<p class="shortdesc"></p> <table class="table" id="Definitions__table_ylw_lzc_flb"><caption></caption><colgroup><col style="width:25.510204081632654%"><col style="width:74.48979591836735%"></colgroup><thead class="thead"> <tr class="row"> <th class="entry" id="Definitions__table_ylw_lzc_flb__entry__1">概念</th> <th class="entry" id="Definitions__table_ylw_lzc_flb__entry__2">含义</th> </tr> </thead><tbody class="tbody"> <tr class="row"> <td class="entry" headers="Definitions__table_ylw_lzc_flb__entry__1 "> <p class="p">密钥管理服务</p> </td> <td class="entry" headers="Definitions__table_ylw_lzc_flb__entry__2 "> <p class="p">密钥管理服务KMS能够为用户提供一种安全、可靠的密钥管理服务，用于集中管理用户密钥，保证密钥安全。</p> </td> </tr> <tr class="row"> <td class="entry" headers="Definitions__table_ylw_lzc_flb__entry__1 "> <p class="p">用户主密钥</p> </td> <td class="entry" headers="Definitions__table_ylw_lzc_flb__entry__2 "> <p class="p">用户主密钥CMK（Customer Master Key）是用户使用平安云密钥管理服务KMS服务创建的主密钥，该密钥主要用于加密并保护数据密钥、产生信封。同时，也可以应用于少量数据的直接加密。主密钥归为用户管理的密钥或平安云管理的密钥。一个用户主密钥可以加密多个数据密钥。</p> </td> </tr> <tr class="row"> <td class="entry" headers="Definitions__table_ylw_lzc_flb__entry__1 "> <p class="p">数据密钥</p> </td> <td class="entry" headers="Definitions__table_ylw_lzc_flb__entry__2 "> <p class="p">数据密钥（DataKey）是用来加密数据的加密密钥。可以利用用户主密钥生成、加密和解密数据密钥。数据密钥利用GenerateDataKey接口产生的对称密钥，同时返回数据密钥明文和密文（密文由对应的主密钥CMK进行加密生成），KMS不保存数据密钥的任何信息，只负责利用数据密钥的密文解密出对应的数据密钥的明文。</p> <div class="note important note_important"><span class="note__title">重要：</span> 数据密钥使用后不能明文落盘，需丢弃数据密钥明文，将数据密钥密文进行落盘。</div> </td> </tr> <tr class="row"> <td class="entry" headers="Definitions__table_ylw_lzc_flb__entry__1 "> <p class="p">信封加密</p> </td> <td class="entry" headers="Definitions__table_ylw_lzc_flb__entry__2 "> <p class="p">信封加密（Envelope Encryption）是一种加密手段，将加密数据的数据密钥放置到信封中来存储、传递和使用，不再使用主密钥直接加解密数据。通俗地讲，信封加密就是首先使用数据密钥对明文数据进行加密，然后再利用其他密钥对数据密钥进行加密保护。</p> </td> </tr> </tbody></table>