificate dalla State Cryptozoology Administration e hanno ottenuto la certificazione GM/T 0028 Livello 2. KMS supporta l'integrazione del cluster di macchine di crittografia che gestisci in Alibaba Cloud Encryption Service per la gestione delle chiavi e il calcolo delle password.
basso costo
Non è necessario pagare il costo iniziale per l'acquisto di dispositivi di crittografia hardware e le spese correnti di funzionamento, manutenzione, installazione di patch e sostituzione di quelli vecchi.
KMS ti fa risparmiare sui costi di ricerca e sviluppo e sulle spese di manutenzione legate alla creazione di un cluster di dispositivi crittografici con disponibilità e affidabilità, nonché strutture di gestione delle chiavi autocostruite.
L'integrazione di KMS con altri prodotti Alibaba Cloud ti fa risparmiare sui costi di sviluppo di un sistema di crittografia dei dati e devi solo gestire le chiavi per ottenere funzionalità di crittografia dei dati controllabili sul cloud.
Scenari applicativi
Scenario tipico
Scene ruolo utente richieste illustrare I sistemi informativi soddisfano i requisiti di conformità in materia di sicurezza Direttore dei rischi (CRO) Garantire la sicurezza e la conformità dei sistemi informativi. In qualità di Chief Risk Officer (CRO), spero che i sistemi IT soddisfino i requisiti per la protezione della sicurezza dei sistemi informativi, tra cui: Utilizzo corretto della crittografia e delle strutture di gestione delle chiavi per crittografare e proteggere i dati importanti, con controllo completo degli accessi e verifica della sicurezza delle chiavi. Archivia e controlla in modo sicuro l'uso delle password degli account del database, delle password degli account del server, della chiave SSH e di altre informazioni sulle credenziali per prevenire perdite di informazioni e rischi di attacchi al sistema causati dalla perdita di credenziali. Protezione tramite crittografia dei dati sensibili Costruttore di sistemi informatici Garantire la sicurezza dei dati sensibili nei sistemi applicativi. In qualità di costruttore di sistemi IT, su richiesta del dipartimento di sicurezza IT, le applicazioni devono crittografare e proteggere i dati aziendali sensibili e i dati operativi archiviati o utilizzati. Utilizzando KMS, i costi di implementazione possono essere notevolmente ridotti rispetto alla gestione delle chiavi autocostruita e alle strutture di crittografia e decrittografia. Soluzione di gestione delle credenziali KMS integrata nel servizio ISV Fornitore di serviziISV Il servizio richiede l'utilizzo delle credenziali dell'utente, ma l'utente non desidera che il contenuto delle credenziali sia esposto al personale del fornitore del servizio. Il servizio ISV deve utilizzare le informazioni sulle credenziali dell'utente durante il funzionamento, ma l'utente non desidera che le informazioni sulle credenziali riservate vengano esposte al fornitore del servizio. I servizi ISV possono integrare KMS e utilizzare KMS come soluzione di gestione delle credenziali di terze parti.
I sistemi informativi soddisfano i requisiti di conformità in materia di sicurezza
Quando le imprese o le organizzazioni valutano i requisiti di conformità alla sicurezza dei sistemi informativi, possono incontrare le due situazioni seguenti:
Le specifiche di sicurezza richiedono l'uso della tecnologia crittografica per proteggere i sistemi informativi, e la tecnologia crittografica e le strutture di gestione delle chiavi utilizzate devono soddisfare specifici standard tecnici e specifiche di sicurezza.
Le norme di sicurezza non impongono l'uso della crittografia, ma l'utilizzo della crittografia accelererà il processo di rispetto delle normative. Ad esempio: ottenere più punti nella specifica del sistema di punteggio.
