云服务器内容精选
-
OBS服务端加密 用户使用OBS(Object Storage Service,OBS)服务端加密方式上传时,可以选择“SEE-KMS加密”,从而使用KMS提供的密钥来加密上传的文件,如图1所示。更多信息请参见《 对象存储服务 控制台指南》。 图1 OBS服务端加密 可供选择的用户主密钥包含以下两种: KMS为使用OBS的用户创建一个默认密钥“obs/default”。 用户通过KMS界面创建的自定义密钥。 SM4加密算法仅支持华北-乌兰察布一区域。 用户也可以通过调用OBS API接口,选择服务端加密SSE-KMS方式(SSE-KMS方式是指OBS使用KMS提供的密钥进行服务端加密)上传文件,详情请参考《对象存储服务API参考》。 父主题: 使用KMS加密的云服务
-
故障隔离 DEW采用region间隔离设计,可以确保任何一个region的故障不会影响其它region的DEW服务。 DEW的基础设施包括服务器和加密机等采用AZ级容灾设计,任何一个AZ的故障不会影响DEW服务的可用性,DEW服务将自动屏蔽发生故障的AZ并将流量切换到其它AZ,实现业务的平滑调度。 DEW的基础设施包括服务器和加密机等采用集群设计,任何一个服务器或加密机的可用性问题不会影响DEW服务的可用性。
-
与用户的应用程序配合使用 当您的应用程序需要对明文数据进行加密时,可通过调用KMS的接口来创建 数据加密 密钥,再使用数据加密密钥将明文数据进行加密,得到密文数据并进行存储。同时,用户的应用程序调用KMS的接口创建对应用户主密钥,对数据加密密钥进行加密,得到密文的数据加密密钥并进行存储。 基于信封加密技术,用户主密钥存储在KMS中,用户的应用程序只存储密文的数据加密密钥,仅在需要使用时调用KMS解密数据加密密钥。 加密流程说明如下: 应用程序调用KMS的“create-key”接口创建一个自定义密钥。 应用程序调用KMS的“create-datakey”接口创建数据加密密钥。得到一个明文的数据加密密钥和一个密文的数据加密密钥。 密文的数据加密密钥是由1创建的用户主密钥加密明文的数据加密密钥生成的。 应用程序使用明文的数据加密密钥来加密明文文件,生成密文文件。 应用程序将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。 具体操作请参见《数据加密服务API参考》。
-
与华为云服务配合使用 华为云服务基于信封加密技术,通过调用KMS的接口来加密云服务资源。由用户管理自己的自定义密钥,华为云服务在拥有用户授权的情况下,使用用户指定的自定义密钥对数据进行加密。 图1 华为云服务使用KMS加密原理 加密流程说明如下: 用户需要在KMS中创建一个自定义密钥。 华为云服务调用KMS的“create-datakey”接口创建数据加密密钥。得到一个明文的数据加密密钥和一个密文的数据加密密钥。 密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。 华为云服务使用明文的数据加密密钥来加密明文文件,得到密文文件。 华为云服务将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。 用户通过华为云服务下载数据时,华为云服务通过KMS指定的自定义密钥对密文的数据加密密钥进行解密,并使用解密得到的明文的数据加密密钥来解密密文数据,然后将解密后的明文数据提供给用户下载。 表1 使用KMS加密的云服务列表 服务名称 如何使用 对象存储服务 对象存储服务支持普通方式和服务端加密方式上传和下载对象。当用户使用服务端加密方式上传对象时,数据会在服务端加密成密文后安全地存储在对象存储服务中;用户下载加密对象时,存储的密文会先在服务端解密为明文,再提供给用户。对象存储服务支持KMS托管密钥的服务端加密方式(即SSE-KMS加密方式),该加密方式是通过KMS提供密钥的方式进行服务端加密。 用户如何使用对象存储服务的SSE-KMS加密方式上传对象,具体操作请参见《对象存储服务控制台指南》。 云硬盘 在创建云硬盘时,用户启用云硬盘的加密功能,系统将使用用户主密钥产生的数据密钥对磁盘进行加密,则在使用该云硬盘时,存储到云硬盘的数据将会自动加密。 用户如何使用云硬盘加密功能,具体操作请参见《云硬盘用户指南》 。 镜像服务 用户通过外部镜像文件创建私有镜像时,可启用私有镜像加密功能,选择KMS提供的用户主密钥对镜像进行加密。 用户如何使用镜像服务的私有镜像加密功能,具体操作请参见《镜像服务用户指南》 。 弹性文件服务 用户通过弹性文件服务创建文件系统时,选择KMS提供的用户主密钥对文件系统进行加密,当使用该文件系统时,存储到文件系统的文件将会自动加密。 用户如何使用弹性文件服务的文件系统加密功能,具体操作请参见《弹性文件服务用户指南》。 云数据库RDS 在购买数据库实例时,用户启用数据库实例的磁盘加密功能,选择KMS提供的用户主密钥对数据库实例的磁盘进行加密,选择磁盘加密后会提高数据的安全性。 用户如何使用云数据库RDS的磁盘加密功能,具体操作请参见《云数据库RDS用户指南》。 文档数据库服务 在购买文档数据库实例时,用户启用文档数据库实例的磁盘加密功能,选择KMS提供的用户主密钥对文档数据库实例的磁盘进行加密,选择磁盘加密后会提高数据的安全性。 用户如何使用文档数据库的磁盘加密功能,具体操作请参见《文档数据库服务用户指南》。
