Yandex Key Management Service

Сервис для управления криптографическими ключами. Используйте ключи, чтобы защитить секреты, личные данные и другую конфиденциальную информацию, которую вы храните в облаке.

Подключиться Документация

Управление ключами

Создавайте и удаляйте ключи, определяйте политики доступа и выполняйте ротацию через консоль, командную строку (CLI) или API.

Шифрование и подпись данных

В KMS реализована симметричная и асимметричная криптография. Используйте REST или gRPC API для шифрования и расшифровки данных небольшого объёма, таких как секреты и локальные ключи шифрования, а также для подписи данных при помощи схем ЭП.

Контроль доступа и безопасность

Вы управляете доступом к зашифрованным данным, а KMS обеспечивает надёжность и физическую безопасность ключей. Доступны аппаратные модули шифрования (HSM).

Интеграция с SDK

Для шифрования данных небольшого размера доступны SDK на Java или Go. Для шифрования данных большего объёма сервис интегрирован с популярными библиотеками для шифрования: AWS Encryption SDK и Google Tink.

Аудит действий с ключами

Проверяйте доступ к зашифрованным данным с помощью логов использования ключей. KMS регистрирует все запросы API, включая действия по управлению ключами и использование ключей для шифрования и расшифровки данных.

Интеграция с другими сервисами

Интеграция с Yandex Lockbox позволяет шифровать секреты с помощью собственных ключей. Также секреты и данные можно защитить при помощи ключей шифрования в Managed Service for Kubernetes.

С чего начать

Зашифруйте секреты Yandex Managed Service for Kubernetes с помощью ключа KMS. Для этого создайте ключ KMS и используйте его при создании кластера Kubernetes.

Создать ключ

Научим работать с сервисом

На курсе «Инженер облачных сервисов» вы научитесь создавать отказоустойчивые облачные системы, работать с управляемыми базами данных и контейнерами, изучите основы бессерверных технологий и подходы к созданию защищённой от внешних атак облачной инфраструктуры.

Узнать больше о курсе

Вопросы и ответы

Что такое криптографический ключ?

Ключ состоит из набора версий, каждая из которых определяет алгоритм и криптографический материал для операций шифрования или расшифровки данных. При создании ключа создаётся его первая версия, которая становится основной. Она по умолчанию используется в операциях с ключом, если во входных параметрах не указана другая версия.

В документацию

Какая схема шифрования применяется в Key Management Service?

В сервисе реализованы симметричное и асимметричное шифрование.

В случае симметричного шифрования, и для шифрования, и для расшифровки используется один и тот же (симметричный) ключ. В KMS применяется AES с длиной ключа 128, 192 или 256 бит в режиме GCM.

При асимметричном шифровании используется криптоалгоритм RSA с длинами ключа 2048, 3072 и 4096 бит и хэш-алгоритм SHA256. Для электронной подписи сервис KMS предоставляет криптографические алгоритмы ECDSA и RSA.

В документацию

Как реализовано шифрование и расшифрование на асимметричных ключах?

Key Management Service позволяет выгружать открытый ключ, чтобы его можно было распространять и шифровать с его помощью данные на стороне клиента или проверять выработанную электронную подпись.

Расшифровка данных, зашифрованных открытым ключом, и подписание данных при помощи схем ЭП производится на закрытом ключе в сервисе Key Management Service. Прямой доступ к закрытому ключу и ее извлечение из сервиса не допускается.

В документацию

Какой объём данных можно зашифровать?

Какие есть возможности для дополнительной защиты?

Вы можете подключить аппаратный модуль шифрования (HSM) — специализированное вычислительное устройство, которое используется для построения систем с высоким уровнем безопасности.

В Yandex Cloud мы используем специализированные защищенные физические серверы (HSM), которые поставляются известным на российском рынке производителем средств криптографической защиты информации — ООО «КриптоПро».

В документацию