华为云用户手册

数据加密服务 DEW-功能特性:KPS支持的密码算法

KPS支持的密码算法通过管理控制台创建的SSH密钥对支持的加解密算法为： SSH-ED25519 ECDSA-SHA2-NISTP256 ECDSA-SHA2-NISTP384 ECDSA-SHA2-NISTP521 SSH_RSA有效长度为：2048，3072，4096 通过外部导入的SSH密钥对支持的加解密算法为： SSH-DSS SSH-ED25519 ECDSA-SHA2-NISTP256 ECDSA-SHA2-NISTP384 ECDSA-SHA2-NISTP521 SSH_RSA有效长度为：2048，3072，4096

数据加密服务 DEW 密钥对管理
数据加密服务 DEW-IMS服务端加密

IMS服务端加密用户使用OBS桶中已上传的外部镜像文件创建私有镜像时，可以选择“KMS加密”，使用KMS提供的密钥来加密镜像，如图1所示，更多信息请参见。图1 IMS服务端加密可供选择的用户主密钥包含以下两种： KMS为使用IMS（Image Management Service，IMS）的用户创建一个默认密钥“ims/default”。用户通过KMS界面创建的自定义密钥。用户也可以通过调用IMS API接口创建加密镜像，详情请参考《镜像服务 API参考》。父主题：使用KMS加密的云服务

数据加密服务 DEW
数据加密服务 DEW-OBS服务端加密

OBS服务端加密用户使用OBS（Object Storage Service，OBS）服务端加密方式上传时，可以选择“SEE-KMS加密”，从而使用KMS提供的密钥来加密上传的文件，如图1所示。更多信息请参见《对象存储服务控制台指南》。图1 OBS服务端加密可供选择的用户主密钥包含以下两种： KMS为使用OBS的用户创建一个默认密钥“obs/default”。用户通过KMS界面创建的自定义密钥。 SM4加密算法仅支持华北-乌兰察布一区域。用户也可以通过调用OBS API接口，选择服务端加密SSE-KMS方式（SSE-KMS方式是指OBS使用KMS提供的密钥进行服务端加密）上传文件，详情请参考《对象存储服务API参考》。父主题：使用KMS加密的云服务

数据加密服务 DEW 使用KMS加密的云服务
数据加密服务 DEW-使用场景:小数据加解密

小数据加解密当您有少量数据（例如：密码、证书、电话号码等）需要加解密时，用户可以通过KMS界面使用在线工具加解密数据，或者调用KMS的API接口使用指定的用户主密钥直接加密、解密数据。当前支持不大于4KB的小数据加解密。以保护服务器HTTPS证书为例，采用调用KMS的API接口方式进行说明，如图1所示。图1 保护服务器HTTPS证书流程说明如下：用户需要在KMS中创建一个用户主密钥。用户调用KMS的“encrypt-data”接口，使用指定的用户主密钥将明文证书加密为密文证书。用户在服务器上部署密文证书。当服务器需要使用证书时，调用KMS的“decrypt-data”接口，将密文证书解密为明文证书。

数据加密服务 DEW
数据加密服务 DEW-使用场景:大量数据加解密

大量数据加解密当您有大量数据（例如：照片、视频或者数据库文件等）需要加解密时，用户可采用信封加密方式加解密数据，无需通过网络传输大量数据即可完成数据加解密。加密本地文件流程，如图2所示。图2 加密本地文件流程说明如下：用户需要在KMS中创建一个用户主密钥。用户调用KMS的“create-datakey”接口创建数据加密密钥。用户得到一个明文的数据加密密钥和一个密文的数据加密密钥。其中密文的数据加密密钥是由指定的自定义密钥加密明文的数据加密密钥生成的。用户使用明文的数据加密密钥来加密明文文件，生成密文文件。用户将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。解密本地文件流程，如图3所示。图3 解密本地文件流程说明如下：用户从持久化存储设备或服务中读取密文的数据加密密钥和密文文件。用户调用KMS的“decrypt-datakey”接口，使用对应的用户主密钥（即生成密文的数据加密密钥时所使用的用户主密钥）来解密密文的数据加密密钥，取得明文的数据加密密钥。如果对应的用户主密钥被误删除，会导致解密失败。因此，需要妥善管理好用户主密钥。用户使用明文的数据加密密钥来解密密文文件。