-
与弹性云服务器的关系 弹性云服务器(Elastic Cloud Server,E CS )是由CPU、内存、操作系统、云硬盘组成的基础的计算组件。弹性云服务器创建成功后,您就可以像使用自己的本地PC或物理服务器一样,在云上使用弹性云服务器。 KPS为ECS提供密钥对的管理控制能力,应用于用户登录弹性云服务器时,对用户身份认证的功能。 Dedicated HSM提供的专属加密实例可以为部署在弹性云服务器内的业务系统加密敏感数据,用户可完全控制密钥的生成、存储和访问授权,保证数据在传输、存储过程中的完整性、保密性。
-
与 云审计 服务的关系 云审计服务(Cloud Trace Service, CTS )记录数据加密服务相关的操作事件,方便用户日后的查询、审计和回溯,具体请参见《云审计服务用户指南》。 表1 云审计服务支持的KMS操作列表 操作名称 资源类型 事件名称 创建密钥 cmk createKey 创建数据密钥 cmk createDataKey 创建不含明文数据密钥 cmk createDataKeyWithoutPlaintext 启用密钥 cmk enableKey 禁用密钥 cmk disableKey 加密数据密钥 cmk encryptDatakey 解密数据密钥 cmk decryptDatakey 计划删除密钥 cmk scheduleKeyDeletion 取消计划删除密钥 cmk cancelKeyDeletion 创建随机数 rng genRandom 修改密钥别名 cmk updateKeyAlias 修改密钥描述 cmk updateKeyDescription 密钥删除风险提示 cmk deleteKeyRiskTips 导入密钥材料 cmk importKeyMaterial 删除密钥材料 cmk deleteImportedKeyMaterial 创建授权 cmk createGrant 退役授权 cmk retireGrant 撤销授权 cmk revokeGrant 加密数据 cmk encryptData 解密数据 cmk decryptData 添加标签 cmk dealUnifiedTags 删除标签 cmk dealUnifiedTags 批量添加标签 cmk dealUnifiedTags 批量删除标签 cmk dealUnifiedTags 开启密钥轮换 cmk enableKeyRotation 修改密钥轮换周期 cmk updateKeyRotationInterval 表2 云审计服务支持的C SMS 操作列表 操作名称 资源类型 事件名称 创建凭据 secret createSecret 更新凭据 secret updateSecret 删除凭据 secret forceDeleteSecret 计划删除凭据 secret scheduleDelSecret 取消计划删除凭据 secret restoreSecretFromDeletedStatus 创建凭据状态 secret createSecretStage 更新凭据状态 secret updateSecretStage 删除凭据状态 secret deleteSecretStage 创建凭据版本 secret createSecretVersion 下载凭据备份 secret backupSecret 恢复凭证备份 secret restoreSecretFromBackupBlob 更新凭据版本 secret putSecretVersion 凭据轮转 secret rotateSecret 创建凭据事件 secret createSecretEvent 更新凭据事件 secret updateSecretEvent 删除凭据事件 secret deleteSecretEvent 创建资源标签 secret createResourceTag 删除资源标签 secret deleteResourceTag 表3 云审计服务支持的KPS操作列表 操作名称 资源类型 事件名称 创建或导入SSH密钥对 keypair createOrImportKeypair 删除SSH密钥对 keypair deleteKeypair 导入私钥 keypair importPrivateKey 导出私钥 keypair exportPrivateKey 绑定SSH密钥对 keypair bindKeypair 解绑SSH密钥对 keypair unbindKeypair 清除私钥 keypair clearPrivateKey 表4 云审计服务支持的DHSM操作列表 操作名称 资源类型 事件名称 购买云加密实例 hsm purchaseHsm 实例化云加密实例 hsm createHsm 删除云加密实例 hsm deleteHsm