KMS offre le seguenti funzionalità per aiutare le aziende a soddisfare i requisiti di conformità:
Funzione illustrare Documentazione di riferimento Conformità della password KMS supporta la connessione al cluster dell'istanza della macchina crittografica (HSM) nel servizio di crittografia Alibaba Cloud per implementare la gestione delle chiavi e il calcolo crittografico. Il materiale della chiave hardware non lascerà il confine di sicurezza HSM dell'istanza della macchina crittografica. KMS consente di implementare servizi di elaborazione crittografica come gestione delle chiavi, crittografia e decrittografia dei dati e firme digitali per algoritmi crittografici comuni tramite chiavi hardware. illustrare L'istanza della macchina crittografica (HSM) fornita da Alibaba Cloud Encryption Service soddisfa la conformità della certificazione GM/T 0028 Livello 2. Panoramica dei servizi chiave Cos'è un servizio di crittografia Gestione delle credenziali Utilizzando Credential Manager, puoi soddisfare facilmente i requisiti di gestione della sicurezza per RAM AccessKey, password dell'account RDS, chiave ECS SSH e altre credenziali, offrendo allo stesso tempo funzionalità di risposta alle emergenze in caso di fuga di dati efficienti e affidabili. Panoramica sulla gestione delle credenziali Riservatezza dei dati La privacy personale è crittografata e protetta tramite KMS per impedire che la privacy personale venga divulgata in scenari di attacco e soddisfare i requisiti delle leggi e dei regolamenti relativi alla protezione dei dati. Panoramica dei servizi chiave Autenticazione e controllo degli accessi KMS implementa l'autenticazione unificata e la gestione delle autorizzazioni tramite il controllo degli accessi (RAM). Le istanze KMS forniscono solo indirizzi VPC e offrono una pratica autenticazione a livello di applicazione e gestione delle autorizzazioni tramite punti di accesso alle applicazioni (AAP). Utilizzare la RAM per implementare il controllo dell'accesso alle risorse Controlla l'utilizzo delle chiavi KMS archivia tutti i record delle chiamate API in ActionTrail, che può condurre controlli di conformità sull'utilizzo delle chiavi. Le istanze KMS ti consentono di abilitare il controllo di sicurezza e archiviare tutti i record delle chiamate API del gateway del servizio dell'istanza nello spazio di archiviazione OSS specificato. Interrogare gli eventi operativi del servizio di gestione delle chiavi utilizzando il controllo operativo
Protezione tramite crittografia dei dati sensibili
Puoi proteggere i dati sensibili generati o archiviati nel cloud tramite la tecnologia di crittografia dei dati. Alibaba Cloud ti supporta nella crittografia e nella protezione dei dati sensibili in vari modi.
Metodo di protezione tramite crittografia richieste illustrare Documentazione di riferimento Il sistema applicativo utilizza KMS per crittografare direttamente i dati. Proteggi la sicurezza dei dati sensibili nei sistemi applicativi attraverso la tecnologia di crittografia. Il QPS di crittografia e decrittografia di questi dati sensibili non è elevato e la dimensione dei dati non supera i 6K. Ad esempio, puoi crittografare informazioni sensibili come AK e password del database per la configurazione dell'applicazione. Chiama l'API di crittografia di KMS per crittografare direttamente i dati sensibili utilizzando la chiave. Crittografa e decrittografa i dati online utilizzando la chiave master KMS Il sistema applicativo utilizza KMS per crittografare i dati. Proteggi la sicurezza dei dati sensibili nei sistemi applicativi attraverso la tecnologia di crittografia. Questi dati sensibili richiedono crittografia e decrittografia QPS elevati oppure la quantità di dati crittografati è troppo grande per utilizzare la crittografia diretta. Ad esempio, crittografa le informazioni sensibili come i numeri di cellulare e i numeri ID dei tuoi utenti. Utilizza la tecnologia di crittografia busta per archiviare le chiavi nel KMS e distribuisci solo chiavi di dati crittografate. Solo quando è necessario utilizzare una chiave dati, utilizzare KMS per ottenere il testo non crittografato della chiave dati per la crittografia e decrittografia locale dei dati aziendali. È inoltre possibile utilizzare l'SDK di crittografia che incapsula la crittografia della busta per la protezione tramite crittografia. Crittografa e decrittografa i dati localmente utilizzando la crittografia della busta KMS Panoramica sull'SDK di crittografia Crittografia lato server del prodotto cloud Fornire una garanzia di base per l'ambiente di sicurezza dei dati delle strutture IT sul cloud. Ad esempio: utilizzo della crittografia lato server di storage di oggetti per proteggere i bucket OSS che archiviano dati sensibili o utilizzo della crittografia trasparente dei dati (TDE) del database per proteggere le tabelle che archiviano dati sensibili. Se utilizzi i prodotti Alibaba Cloud per salvare i dati, puoi utilizzare la funzione di crittografia lato server del prodotto cloud per crittografare e proteggere i dati in modo più efficace. Servizi cloud che supportano la crittografia integrata lato server Utilizza Gestione credenziali Fornisce la gestione dell'intero ciclo di vita delle credenziali e un metodo di accesso alle applicazioni sicuro e conveniente, aiutandoti a evitare il rischio di perdita di informazioni sensibili causata dall'hardcoding delle credenziali nel codice. Ad esempio, puoi ospitare dati sensibili come password, token, chiavi SSH e AK in Credential Manager e gestirli tramite accesso sicuro. Ospita le tue credenziali di accesso alle informazioni sensibili su Credential Manager per garantire che l'accesso alle informazioni sensibili sia sicuro attraverso meccanismi di accesso di sicurezza a livello di applicazione. Puoi anche ruotare dinamicamente le credenziali per evitare il rischio di fuga di dati. Panoramica sulla gestione delle credenziali
Soluzione di gestione delle credenziali KMS integrata nel servizio ISV
Gli utenti possono gestire le credenziali in KMS e autorizzare i servizi ISV a utilizzare le credenziali. KMS funge da meccanismo di protezione della sicurezza di terze parti tra i servizi ISV e gli utenti, consentendo agli utenti e ai servizi ISV di svolgere i rispettivi compiti e garantire congiuntamente la sicurezza del sistema.