数据加密服务 DEW
数据加密服务 DEW-功能特性:专属密钥库

专属密钥库 KMS通过专属密钥库支持HYOK功能，帮助用户完全自主可控名下的用户主密钥，用户主密钥不脱离加密机，并且密码运算完全在加密机中完成。与默认密钥库不同，用户可以通过专属加密集群随时对密钥进行全生命周期管理。专属加密实例基础版、铂金版（国内）均支持HYOK功能。 HYOK（Hold Your Own Key）是指用户可以完全控制其密钥，密钥始终归用户所有。专属密钥库操作可参见激活集群以及创建密钥库。专属密钥库支持的算法类型如表专属密钥库的密钥算法类型所示。表4 专属密钥库的密钥算法类型密钥类型算法类型密钥规格说明适用场景对称密钥 AES AES_256 AES对称密钥数据的加解密加解密数据密钥说明：小量数据的加解密可通过控制台在线工具进行。大量数据的加解密需要调用API接口进行。对称密钥 SM4 SM4 国密SM4对称密钥数据的加解密加解密数据密钥非对称密钥 RSA RSA_2048 RSA_3072 RSA_4096 RSA非对称密钥数字签名和验签数据的加解密说明：非对称密钥适用于签名和验签场景，加密数据效率不高，加解密数据推荐使用对称密钥。 ECC EC_P256 EC_P384 椭圆曲线密码，使用NIST推荐的椭圆曲线数字签名和验签非对称密钥 SM2 SM2 国密SM2非对称密钥数字签名和验签小量数据的加解密

数据加密服务 DEW 密钥管理
数据加密服务 DEW-功能特性:密钥区域性

密钥区域性 KMS通过密钥区域性，实现密钥跨区域使用。每组用户主密钥与副本密钥具有相同的密钥材料，因此可以实现单区域的加密数据在不同区域进行解密，解决因跨区导致的无法解密。您可以独立管理多个区域的密钥，副本密钥同样支持创建密钥别名、启用、禁用、标签、授权、在线加解密。副本密钥的轮换无法自主设置，需按照主密钥的轮换设置进行同步轮换。密钥区域性原理如图密钥区域性所示。图1 密钥区域性表5 密钥区域性使用场景使用场景说明灾备场景如果密钥所在区域出现欠费资源冻结或异常无法处理数据解密，替换使用另一区域中的副本密钥进行正常数据处理，保证业务不中断。跨区域签名验签如果由于业务需要，客户业务处于不同区域，可通过不同区域密钥实现签名验签解密，提升业务对接高效性。