-
版本说明 专属加密提供标准版、铂金版(国内)专属加密实例,具体服务内容如表1所示。 带*条目根据不同型号设备略有不同,请联系客服进行确认。 表1 专属加密 功能 服务内容 标准版-虚拟共享 铂金版(国内)-单用户独占 独享芯片加密 用户独享云端密码芯片资源,实现用户密钥硬件隔离的同时保障业务性能 支持 支持 全业务支持 支持金融支付、身份认证、数字签名等应用安全,满足各种重要系统对于数据安全性的严苛要求 支持 支持 弹性扩展 可根据您的业务需要弹性地增加和缩减密码运算资源 支持 支持 高可靠 后端硬件设备可以HA双机(主-备)部署,实现高可靠(需订购2个实例实现) 支持 支持 兼容性 提供与实体密码设备相同的功能与接口,方便向云端迁移,具体支持: PKCS#11接口,CSP接口,JCE接口,GM/T 0018-2012 SDF接口等 支持 支持 机框、电源独占 用户独享硬件加密机机框、电源资源 不支持 支持 网络独占 用户独享硬件加密机网络带宽、接口资源 不支持 支持 FIPS 140-2认证 采用符合 FIPS 140-2 第 3 级标准的 HSM 上生成和使用加密密钥 不支持 不支持 通用算法 对称算法 AES AES 非对称算法 RSA(1024,4096)* RSA(1024,4096)* 摘要算法 SHA1、SHA256、SHA384 SHA1、SHA256、SHA384 国密算法 对称算法 SM1、SM4、SM7 * SM1、SM4、SM7 * 非对称算法 SM2 SM2 摘要算法 SM3 SM3 通用算法性能 RSA2048验签运算性能 3,500 TPS 40,000 TPS RSA2048签名运算性能 400 TPS 4,000 TPS 国密算法性能 SM1加密运算性能 600 TPS 15,000 TPS SM2签名运算性能 3,000 TPS 80,000 TPS SM2验签运算性能 2,000 TPS 15,000 TPS SM4加密运算性能 4000~35000Tps* 35000~40000Tps* SM4解密运算性能 4000~30000Tps* 35000~40000Tps* SM7算法性能 1000Tps* 1000Tps* 数据通讯 TCP/IP 最大并发连接 64 2,048 父主题: 专属加密
-
Dedicated HSM支持的密码机类型 表2 Dedicated HSM支持的密码机类型 密码机类型 功能 适用场景 服务器密码机 数据加密/解密 数据签名/验签 数据摘要 支持MAC的生成和验证 满足各种行业应用中的基础密码运算需求,比如身份认证、数据保护、SSL密钥和运算卸载等。 金融密码机 支持PIN码的生成/加密/转换/验证 支持MAC生成及验证 支持CVV生成及验证 支持TAC生成及验证 支持常用Racal指令集 支持PBOC3.0常用指令集 满足金融领域密码运算需求,比如发卡系统、POS系统等。 签名验证服务器 签名/验签 编码/解码数字信封 编码/解码带签名的数字信封 证书验证 满足签名业务相关需求,比如CA系统、证书验证、大量数据的加密传输和身份认证。
-
专属密钥库 KMS通过专属密钥库支持HYOK功能,帮助用户完全自主可控名下的用户主密钥,用户主密钥不脱离加密机,并且密码运算完全在加密机中完成。与默认密钥库不同,用户可以通过专属加密集群随时对密钥进行全生命周期管理。 专属加密实例基础版、铂金版(国内)均支持HYOK功能。 HYOK(Hold Your Own Key)是指用户可以完全控制其密钥,密钥始终归用户所有。 专属密钥库操作可参见激活集群以及创建密钥库。专属密钥库支持的算法类型如表 专属密钥库的密钥算法类型所示。 表4 专属密钥库的密钥算法类型 密钥类型 算法类型 密钥规格 说明 适用场景 对称密钥 AES AES_256 AES对称密钥 数据的加解密 加解密数据密钥 说明: 小量数据的加解密可通过控制台在线工具进行。 大量数据的加解密需要调用API接口进行。 对称密钥 SM4 SM4 国密SM4对称密钥 数据的加解密 加解密数据密钥 非对称密钥 RSA RSA_2048 RSA_3072 RSA_4096 RSA非对称密钥 数字签名和验签 数据的加解密 说明: 非对称密钥适用于签名和验签场景,加密数据效率不高,加解密数据推荐使用对称密钥。 ECC EC_P256 EC_P384 椭圆曲线密码,使用NIST推荐的椭圆曲线 数字签名和验签 非对称密钥 SM2 SM2 国密SM2非对称密钥 数字签名和验签 小量数据的加解密
