Yandex.Cloud
  • Сервисы
  • Почему Yandex.Cloud
  • Сообщество
  • Решения
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Yandex Key Management Service
  • Начало работы
  • Пошаговые инструкции
    • Все инструкции
    • Ключ
    • Версия ключа
    • Шифрование данных
  • Концепции
    • Обзор
    • Ключ
    • Версия ключа
    • Шифрование
    • Шифрование по схеме envelope encryption
    • Консистентность ключей
    • Квоты и лимиты
  • Сценарии использования
    • Все сценарии
    • Шифрование данных
      • Какой способ шифрования выбрать?
      • Шифрование с помощью CLI и API Yandex.Cloud
      • Шифрование с помощью SDK Yandex.Cloud
      • Шифрование с помощью AWS Encryption SDK
      • Шифрование с помощью Google Tink
    • Шифрование секретов в Managed Service for Kubernetes
    • Управление ключами KMS с Hashicorp Terraform
    • Шифрование секретов в Hashicorp Terraform
  • Управление доступом
  • Правила тарификации
  • Справочник API
    • Аутентификация в API
    • gRPC
      • Обзор
      • SymmetricCryptoService
      • SymmetricKeyService
      • OperationService
    • REST
      • Обзор
      • SymmetricCrypto
        • Обзор
        • decrypt
        • encrypt
        • generateDataKey
        • reEncrypt
      • SymmetricKey
        • Обзор
        • cancelVersionDestruction
        • create
        • delete
        • get
        • list
        • listAccessBindings
        • listOperations
        • listVersions
        • rotate
        • scheduleVersionDestruction
        • setAccessBindings
        • setPrimaryVersion
        • update
        • updateAccessBindings
  • Вопросы и ответы
  1. Концепции
  2. Обзор

Обзор

  • Интерфейсы работы с сервисом
  • Управление ключами
    • Интеграция ключей с сервисами и инструментами
    • Безопасное хранение ключей
    • Аудит использования ключей

Key Management Service — сервис для создания ключей шифрования в Yandex.Cloud и управления ими.

Современные алгоритмы шифрования открыты. Без доступа к ключу, знания шифртекста и алгоритма шифрования недостаточно для расшифровки данных. Таким образом задача безопасного хранения данных сводится к задаче безопасного хранения ключей шифрования.

Шифруемые данные бывают разных типов: от паролей, OAuth-токенов и SSH-ключей до массивов данных гигабайтных размеров. Они могут требовать разный тип доступа (произвольный или последовательный), и разные виды хранилищ. В зависимости от всех этих факторов подбираются оптимальные алгоритмы шифрования. При большом количестве данных важно не только единообразно контролировать доступ к ним, но и учитывать специфику каждого конкретного вида.

Сервис Key Management Service решает описанные выше задачи и обеспечивает безопасное и централизованное хранение ключей шифрования.

Интерфейсы работы с сервисом

Для взаимодействия с KMS можно использовать:

  • Консоль управления.
  • Интерфейс командной строки (CLI).
  • SDK: на Java, Go, Python или Node.js.
  • API: REST или gRPC.

Управление ключами

Ключ — это основной ресурс KMS, представляющий из себя набор версий криптографического материала, которые можно использовать для шифрования или расшифровки данных. Контролируйте жизненный цикл криптоматериала, управляя ключами:

  • Создайте ключ.
  • Ротируйте ключ.
  • Измените ключ.
  • Удалите ключ.

Интеграция ключей с сервисами и инструментами

Вы можете использовать ключи KMS:

  • В сервисах Yandex.Cloud:
    • Managed Service for Kubernetes.
    • Certificate Manager.
  • При работе с Terraform.
  • В библиотеках шифрования:
    • AWS Encryption SDK.
    • Google Tink.

Безопасное хранение ключей

Криптоматериал ключей хранится в зашифрованном виде и недоступен в открытом виде вне сервиса KMS. При использовании API сервиса вы можете зашифровать или расшифровать переданные данные определенным ключом, но не можете получить криптоматериал в явном виде. Он восстанавливается исключительно в оперативную память и только на время выполнения операций с соответствующим ключом.

Для ключей доступны все возможности управления доступом, предоставляемые Identity and Access Management. Подробнее об управлении доступом и назначении ролей читайте в разделе Управление доступом

Аудит использования ключей

Шифртекст нельзя прочитать без доступа к соответствующему ключу. Все операции с ключами записываются в аудитные логи. Таким образом помимо шифрования, важным плюсом использования KMS является проверка доступа к зашифрованным данным с помощью логов использования ключей.

Каждая запись аудитного лога содержит следующую информацию:

  • Дата и время.
  • Тип операции.
  • Используемый ключ.
  • Субъект (аккаунт в Yandex.Cloud или сервисный аккаунт).

Чтобы получить аудитные логи, обратитесь в службу технической поддержки.

В этой статье:
  • Интерфейсы работы с сервисом
  • Управление ключами
  • Интеграция ключей с сервисами и инструментами
  • Безопасное хранение ключей
  • Аудит использования ключей
Language
Вакансии
Политика конфиденциальности
Условия использования
© 2021 ООО «Яндекс.Облако»