数据加密服务 DEW 密钥管理
数据加密服务 DEW-功能特性:KMS支持的密钥算法

KMS支持的密钥算法 KMS创建的对称密钥使用的是AES、SM4加解密算法。KMS创建的非对称密钥支持RSA、ECC、SM2算法。表2 KMS支持的密钥算法类型密钥类型算法类型密钥规格说明适用场景对称密钥 AES AES_256 AES对称密钥数据的加解密加解密数据密钥说明：小量数据的加解密可通过控制台在线工具进行。大量数据的加解密需要调用API接口进行。对称密钥 SM4 SM4 国密SM4对称密钥数据的加解密加解密数据密钥摘要密钥 SHA HMAC_256 HMAC_384 HMAC_512 摘要密钥数据防篡改数据完整性校验摘要密钥 SM3 HMAC_SM3 国密SM3摘要密钥数据防篡改数据完整性校验非对称密钥 RSA RSA_2048 RSA_3072 RSA_4096 RSA非对称密钥数字签名和验签数据的加解密说明：非对称密钥适用于签名和验签场景，加密数据效率不高，加解密数据推荐使用对称密钥。 ECC EC_P256 EC_P384 椭圆曲线密码，使用NIST推荐的椭圆曲线数字签名和验签非对称密钥 SM2 SM2 国密SM2非对称密钥数字签名和验签小量数据的加解密通过外部导入的密钥支持的密钥包装加解密算法如表3所示。表3 密钥包装算法说明密钥包装算法说明设置 RSAES_OAEP_SHA_256 具有“SHA-256”哈希函数的OAEP的RSA加密算法。请您根据自己的HSM功能选择加密算法。如果您的HSM支持“RSAES_OAEP_SHA_256”加密算法，推荐使用“RSAES_OAEP_SHA_256”加密密钥材料。须知： “RSAES_OAEP_SHA_1”加密算法已经不再安全，请谨慎选择。 RSAES_OAEP_SHA_1 具有“SHA-1”哈希函数的OAEP的RSA加密算法。 SM2_ENCRYPT 国密推荐的SM2椭圆曲线公钥密码算法。请在支持国密的局点使用SM2加密算法。

数据加密服务 DEW 密钥管理
数据加密服务 DEW-功能特性:功能介绍

功能介绍表1 密钥管理功能服务内容密钥全生命周期管理创建、查看、启用、禁用、计划删除、取消删除自定义密钥修改自定义密钥的别名和描述用户自带密钥导入密钥、删除密钥材料小数据加解密在线工具加解密小数据签名验签消息或消息摘要的签名、签名验证说明：仅支持通过API调用。密钥标签添加、搜索、编辑、删除标签密钥轮换开启、修改、关闭密钥轮换周期密钥授权创建、撤销、查询授权退役授权说明：仅支持通过API调用。密钥区域性跨区域创建副本密钥云服务加密对象存储服务OBS加密云硬盘服务EVS加密镜像服务IMS加密弹性文件服务SFS加密（SFS文件系统加密）弹性文件服务SFS加密（SFS Turbo文件系统加密）云数据库RDS（MySQL、PostgreSQL、SQL Server引擎）加密文档数据库服务DDS加密数据仓库服务DWS加密数据加密密钥管理创建、加密、解密数据加密密钥说明：仅支持通过API调用。生成硬件真随机数生成512bit的随机数，为加密系统提供基于硬件真随机数的密钥材料和加密参数说明：仅支持通过API调用。消息认证码生成、验证消息认证码说明：仅支持通过API调用。密钥库管理创建、禁用、删除密钥库

数据加密服务 DEW 密钥管理
数据加密服务 DEW-DEW服务资源分配的机制是什么？

DEW服务资源分配的机制是什么？ DEW服务资源以region为大资源池，以每个客户单独的资源或服务为小资源池，后台有默认流量限制。对单个用户来说如果流量过大超过阈值会造成服务速度缓慢限制。对于有相应大流量需求的客户而言，可根据实际情况和需求进行后台资源变更。如果客户业务量确实较大超出限制，可以通过提工单增加配额，DEW服务通过后台对客户限制进行调整，可为客户开通专属配置集群提供支撑，保证业务平稳运行。父主题：通用类

数据加密服务 DEW
数据加密服务 DEW-使用关闭密码登录方式绑定密钥对后，还能使用密码登录时如何处理？:操作步骤

操作步骤当前KPS绑定服务器时，若勾选“关闭密码登录方式”时，KPS服务会使用100.125.0.0/16地址段的地址登录服务器修改“/etc/ssh/sshd_config”文件中的“PasswordAuthentication”参数为“no”。 Ubuntu机器不同于centos机器，除了需要修改“/etc/ssh/sshd_config”文件之外，还需要修改“/etc/ssh/sshd_config.d/50-cloud-init.conf”文件中的“PasswordAuthentication”参数为“no”。 KPS目前无法修改步骤2的文件参数，建议手动配置，配置后重启sshd服务，登录验证是否仍然可以使用密码方式进行登录。

