密钥管理概览

密钥管理不当是主要风险来源。为了应对这种风险，Tink 提供了以下优势：

• 内置对行业领先的密钥管理系统 (KMS) 的支持，可帮助您保护密钥（Google Cloud KMS、AWS KMS 或 HashiCorp Vault）。
• 一个名为 Tinkey 的命令行实用程序，可帮助您生成密钥并使用 Tink 密钥集。

具体而言，在为您的用例选择基元和密钥类型（在前面的我想...部分）后，请按照以下步骤管理您的密钥：

1. 使用您在第 2 步中选择的外部密钥管理系统 (KMS)，通过以下方法保护 Tink 生成的密钥：

   • 在外部 KMS 中创建密钥加密密钥 (KEK)。
   • 检索可传递给 Tink 的密钥 URI 和凭据。

2. 使用 Tink 的 API 或 Tinkey 生成加密的密钥集。密钥加密后，您可以将其存储在任何位置。

3. 轮替密钥以避免大量重复使用密钥的风险。