-
密钥区域性 KMS通过密钥区域性,实现密钥跨区域使用。每组用户主密钥与副本密钥具有相同的密钥材料,因此可以实现单区域的加密数据在不同区域进行解密,解决因跨区导致的无法解密。 您可以独立管理多个区域的密钥,副本密钥同样支持创建密钥别名、启用、禁用、标签、授权、在线加解密。副本密钥的轮换无法自主设置,需按照主密钥的轮换设置进行同步轮换。 密钥区域性原理如图 密钥区域性所示。 图1 密钥区域性 表5 密钥区域性使用场景 使用场景 说明 灾备场景 如果密钥所在区域出现欠费资源冻结或异常无法处理数据解密,替换使用另一区域中的副本密钥进行正常数据处理,保证业务不中断。 跨区域签名验签 如果由于业务需要,客户业务处于不同区域,可通过不同区域密钥实现签名验签解密,提升业务对接高效性。
-
KMS支持的密钥算法 KMS创建的对称密钥使用的是AES、SM4加解密算法。KMS创建的非对称密钥支持RSA、ECC、SM2算法。 表2 KMS支持的密钥算法类型 密钥类型 算法类型 密钥规格 说明 适用场景 对称密钥 AES AES_256 AES对称密钥 数据的加解密 加解密数据密钥 说明: 小量数据的加解密可通过控制台在线工具进行。 大量数据的加解密需要调用API接口进行。 对称密钥 SM4 SM4 国密SM4对称密钥 数据的加解密 加解密数据密钥 摘要密钥 SHA HMAC_256 HMAC_384 HMAC_512 摘要密钥 数据防篡改 数据完整性校验 摘要密钥 SM3 HMAC_SM3 国密SM3摘要密钥 数据防篡改 数据完整性校验 非对称密钥 RSA RSA_2048 RSA_3072 RSA_4096 RSA非对称密钥 数字签名和验签 数据的加解密 说明: 非对称密钥适用于签名和验签场景,加密数据效率不高,加解密数据推荐使用对称密钥。 ECC EC_P256 EC_P384 椭圆曲线密码,使用NIST推荐的椭圆曲线 数字签名和验签 非对称密钥 SM2 SM2 国密SM2非对称密钥 数字签名和验签 小量数据的加解密 通过外部导入的密钥支持的密钥包装加解密算法如下表所示。 表3 密钥包装算法说明 密钥包装算法 说明 设置 RSAES_OAEP_SHA_256 具有“SHA-256”哈希函数的OAEP的RSA加密算法。 请您根据自己的HSM功能选择加密算法。 如果您的HSM支持“RSAES_OAEP_SHA_256”加密算法,推荐使用“RSAES_OAEP_SHA_256”加密密钥材料。 须知: “RSAES_OAEP_SHA_1”加密算法已经不再安全,请谨慎选择。 RSAES_OAEP_SHA_1 具有“SHA-1”哈希函数的OAEP的RSA加密算法。 SM2_ENCRYPT 国密推荐的SM2椭圆曲线公钥密码算法。 请在支持国密的局点使用SM2加密算法。
-
功能介绍 表1 密钥管理 功能 服务内容 密钥全生命周期管理 创建、查看、启用、禁用、计划删除、取消删除自定义密钥 修改自定义密钥的别名和描述 用户自带密钥 导入密钥、删除密钥材料 小数据加解密 在线工具加解密小数据 签名验签 消息或消息摘要的签名、签名验证 说明: 仅支持通过API调用。 密钥标签 添加、搜索、编辑、删除标签 密钥轮换 开启、修改、关闭密钥轮换周期 密钥授权 创建、撤销、查询授权 退役授权 说明: 仅支持通过API调用。 密钥区域性 跨区域创建副本密钥 云服务加密 对象存储服务OBS加密 云硬盘服务EVS加密 镜像服务IMS加密 弹性文件服务SFS加密(SFS文件系统加密) 弹性文件服务SFS加密(SFS Turbo文件系统加密) 云数据库RDS(MySQL、PostgreSQL、SQL Server引擎)加密 文档数据库服务DDS加密 数据仓库 服务DWS加密 数据加密密钥管理 创建、加密、解密数据加密密钥 说明: 仅支持通过API调用。 生成硬件真随机数 生成512bit的随机数,为加密系统提供基于硬件真随机数的密钥材料和加密参数 说明: 仅支持通过API调用。 消息认证码 生成、验证消息认证码 说明: 仅支持通过API调用。 密钥库管理 创建、禁用、删除密钥库
-