数据加密服务 DEW
数据加密服务 DEW-为什么配置了数据加密服务的权限没有立即生效？

为什么配置了数据加密服务的权限没有立即生效？正常情况下，客户配置了数据加密服务相关的权限，如KMS Administrator， KMS CMKFullAccess等，权限是会立即生效的。但如下情况会造成权限无法立即生效：控制台Console未及时登出，会有Session缓存造成权限不生效。建议重新登录控制台。客户使用对象存储服务OBS等具有权限缓存的服务。权限具体生效时间取决于对应服务权限缓存时长。客户编程调用APIG网关，权限生效时间取决于统一身份认证服务 IAM 广播权限变化到网关的时间。父主题：通用类

数据加密服务 DEW
数据加密服务 DEW-开通密钥轮转如何收费？

开通密钥轮转如何收费？开通密钥轮转后，会收取相应的密钥存储费用，每个轮转的版本将作为一个独立的主密钥资源进行计算。以1个密钥开通轮转，轮转周期为30天，单价0.015元（抹零后0.01元）每小时为例：第一个月：密钥的轮转版本为0，收费为0.01*24*30 + 0*0.01*24*30 = 7.2元。第二个月：密钥的轮转版本为1，收费为0.01*24*30 + 1*0.01*24*30 = 14.4元。第三个月：密钥的轮转版本为2，收费为0.01*24*30 + 2*0.01*24*30 = 21.6元。以此类推第n个月：密钥的轮转版本为n，收费为0.01*24*30 + (n-1)*0.01*24*30 = 7.2*n元。调用次数计费与轮转次数计费无关。父主题：计费类

数据加密服务 DEW 计费类
数据加密服务 DEW-调用encrypt-data接口，返回的密文和明文有什么关系？

调用encrypt-data接口，返回的密文和明文有什么关系？ encrypt-data接口返回的密文数据基础长度为124字节。密文数据由“密钥ID”、“加密算法”、“密钥版本”、“密文摘要”等字段拼接组成。明文按照每个分组16个字节进行处理，不足16字节的，补码至16字节。所以密文长度为124+Ceil(明文长度/16)*16，并将结果进行Base64编码。以4字节明文输入为例，先计算结果124+Ceil(4/16)*16=140。140字节进行Base64编码后为188字节。 Ceil为向上取整函数。 Ceil(a) = 1, a的取值范围是(0,1]。父主题：密钥管理类

数据加密服务 DEW
数据加密服务 DEW-KMS支持的密钥算法类型

KMS支持的密钥算法类型表1 KMS支持的密钥算法类型密钥类型算法类型密钥规格说明用途对称密钥 AES AES_256 AES对称密钥小量数据的加解密或用于加解密数据密钥。对称密钥 SM4 SM4 国密SM4对称密钥小量数据的加解密或用于加解密数据密钥。摘要密钥 SHA HMAC_256 HMAC_384 HMAC_512 SHA摘要密钥数据防篡改数据完整性校验摘要密钥 SM3 HMAC_SM3 国密SM3摘要密钥数据防篡改数据完整性校验非对称密钥 RSA RSA_2048 RSA_3072 RSA_4096 RSA非对称密钥小量数据的加解密或数字签名。 ECC EC_P256 EC_P384 椭圆曲线密码，使用NIST推荐的椭圆曲线数字签名非对称密钥 SM2 SM2 国密SM2非对称密钥小量数据的加解密或数字签名。父主题：密钥管理类

数据加密服务 DEW
数据加密服务 DEW-专属加密是否支持切换密码机？

专属加密是否支持切换密码机？创建专属加密实例后，无论是否成功，均不支持切换密码机。如果您想切换密码机类型，则需要重新购买，具体操作请参见购买专属加密实例。不同之处在于：如果成功创建专属加密实例后，不支持切换密码机，也不支持退订。如果您想切换密码机类型，则需要重新购买。如果创建专属加密实例失败，不支持切换密码机，但可申请退款。可以单击该专属加密实例所在行的“删除”，删除专属加密实例，并以工单的形式申请退款。然后，如果您想切换密码机类型，再重新购买。切换加密机类型后，用户无法将原有的根密钥导入到新的加密机类型中。父主题：专属加密类