ruolo utente illustrare Documentazione di riferimento L'amministratore dell'utente Gestisci le credenziali nel KMS. Gestisci le autorizzazioni per l'uso delle credenziali nel controllo degli accessi (RAM) e consenti ai servizi ISV di utilizzare credenziali specificate in KMS tramite l'autorizzazione delle risorse tra gli account Alibaba Cloud. Autorizzazione delle risorse tra gli account Alibaba Cloud Servizio ISV Il servizio ISV utilizza credenziali specificate dall'utente tramite l'API integrata con KMS. Panoramica dell'API Revisore dell'utente Attraverso il controllo delle operazioni (ActionTrail), il servizio ISV esegue un controllo post-fatto sul comportamento di utilizzo delle chiavi ogni volta che accede a KMS. Interrogare gli eventi operativi del servizio di gestione delle chiavi utilizzando il controllo operativo
Dati sulle prestazioni
Panoramica
KMS fornisce due API, API KMS e API dell'istanza KMS. Va notato che la quota di richieste API KMS è limitata per ciascun account Alibaba Cloud e i dati sulle prestazioni dell'API dell'istanza KMS sono limitati per ciascuna istanza KMS.
API KMS
KMS imposta una quota per il numero di operazioni API richieste al secondo Una volta superata la quota delle richieste API, KMS limiterà le richieste (ovvero rifiuterà richieste altrimenti valide) e restituirà una risposta di errore simile all'esempio seguente. Per le risposte di errore che possono essere risolte riprovando, è possibile introdurre policy di backoff e riprovazione delle richieste nell'applicazione.
La tabella seguente elenca la quota di richieste KMS per ciascun account Alibaba Cloud in una singola regione.
Tipo di operazione API coinvolte quota Operazioni di gestione delle chiavi Interrogare i metadati, le proprietà o lo stato delle risorse come chiavi, alias, tag, ecc. Le interfacce API nell'elenco condividono questo insieme di quote. OttieniParametriPerImportazione DescriviChiave ListKeys DescriviKeyVersion ListKeyVersions OttieniChiavePubblica ElencoAlias ElencoAliasesByKeyId ListResourceTag ListTagResources Descrivi le regioni 50 volte al secondo Crea una chiave. Creachiave 10 volte al secondo Crea alias, modifica chiavi, alias, etichette e altre operazioni. Le interfacce API nell'elenco condividono questo insieme di quote. ImportKeyMaterial EnableKey DisableKey Imposta protezione eliminazione ScheduleKeyDeletion CancelKeyDeletion Elimina materiale chiave UpdateKeyDescription AggiornaRotationPolicy CreaAlias AggiornaAlias EliminaAlias TagRisorsa Deseleziona risorsa TagResources Deseleziona risorse 30 volte al secondo operazioni crittografiche Utilizza chiavi simmetriche per generare chiavi di dati, crittografare, decrittografare e altre operazioni. Le interfacce API nell'elenco condividono questo insieme di quote. illustrare Questo set di interfacce è supportato solo quando si utilizza la crittografia lato server del prodotto cloud. Per ulteriori informazioni, consulta Panoramica della crittografia KMS per l'integrazione del prodotto cloud. Crittografare Genera chiave dati Genera chiave dati senza testo semplice EsportaDataKey GenerateAndExportDataKey Decifrare 750 volte/secondo Utilizza chiavi asimmetriche per eseguire operazioni di crittografia, decrittografia e verifica della firma. Le interfacce API nell'elenco condividono questo insieme di quote. illustrare Questo set di interfacce è supportato solo quando si utilizza la crittografia lato server del prodotto cloud. Per ulteriori informazioni, consulta Panoramica della crittografia KMS per l'integrazione del prodotto cloud. Segno asimmetrico Verifica asimmetrica AsymmetricDecrypt Crittografia asimmetrica 200 volte/secondo Operazioni relative alle