华为云用户手册

  • 请求示例 通过form表单提交请求,其中file是具体文件。 POST /v1/{project_id}/sdg/doc/watermark/embed { "file" : "test.doc", "doc_type" : "WORD", "opacity" : "0.1", "font_size" : "30", "rotation" : "45", "blind_watermark" : "blind_watermark", "visible_watermark" : "visible_watermark" }
  • 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。通过调用 IAM 服务“获取用户Token接口”获取(响应消息头中X-Subject-Token的值) 表3 FormData参数 参数 是否必选 参数类型 描述 doc_type 是 String 要嵌入水印的文档类型 file_password 否 String 输入文件有密码时,读取文件的密码, 最大支持长度256。如果Office文档有读密码或域控的权限密码,请输入读密码,或者有读权限的域控密码。 marked_file_password 否 String 添加水印后给文件设置密码, 最大支持长度256。默认不加文档密码。 readonly_password 否 String 添加水印后给文件设置只读密码, 最大支持长度256。默认不加只读密码。 visible_watermark 否 String 明水印内容,与“blind_watermark”字段至少有一个不为空 font_size 否 String 明水印字体大小,取值为[1,100],默认值50 rotation 否 String 明水印旋转角度,逆时针方向,取值为[0,90],默认值45 opacity 否 String 明水印的透明度,取值[0,1],默认值为0.3; blind_watermark 否 String 暗水印内容,与“visible_watermark”字段至少有一个不为空 file 是 File 要添加水印的文档 image_mark 否 File 图形水印的字节流。图形文件的格式必须为“png”或“jpg”,否则返回参数错误;图像文件大小不超过1MB;在分段的请求体“Content-Disposition”部分,参数“name”的值必须为“image_mark”。 visible_type 否 String 该字段为空时,默认为TEXT类型。 当该字段为IMAGE时: 请求的表单中必须包含名为“image”的图像文件,图像格式必须为“png”或“jpg”,否则返回参数错误; 图像文件大小不超过1MB; “visible_watermark”,“font_size”,“rotation”和“opacity”字段无效。
  • 请求示例 嵌入内容为test12345678test的水印,水印密钥是keyword,字段类型列表中数据的字段名称为item1,该字段为主键。 POST https://{endpoit}/v1/{project_id}/sdg/database/watermark/embed { "watermark_content" : "test12345678test", "watermark_key" : "keyword", "columns" : [ { "name" : "item1", "type" : "INTEGER", "primary_key" : true }, { "name" : "item2", "type" : "INTEGER", "primary_key" : false } ], "data" : [ { "item1" : { "col" : 0 }, "item2" : { "col" : 3 } }, { "item1" : { "col" : 1 }, "item2" : { "col" : 4 } } ] }
  • 响应示例 状态码:200 请求成功 { "marked_data" : [ { "item2" : { "col2" : 3 }, "item1" : { "col1" : "test" } }, { "item2" : { "col2" : 5 }, "item1" : { "col1" : "test" } } ] } 状态码:400 参数错误 { "error_code" : "DSC.00000004", "error_msg" : "Invalid parameter" }