DEW权限 默认情况下,KMS管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 DEW部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域(如华北-北京1)对应的项目(cn-north-1)中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问DEW时,需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对DEW服务,KMS管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,权限的最小粒度为API授权项(action)。DEW支持的API授权项请参见DEW权限及授权项。 如表 KMS系统策略、表 KPS系统策略、表 CSMS系统策略所示,包括了DEW的所有系统权限。 表1 KMS系统策略 系统角色/策略名称 描述 类别 依赖关系 KMS Administrator 密钥管理服务(KMS)管理员,拥有该服务下的所有权限。 系统角色 无 KMS CMKFullAccess 密钥管理服务(KMS)的加密密钥所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 KMS CMKReadOnlyAccess 密钥管理服务(KMS)的加密密钥只读权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 表2 KPS系统策略 系统角色/策略名称 描述 类别 依赖关系 DEW KeypairFullAccess 数据加密服务中密钥对管理服务(KPS)的所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 DEW KeypairReadOnlyAccess 数据加密服务中密钥对管理服务(KPS)的查看权限。拥有该权限的用户仅能查看密钥对管理服务(KPS)数据。 系统策略 无 表3 CSMS系统策略 系统角色/策略名称 描述 类别 依赖关系 CSMS FullAccess 数据加密服务中凭据管理服务(CSMS)的所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 CSMS ReadOnlyAccess 数据加密服务中凭据管理服务(CSMS)的只读权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 密钥对不支持企业项目授权,DEW KeypairFullAccess、DEW KeypairReadOnlyAccess策略不能用于企业项目授权。 表4列出了DEW常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。 表4 常用操作与KMS系统权限的关系 操作 KMS Administrator KMS CMKFullAccess 创建密钥 √ √ 启用密钥 √ √ 禁用密钥 √ √ 计划删除密钥 √ √ 取消计划删除密钥 √ √ 修改密钥别名 √ √ 修改密钥描述 √ √ 创建随机数 √ √ 创建数据密钥 √ √ 创建不含明文数据密钥 √ √ 加密数据密钥 √ √ 解密数据密钥 √ √ 获取密钥导入参数 √ √ 导入密钥材料 √ √ 删除密钥材料 √ √ 创建授权 √ √ 撤销授权 √ √ 退役授权 √ √ 查询授权列表 √ √ 查询可退役授权列表 √ √ 加密数据 √ √ 解密数据 √ √ 签名消息 √ √ 验证签名 √ √ 开启密钥轮换 √ √ 修改密钥轮换周期 √ √ 关闭密钥轮换 √ √ 查询密钥轮换状态 √ √ 查询密钥实例 √ √ 查询密钥标签 √ √ 查询项目标签 √ √ 批量添加删除密钥标签 √ √ 添加密钥标签 √ √ 删除密钥标签 √ √ 查询密钥列表 √ √ 查询密钥信息 √ √ 查询公钥信息 √ √ 查询实例数 √ √ 查询配额 √ √ 查询密钥对列表 x x 创建或导入密钥对 x x 查询密钥对 x x 删除密钥对 x x 更新密钥对描述 x x 绑定密钥对 x x 解绑密钥对 x x 查询绑定任务信息 x x 查询失败的任务 x x 删除所有失败的任务 x x 删除失败的任务 x x 查询正在处理的任务 x x
-
凭据安全检索 应用程序访问数据库或其他服务时,需要提供如密码、令牌、证书、SSH 密钥、API 密钥等各种类型的凭据信息进行身份校验,通常是直接使用明文方式将上述凭据嵌入在应用程序的配置文件中。该场景存在凭据信息硬编码、明文存储易泄露和安全性较低等风险问题。 通过凭据管理服务,用户可以将代码中的硬编码替换为对API 的调用,以便用编程的方式动态查询凭据,由于该凭据中不包含敏感信息,保证凭据不被泄露。 解决方案说明如下: 应用读取配置时,调用凭据管理服务API检索读取凭据(代替硬编码和明文凭据)。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