credenziali Creare o eliminare le credenziali. Le interfacce API nell'elenco condividono questo insieme di quote. Crea segreto Elimina segreto 10 volte al secondo Eseguire query sulle informazioni sulle credenziali e ottenere i valori delle credenziali. Le interfacce API nell'elenco condividono questo insieme di quote. DescriviSegreto Ottieni valore segreto 450 volte al secondo Eseguire query sull'elenco delle credenziali, sulle informazioni sui metadati delle credenziali e su altre operazioni di lettura e scrittura a bassa frequenza. Le interfacce API nell'elenco condividono questo insieme di quote. ElencoSegreti ListSecretVersionId PutSecretValue AggiornaSegreto UpdateSecretVersionStage Ottieni password casuale UpdateSecretRotationPolicy RipristinaSegreto 40 volte al secondo Rotazione delle credenziali. RuotaSegreto 50 volte/ora Altre operazioni Attiva il servizio di gestione delle chiavi e interroga lo stato del servizio di gestione delle chiavi. Le interfacce API nell'elenco condividono questo insieme di quote. OpenKmsService DescriviAccountKmsStatus 1 volta/secondo
API dell'istanza KMS
Esempio di gestione delle chiavi software
Tipo di operazione Interfaccia API Le prestazioni di calcolo sono 1000 (volte/secondo) Le prestazioni di calcolo sono 2000 (volte/secondo) Le prestazioni di calcolo sono 4000 (volte/secondo) La prestazione di calcolo è 10000 (volte/secondo) La prestazione di calcolo è 20000 (volte/secondo) Gestire algoritmi simmetrici Utilizza chiavi simmetriche per crittografare e decrittografare dati, generare chiavi di dati e altre operazioni. Le interfacce API nell'elenco condividono questo insieme di quote. AdvanceEncrypt AdvanceDecrypt AdvanceGenerateDataKey Crittografare Decifrare Genera chiave dati 1000 2000 4000 10000 20000 Gestire algoritmi asimmetrici Utilizza chiavi asimmetriche per crittografare e decrittografare dati, generare chiavi di dati e altre operazioni. Le interfacce API nell'elenco condividono questo insieme di quote. Crittografare Decifrare Cartello Verificare 200 300 500 1300 2500 Ottieni la chiave pubblica Ottiene la chiave pubblica per la chiave asimmetrica specificata. OttieniChiavePubblica 1000 2000 4000 10000 20000 Utilizza le credenziali Ottieni il valore della credenziale. Ottieni valore segreto 500 1000 2000 4000 4000 Genera numeri casuali Genera un numero casuale. Genera casuale 1000 2000 4000 10000 20000
Esempio di gestione delle chiavi hardware
La tabella seguente elenca i valori di riferimento dei dati sulle prestazioni delle istanze di gestione delle chiavi hardware KMS in vari scenari di utilizzo.
Tipo di operazione Interfaccia API Le prestazioni di calcolo sono 2000 (volte/secondo) Le prestazioni di calcolo sono 4000 (volte/secondo) Le prestazioni di calcolo sono 6000 (volte/secondo) Gestire algoritmi simmetrici Utilizza chiavi simmetriche per crittografare e decrittografare dati, generare chiavi di dati e altre operazioni. Le interfacce API nell'elenco condividono questo insieme di quote. AdvanceEncrypt AdvanceDecrypt AdvanceGenerateDataKey Crittografare Decifrare Genera chiave dati 2000 4000 6000 Gestire algoritmi asimmetrici Utilizza chiavi asimmetriche per crittografare e decrittografare dati, generare chiavi di dati e altre operazioni. Le interfacce API nell'elenco condividono questo insieme di quote. Crittografare Decifrare Cartello Verificare 300 500 700 Ottieni la chiave pubblica Ottiene la chiave pubblica per la chiave asimmetrica specificata. OttieniChiavePubblica 2000 4000 6000 Utilizza le credenziali Ottieni il valore della credenziale. Ottieni valore segreto 1000 2000 3000 Genera numeri casuali Genera un numero casuale. Genera casuale 2000 4000 6000