  • 请求参数 表2 请求Body参数 参数 是否必选 参数类型 描述 category 是 String 规则类别,内置规则(BUILT_IN)或自建规则(BUILT_SELF) id 是 String 规则ID logic_operator 是 String 逻辑运算符,"AND","OR","REGEX" min_match 是 Integer 最小匹配次数 risk_level 是 Integer 风险等级 rule_content 是 String 规则内容 rule_desc 否 String 规则描述 rule_name 是 String 规则名称 rule_type 是 String 规则类型,关键字(KEYWORD)、正则表达式(REGEX)或自然语言(NLP)
  • 请求示例 修改规则名称为xxxx的自建规则,逻辑运算符是OR,其中最小匹配值为1、风险等级为1、规则内容为xxxx、规则描述为xxxx、规则类型为xxxx。 PUT /v1/{project_id}/sdg/server/scan/rules { "category" : "BUILT_SELF", "id" : "xxxxxxxxxxxxxxxxxxx", "logic_operator" : "OR", "min_match" : 1, "risk_level" : 1, "rule_content" : "xxxx", "rule_desc" : "xxxx", "rule_name" : "xxxx", "rule_type" : "xxxx" }
  • 请求示例 脱敏策略列表中对字段col使用KEYWORD脱敏算法,将指定关键字keyword替换为target。 POST https://{endpoint}/v1/{project_id}/data/mask { "mask_strategies" : [ { "name" : "col", "algorithm" : "KEYWORD", "parameters" : { "key" : { "keyword" : "keyword" }, "target" : { "target" : "target" } } } ], "data" : [ { "col" : { "keyword" : "keyword" } } ] }
  • 请求参数 表2 请求Body参数 参数 是否必选 参数类型 描述 asset_ids 是 Array of strings 资产ID列表 cycle 是 String 扫描周期,日(DAY),周(WEEK),月(MONTH),单次扫描(ONCE) name 是 String 扫描任务名 open 否 Boolean 是否开启任务 rule_group_ids 是 Array of strings 规则组ID列表 start_time 否 Long 扫描任务开始时间 time_zone 否 String 时区 topic_urn 否 String 主题的唯一资源标识符 use_nlp 否 Boolean 是否用nlp
  • 请求示例 创建任务名为xxxx的扫描任务,选择xxxxxxxxxxxx规则组,单次扫描,立即执行。 POST /v1/{project_id}/sdg/scan/job { "asset_ids" : [ "xxxx", "xxxx" ], "cycle" : "ONCE", "name" : "xxxx", "open" : true, "rule_group_ids" : [ "xxxx", "xxxx" ], "start_time" : 0, "time_zone" : 8, "topic_urn" : "xxxxxxxxxxxx", "use_nlp" : false }
  • 请求参数 表2 请求Body参数 参数 是否必选 参数类型 描述 category 否 String 规则类别,内置规则(BUILT_IN)或自建规则(BUILT_SELF) default_status 否 Boolean 是否默认规则组 group_desc 否 String 规则组描述 group_name 否 String 规则组名称 id 否 String 规则组ID rule_ids 否 Array of strings 包含的规则ID列表
