Entry № 142
自带密钥 (BYOK)
自带密钥 (BYOK) 是什么?
自带密钥 (BYOK)一种密钥管理模式,客户在本地生成或导入自己的加密密钥到云服务商的 KMS 中,而不是使用云服务商生成的密钥。
BYOK 让客户掌握保护云端数据所用主密钥的整个生命周期,但密钥仍由云服务商在其 KMS 或 HSM 内托管和使用。密钥通常在客户本地 HSM 中生成,经过加密包装后再安全地导入云端。客户可以对密钥进行轮换、禁用或定期销毁,从而获得更可信的审计记录和更快的吊销渠道。BYOK 本身并不能阻止云服务商使用这些密钥,因为它们仍存放在其基础设施中——若需进一步隔离,需要 HYOK 或外部密钥库。常见实现包括 AWS KMS 导入密钥材料、Azure Key Vault BYOK 以及 Google Cloud EKM。
● 示例
- 01
从本地 HSM 将密钥材料导入到 AWS KMS。
- 02
使用 FIPS 140-2 HSM 完成包装仪式的 Azure Key Vault BYOK。
● 常见问题
自带密钥 (BYOK) 是什么?
一种密钥管理模式,客户在本地生成或导入自己的加密密钥到云服务商的 KMS 中,而不是使用云服务商生成的密钥。 它属于网络安全的 云安全 分类。
自带密钥 (BYOK) 是什么意思?
一种密钥管理模式,客户在本地生成或导入自己的加密密钥到云服务商的 KMS 中,而不是使用云服务商生成的密钥。
如何防御 自带密钥 (BYOK)?
针对 自带密钥 (BYOK) 的防御通常结合技术控制与运营实践,详见上方完整定义。
自带密钥 (BYOK) 还有哪些其他名称?
常见的别称包括: BYOK, 客户自管密钥。