数据加密服务 DEW
数据加密服务 DEW-密钥对是否支持多用户共享？

密钥对是否支持多用户共享？密钥对不支持跨账号共享，但您可以通过以下方法实现密钥对在同一账号下的IAM用户之间共享：通过导入密钥对的方式实现共享。如果多个IAM用户需要使用相同的密钥对，您可以先通过其他工具（例如，PuTTYgen工具）创建密钥对，然后分别在IAM用户的资源中导入您创建的密钥对，具体操作请参见导入密钥对。通过将密钥对升级为账号密钥对的方式实现共享。通过管理控制台创建的密钥对或者已导入到控制台的密钥对，您可以参考升级密钥对章节将已创建的密钥对升级为账号密钥对。父主题：密钥对管理类

数据加密服务 DEW
数据加密服务 DEW-默认密钥如何生成？

默认密钥如何生成？默认密钥是自动生成的。在用户第一次通过对应云服务使用KMS加密时，云服务自动通过密钥管理为用户创建的密钥，其别名后缀为“/default”。默认密钥可通过密钥管理界面进行查询，不支持禁用、计划删除操作。默认密钥托管不计费，仅收取API请求次数费用，超出免费请求次数后，超出部分会进行计费。表1 默认主密钥列表密钥别名对应云服务 obs/default 对象存储服务（Object Storage Service，OBS） evs/default 云硬盘（Elastic Volume Service，EVS） ims/default 镜像服务（Image Management Service，IMS） kps/default 密钥对管理服务（Key Pair Service，KPS） csms/default 云凭据管理服务（Cloud Secret Management Service， CS MS） dlf/default 数据治理中心（ DataArts Studio ）父主题：密钥管理类

数据加密服务 DEW
数据加密服务 DEW-DEW采用的是什么加解密算法？:KPS支持的密码算法

KPS支持的密码算法通过管理控制台创建的SSH密钥对支持的加解密算法为： SSH-ED25519 ECDSA-SHA2-NISTP256 ECDSA-SHA2-NISTP384 ECDSA-SHA2-NISTP521 SSH_RSA有效长度为：2048，3072，4096 通过外部导入的SSH密钥对支持的加解密算法为： SSH-DSS SSH-ED25519 ECDSA-SHA2-NISTP256 ECDSA-SHA2-NISTP384 ECDSA-SHA2-NISTP521 SSH_RSA有效长度为：2048，3072，4096

数据加密服务 DEW
数据加密服务 DEW-解绑密钥对失败如何处理？:处理方法

处理方法查看弹性云服务器的状态。运行中，请执行步骤 2。关机，请执行步骤 4。使用SSH密钥对登录弹性云服务器，检查私钥是否正确。正确，请执行步骤 4。错误，请使用正确的私钥再次执行解绑密钥对操作。检查弹性云服务器的“/root/.ssh/authorized_keys”文件是否被修改过。是，请恢复“/root/.ssh/authorized_keys”文件的原始内容。否，请执行步骤 4。查看ECS安全组22端口入方向是否对100.125.0.0/16开放，即允许100.125.0.0/16地址通过SSH远程连接到Linux弹性云服务器。是，请执行步骤 5。否，请添加如下安全组规则后再次执行解绑密钥对操作。方向协议/应用端口源地址入方向 SSH（22） 22 100.125.0.0/16 请检查执行密钥对解绑操作的弹性云服务器是否可以正常开机、关机和登录使用等操作。是，请再次执行解绑密钥对操作。否，请执行步骤 6。检查网络是否发生故障。是，请联系技术支持工程师查看并定位原因。否，请再次执行解绑密钥对操作。