  • 请求示例 创建规则组名称为xxxx的自建扫描规则组。 POST /v1/{project_id}/sdg/server/scan/groups { "category" : "BUILT_SELF", "group_desc" : "xxxx", "group_name" : "xxxx", "rule_ids" : [ "xxxxxxxxxxxxxxxxxxx", "xxxxxxxxxxxxxxxxxxx" ] }
  • 请求参数 表2 请求Body参数 参数 是否必选 参数类型 描述 category 是 String 规则类别,内置规则(BUILT_IN)或自建规则(BUILT_SELF) id 否 String 规则ID logic_operator 是 String 逻辑运算符,"AND","OR","REGEX" min_match 是 Integer 最小匹配次数 risk_level 是 Integer 风险等级 rule_content 是 String 规则内容 rule_desc 否 String 规则描述 rule_name 是 String 规则名称 rule_type 是 String 规则类型,关键字(KEYWORD)、正则表达式(REGEX)或自然语言(NLP)
  • 请求示例 创建规则名称为xxxx的自建规则,逻辑运算符选择AND,其中最小匹配值为1、风险等级为1、规则内容为xxxx、规则描述为xxxx、规则类型为KEYWORD。 POST /v1/{project_id}/sdg/server/scan/rules { "category" : "BUILT_SELF", "logic_operator" : "AND", "min_match" : 1, "risk_level" : 1, "rule_content" : "xxxx", "rule_desc" : "xxxx", "rule_name" : "xxxx", "rule_type" : "KEYWORD" }
  • 请求参数 表3 请求Body参数 参数 是否必选 参数类型 描述 buckets 否 Array of BucketBean objects OBS桶列表 表4 BucketBean 参数 是否必选 参数类型 描述 asset_name 否 String 资产名称 location 否 String 桶位置 bucket_name 否 String 桶名称 bucket_policy 否 String 桶策略
  • 请求示例 添加桶名称为xxxx的数据资产扫描授权。 POST /v1/{project_id}/sdg/asset/obs/buckets { "buckets" : [ { "asset_name" : "xxxx", "location" : "xxxx", "bucket_name" : "xxxx", "bucket_policy" : "private" } ] }
  • DSC安全最佳实践 安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。详情请参见责任共担。 本文从以下几个维度给出建议,您可以评估DSC使用情况,并根据业务需要在本指导的基础上进行安全配置。 使用 数据安全中心 专业版 DSC专业版相较于基础版提供更全面的数据安全保护功能,支持数据静态脱敏和数据水印注入/提取功能,其中数据水印可以全方位确保敏感信息不被泄露,数据水印注入/提取可以帮助追溯数据流转过程,精确定位泄露单位和责任人。 OBS数据安全防护 敏感数据主要包括个人隐私信息、密码、密钥、敏感图片等高价值数据,这些数据通常会以不同的格式存储在您的OBS桶中,一旦发生泄漏,会给企业带来重大的经济和名誉损失。建议您完成OBS数据安全防护最佳实践以便随时了解您的OBS数据资产安全状态。 定期检查并停止不再使用的授权 DSC针对您不同的资产模块需获取对应的授权才能正常使用,建议您定期检查业务具体资产,并根据您的业务述求来最小化配置资产的授权。具体操作请参见云资产委托授权/停止授权。 配置数据静态脱敏功能 DSC专业版提供数据静态脱敏功能,可以帮助您预防敏感数据泄露。具体配置请参考数据静态脱敏。 打开并配置告警通知 通过设置告警通知,并在新建/编辑敏感数据识别任务时,配置通知主题以帮助您及时获取资产的敏感数据识别结果,及时了解资产的安全风险,具体操作请参见设置告警通知。