数据加密服务 DEW
数据加密服务 DEW-重置密钥对失败如何处理？:处理方法

处理方法查看ECS安全组22端口入方向是否对100.125.0.0/16开放，即允许100.125.0.0/16地址通过SSH远程连接到Linux弹性云服务器。是，请执行步骤 2。否，请添加如下安全组规则后再次执行重置密钥对操作。方向协议/应用端口源地址入方向 SSH（22） 22 100.125.0.0/16 请检查执行密钥对重置操作的弹性云服务器是否可以正常开机、关机和登录使用等操作。是，请再次执行重置密钥对操作。否，请执行步骤 3。检查网络是否发生故障。是，请联系技术支持工程师查看并定位原因。否，请再次执行重置密钥对操作。

数据加密服务 DEW
数据加密服务 DEW-通用类

通用类对接KMS时，必须有重试，包括不限于504、502、500、429等错误码，且推荐重试3~5次。针对502和504错误码，推荐超时时间5~8秒。不建议配置过长超时时间，否则会造成客户侧无法响应。 DEW服务提供了哪些功能？ DEW采用的是什么加解密算法？什么是配额？ DEW服务资源分配的机制是什么？什么是区域和可用区？数据加密服务是否可跨账号使用？数据加密服务支持通过哪些方式进行使用？为什么配置了数据加密服务的权限没有立即生效？

数据加密服务 DEW
数据加密服务 DEW-如何转换私钥文件格式？:将“.pem”格式的私钥文件转化为“.ppk”格式

将“.pem”格式的私钥文件转化为“.ppk”格式使用PuTTY工具登录Linux操作系统云服务器时，私钥必须是“.ppk”格式文件，如果是“.pem”格式文件，请执行以下步骤进行转换。在以下路径中下载PuTTY和PuTTYgen。 http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html PuTTYgen是密钥生成器，用于创建SSH密钥对，生成一个公钥和私钥供PuTTY使用。双击“PUTTYGEN.exe”，打开“PuTTY Key Generator” 在“Actions”区域，单击“Load”，并导入购买弹性云服务器时保存的私钥文件。导入时注意确保导入的格式要求为“All files(*.*)”。单击“Save private key”。保存转化后的私钥到本地。例如：kp-123.ppk。

数据加密服务 DEW
数据加密服务 DEW-绑定密钥对失败如何处理？:处理方法

处理方法查看弹性云服务器的状态。运行中，请执行步骤 2。关机，请执行步骤 5。使用密码登录弹性云服务器，检查密码是否正确。正确，请执行步骤 4。错误，请使用正确的密码再次执行绑定密钥对操作。检查弹性云服务器的“/root/.ssh/authorized_keys”文件权限路径和属组是否被修改过。是，请恢复至以下权限：每级属组都是root:root权限。 .ssh权限为700。 authorized_keys权限为600。否，请执行步骤 4。检查弹性云服务器的“/root/.ssh/authorized_keys”文件是否被修改过。是，请根据实际情况恢复“/root/.ssh/authorized_keys”文件的原始内容。否，请执行步骤 5。检查ECS安全组22端口入方向是否对100.125.0.0/16开放，即允许100.125.0.0/16地址通过SSH远程连接到Linux弹性云服务器。是，请执行步骤 6。否，请添加如下安全组规则后再次执行绑定密钥对操作。添加安全组规则具体操作请参见添加安全组规则。方向协议/应用端口源地址入方向 SSH（22） 22 100.125.0.0/16 请检查执行密钥对绑定操作的弹性云服务器是否可以正常开机、关机和登录使用等操作。是，请再次执行绑定密钥对操作。否，请执行步骤 7。检查网络是否发生故障。是，请联系技术支持工程师查看并定位原因。否，请再次执行绑定密钥对操作。