  • 步骤二:配置规则 您可以直接配置审计与防护策略,也可以根据审计日志的风险点设置审计与防护策略。策略配置完成后,开启对应策略,将对应用数据资产开启针对性的防护与审计。 配置白名单,请参见创建白名单。 配置访问控制规则,请参见访问控制。 配置风险防护规则,请参见添加自定义规则和启用内置规则。 配置内容替换规则,请参见添加内容替换规则。 配置脱敏规则,请参见添加脱敏规则。 配置水印规则,请参见添加水印规则。 在告警或检索页面配置策略,请参见告警页面配置策略和检索页面配置策略。
  • 共享云硬盘 共享云硬盘是一种支持多个云服务器并发读写访问的数据块级存储设备,具备多挂载点、高并发性、高性能、高可靠性等特点。主要应用于需要支持集群、HA(High Available,指高可用集群)能力的关键企业应用场景,多个云服务器可同时访问一个共享云硬盘。 一块共享云硬盘最多可同时挂载至16台云服务器,云服务器包括弹性云服务器和裸金属服务器。实现文件共享需要搭建共享文件系统或类似的集群管理系统,例如Windows MS CS 集群、Veritas VCS集群和CFS集群等。共享云硬盘的详细介绍参见管理共享云硬盘。 使用共享云硬盘必须搭建共享文件系统或类似的集群管理系统。直接挂载至多台云服务器无法实现共享功能,且存在数据覆盖风险。 图1 共享云硬盘使用场景 父主题: 基本概念
  • 云硬盘加密 当您由于业务需求从而需要对存储在云硬盘的数据进行加密时,EVS为您提供加密功能,可以对新创建的云硬盘进行加密。 EVS加密采用行业标准的XTS-AES-256加密算法,利用密钥加密云硬盘。加密云硬盘使用的密钥由 数据加密 服务(DEW,Data Encryption Workshop)中的密钥管理(KMS,Key Management Service)功能提供,无需您自行构建和维护密钥管理基础设施,安全便捷。KMS使用符合FIPS 140-2第3等级认证的硬件安全模块(HSM,Hardware Security Module),从而保护密钥的安全。所有的用户密钥都由HSM中的根密钥保护,避免密钥泄露。 加密云硬盘的详细介绍参见管理加密云硬盘。 已经购买完成的云硬盘不支持更改加密属性。 父主题: 基本概念
  • 云硬盘基本概念 表1 云硬盘基本概念 概念 说明 相关文档 IOPS 云硬盘每秒进行读写的操作次数。 云硬盘类型及性能介绍 吞吐量 云硬盘每秒成功传送的数据量,即读取和写入的数据量。 IO读写时延 云硬盘连续两次进行读写操作所需要的最小时间间隔。 突发能力 小容量云硬盘可以在一定时间内达到IOPS突发上限,超过IOPS上限的能力。 VBD 磁盘模式,VBD类型的云硬盘只支持简单的SCSI读写命令。 磁盘模式介绍 SCSI 磁盘模式,SCSI类型的云硬盘支持SCSI指令透传,允许云服务器操作系统直接访问底层存储介质。 父主题: 基本概念
  • 轮换凭据和密钥 为提升系统安全性,需要对敏感凭据进行定期更新。凭据轮换时要求对目标凭据具备依赖性的应用或配置同步更新,多应用系统凭据更新容易遗漏,可能带来业务中断风险。 通过凭据管理服务,提供凭据多版本管理,应用节点通过API/SDK调用实现应用层凭据安全轮换。 解决方案说明如下: 管理员通过凭据管理控制台或API接口新增凭据版本,更新目标凭据内容。 应用节点通过调用API/SDK 获取最新凭据版本,或指定版本状态的凭据,实现全量或灰度的凭据轮换。 定期重复1和2实现凭据定期轮转。 加密密钥开启密钥轮换,提高存储安全性。
  • 凭据事件通知 用户为凭据对象订阅关联事件后,当事件为启用状态且基础事件类型在凭据对象上触发时,通过 消息通知 服务( SMN )对应事件通知会发送至事件指定的通知主题上,或者通过EG(事件网格)服务中创建的云服务事件订阅来通知云服务。基础事件类型包括:凭据新版本创建,凭据版本过期,凭据删除,凭据轮转。配置事件通知后,用户可以通过 函数工作流 服务(FunctionGraph)中基于事件驱动的托管函数来自动化轮转凭据。 解决方案说明如下: 1.管理员通过凭据管理服务的事件通知控制台或者调用API接口新增事件。 2.创建或更新凭据时,关联订阅所需的事件对象。 3.用户在凭据状态发生改变时收到事件通知消息,并可在函数工作流服务(FunctionGraph)中配置函数,来实现凭据自动更新或轮转等功能。
  • 凭据管理基本功能 表1 凭据管理基本功能 功能 服务内容 凭据全生命周期管理 创建、查看、定时删除、立即删除、取消删除、备份和恢复凭据 修改凭据的加密密钥和描述信息 凭据版本管理 创建、查看凭据版本 查看凭据值 凭据版本到期设置 凭据版本状态管理 更新、查询、删除凭据版本状态 凭据标签管理 添加、搜索、编辑、删除标签 凭据事件管理 创建、查看、删除事件 修改凭据事件类型 凭据通知管理 查看变更事件类型、事件名称、凭据名称 表2 轮转凭据支持凭据类型 凭据类型 数据库类型\实例 RDS凭据 MySQL、PostgreSQL、SQLServer、MariaDB、TaurusDB。 TaurusDB凭据 TaurusDB实例
  • 凭据安全检索 应用程序访问数据库或其他服务时,需要提供如密码、令牌、证书、SSH 密钥、API 密钥等各种类型的凭据信息进行身份校验,通常是直接使用明文方式将上述凭据嵌入在应用程序的配置文件中。该场景存在凭据信息硬编码、明文存储易泄露和安全性较低等风险问题。 通过凭据管理服务,用户可以将代码中的硬编码替换为对API 的调用,以便用编程的方式动态查询凭据,由于该凭据中不包含敏感信息,保证凭据不被泄露。 解决方案说明如下: 应用读取配置时,调用凭据管理服务API检索读取凭据(代替硬编码和明文凭据)。
  • 大量数据加解密 当您有大量数据(例如:照片、视频或者数据库文件等)需要加解密时,用户可采用信封加密方式加解密数据,无需通过网络传输大量数据即可完成数据加解密。 加密本地文件流程,如图2所示。 图2 加密本地文件 流程说明如下: 用户需要在KMS中创建一个用户主密钥。 用户调用KMS的“create-datakey”接口创建数据加密密钥。用户得到一个明文的数据加密密钥和一个密文的数据加密密钥。其中密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。 用户使用明文的数据加密密钥来加密明文文件,生成密文文件。 用户将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。 解密本地文件流程,如图3所示。 图3 解密本地文件 流程说明如下: 用户从持久化存储设备或服务中读取密文的数据加密密钥和密文文件。 用户调用KMS的“decrypt-datakey”接口,使用对应的用户主密钥(即生成密文的数据加密密钥时所使用的用户主密钥)来解密密文的数据加密密钥,取得明文的数据加密密钥。 如果对应的用户主密钥被误删除,会导致解密失败。因此,需要妥善管理好用户主密钥。 用户使用明文的数据加密密钥来解密密文文件。
  • 小数据加解密 当您有少量数据(例如:密码、证书、电话号码等)需要加解密时,用户可以通过KMS界面使用在线工具加解密数据,或者调用KMS的API接口使用指定的用户主密钥直接加密、解密数据。当前支持不大于4KB的小数据加解密。 以保护服务器HTTPS证书为例,采用调用KMS的API接口方式进行说明,如图1所示。 图1 保护服务器HTTPS证书 流程说明如下: 用户需要在KMS中创建一个用户主密钥。 用户调用KMS的“encrypt-data”接口,使用指定的用户主密钥将明文证书加密为密文证书。 用户在服务器上部署密文证书。 当服务器需要使用证书时,调用KMS的“decrypt-data”接口,将密文证书解密为明文证书。
  • 使用场景 以最基础的数据库用户名及密码管理为示例,为您介绍凭据管理服务基本的使用场景。 使用场景:管理员角色负责存入、更新凭据值的操作,使用者通过第三方应用服务获取所需的凭据值,具体使用流程如图1所示。 图1 凭据登录流程 流程说明如下: 您首先需要在凭据管理服务中使用控制台或者API创建一个凭据,用来存储数据库的相关信息(例如:数据库地址、端口、密码)。 当您使用应用程序访问数据库时,凭据管理服务会去查询管理员通过步骤 1所创建的凭据内存储的内容。 凭据管理服务检索并解密凭据密文,将凭据中保存的信息通过凭据管理API安全地返回到应用程序中。 应用程序获取到解密后的凭据明文信息,使用这些安全的信息访问数据库。 父主题: 凭据管理
  • 密钥区域性 KMS通过密钥区域性,实现密钥跨区域使用。每组用户主密钥与副本密钥具有相同的密钥材料,因此可以实现单区域的加密数据在不同区域进行解密,解决因跨区导致的无法解密。 您可以独立管理多个区域的密钥,副本密钥同样支持创建密钥别名、启用、禁用、标签、授权、在线加解密。副本密钥的轮换无法自主设置,需按照主密钥的轮换设置进行同步轮换。 密钥区域性原理如图 密钥区域性所示。 图1 密钥区域性 表5 密钥区域性使用场景 使用场景 说明 灾备场景 如果密钥所在区域出现欠费资源冻结或异常无法处理数据解密,替换使用另一区域中的副本密钥进行正常数据处理,保证业务不中断。 跨区域签名验签 如果由于业务需要,客户业务处于不同区域,可通过不同区域密钥实现签名验签解密,提升业务对接高效性。
  • 专属密钥库 KMS通过专属密钥库支持HYOK功能,帮助用户完全自主可控名下的用户主密钥,用户主密钥不脱离加密机,并且密码运算完全在加密机中完成。与默认密钥库不同,用户可以通过专属加密集群随时对密钥进行全生命周期管理。 专属加密实例基础版、铂金版(国内)均支持HYOK功能。 HYOK(Hold Your Own Key)是指用户可以完全控制其密钥,密钥始终归用户所有。 专属密钥库操作可参见激活集群以及创建密钥库。专属密钥库支持的算法类型如表 专属密钥库的密钥算法类型所示。 表4 专属密钥库的密钥算法类型 密钥类型 算法类型 密钥规格 说明 适用场景 对称密钥 AES AES_256 AES对称密钥 数据的加解密 加解密数据密钥 说明: 小量数据的加解密可通过控制台在线工具进行。 大量数据的加解密需要调用API接口进行。 对称密钥 SM4 SM4 国密SM4对称密钥 数据的加解密 加解密数据密钥 非对称密钥 RSA RSA_2048 RSA_3072 RSA_4096 RSA非对称密钥 数字签名和验签 数据的加解密 说明: 非对称密钥适用于签名和验签场景,加密数据效率不高,加解密数据推荐使用对称密钥。 ECC EC_P256 EC_P384 椭圆曲线密码,使用NIST推荐的椭圆曲线 数字签名和验签 非对称密钥 SM2 SM2 国密SM2非对称密钥 数字签名和验签 小量数据的加解密
  • KMS支持的密钥算法 KMS创建的对称密钥使用的是AES、SM4加解密算法。KMS创建的非对称密钥支持RSA、ECC、SM2算法。 表2 KMS支持的密钥算法类型 密钥类型 算法类型 密钥规格 说明 适用场景 对称密钥 AES AES_256 AES对称密钥 数据的加解密 加解密数据密钥 说明: 小量数据的加解密可通过控制台在线工具进行。 大量数据的加解密需要调用API接口进行。 对称密钥 SM4 SM4 国密SM4对称密钥 数据的加解密 加解密数据密钥 摘要密钥 SHA HMAC_256 HMAC_384 HMAC_512 摘要密钥 数据防篡改 数据完整性校验 摘要密钥 SM3 HMAC_SM3 国密SM3摘要密钥 数据防篡改 数据完整性校验 非对称密钥 RSA RSA_2048 RSA_3072 RSA_4096 RSA非对称密钥 数字签名和验签 数据的加解密 说明: 非对称密钥适用于签名和验签场景,加密数据效率不高,加解密数据推荐使用对称密钥。 ECC EC_P256 EC_P384 椭圆曲线密码,使用NIST推荐的椭圆曲线 数字签名和验签 非对称密钥 SM2 SM2 国密SM2非对称密钥 数字签名和验签 小量数据的加解密 通过外部导入的密钥支持的密钥包装加解密算法如下表所示。 表3 密钥包装算法说明 密钥包装算法 说明 设置 RSAES_OAEP_SHA_256 具有“SHA-256”哈希函数的OAEP的RSA加密算法。 请您根据自己的HSM功能选择加密算法。 如果您的HSM支持“RSAES_OAEP_SHA_256”加密算法,推荐使用“RSAES_OAEP_SHA_256”加密密钥材料。 须知: “RSAES_OAEP_SHA_1”加密算法已经不再安全,请谨慎选择。 RSAES_OAEP_SHA_1 具有“SHA-1”哈希函数的OAEP的RSA加密算法。 SM2_ENCRYPT 国密推荐的SM2椭圆曲线公钥密码算法。 请在支持国密的局点使用SM2加密算法。
共100000条
提示

您即将访问非华为云网站,请注意账号财产安全