数据加密服务 DEW
数据加密服务 DEW-替换密钥对失败如何处理？:处理方法

处理方法使用SSH密钥对登录弹性云服务器，检查私钥是否正确。正确，请执行步骤 2。错误，请使用正确的私钥再次执行替换密钥对操作。检查弹性云服务器的“/root/.ssh/authorized_keys”文件是否被修改过。是，请根据实际情况恢复“/root/.ssh/authorized_keys”文件的原始内容。否，请执行步骤 3。查看ECS安全组22端口入方向是否对100.125.0.0/16开放，即允许100.125.0.0/16地址通过SSH远程连接到Linux弹性云服务器。是，请执行步骤 4。否，请添加如下安全组规则后再次执行替换密钥对操作。方向协议/应用端口源地址入方向 SSH（22） 22 100.125.0.0/16 请检查执行密钥对替换操作的弹性云服务器是否可以正常开机、关机和登录使用等操作。是，请再次执行替换密钥对操作。否，请执行步骤 5。检查网络是否发生故障。是，请联系技术支持工程师查看并定位原因。否，请再次执行替换密钥对操作。

数据加密服务 DEW
数据加密服务 DEW-如何通过私钥获取Windows弹性云服务器的登录密码？:操作场景

操作场景登录Windows操作系统的弹性云服务器时，需要使用密码方式登录。此时，用户需要先根据购买弹性云服务器时下载的私钥文件，获取该弹性云服务器初始安装时系统生成的管理员密码（Administrator账号或Cloudbase-init设置的账号）。该密码为随机密码，安全性高，请放心使用。用户可以通过管理控制台获取Windows弹性云服务器的登录密码。为安全起见，建议用户获取初始密码后，执行清除密码操作，清除系统中记录的初始密码信息。该操作不会影响弹性云服务器的正常登录与运行。清除密码后，系统不能恢复获取密码功能，因此，请在执行清除密码操作前，记录弹性云服务器密码信息。详细信息请参见《弹性云服务器用户指南》。用户也可以通过调用API接口的方式获取Windows弹性云服务器的初始密码，请参考《弹性云服务器API参考》。

数据加密服务 DEW
数据加密服务 DEW-如何使用私钥登录Linux弹性云服务器？:本地使用Linux操作系统

本地使用Linux操作系统如果您是在Linux操作系统上登录Linu弹性云服务器，可以按照下面方式登录。下面步骤以私钥文件是“kp-123.ppk”为例进行介绍。在您的Linux计算机的命令行中执行以下命令，变更权限。 chmod 600 /path/kp-123.ppk path为密钥文件的存放路径。执行以下命令登录弹性云服务器。 ssh -i /path/kp-123 root@弹性IP地址 path为密钥文件的存放路径。弹性IP地址为弹性云服务器绑定的弹性IP地址。

数据加密服务 DEW 密钥对管理类
数据加密服务 DEW-如果自定义密钥被彻底删除，用户数据是否还可以解密？

如果自定义密钥被彻底删除，用户数据是否还可以解密？不可以。如果自定义密钥被彻底删除，KMS将不再保留任何该密钥的数据，使用该密钥加密的数据将无法解密；如果自定义密钥没有被彻底删除，则可以通过KMS界面取消删除自定义密钥。如果自定义密钥是通过KMS导入的密钥，且仅删除了密钥材料，则可以将本地备份的密钥材料再次导入原来的空密钥，回收用户数据。如果密钥材料没有在本地备份，则无法回收用户数据。父主题：密钥管理类

数据加密服务 DEW
数据加密服务 DEW-自定义密钥与默认密钥有什么区别？

自定义密钥与默认密钥有什么区别？自定义密钥和默认密钥的区别，如表自定义密钥和默认密钥的区别所示。表1 自定义密钥和默认密钥的区别名称概念区别自定义密钥是用户自行通过KMS创建或导入的密钥，是一种密钥加密密钥，主要用于加密并保护DEK。一个自定义密钥可以加密多个DEK。支持禁用、计划删除等操作。创建或导入成功后进行按需计费。默认密钥是用户第一次通过对应云服务使用KMS加密时，系统自动生成的，其名称后缀为“/default”。例如：evs/default 不支持禁用、计划删除等操作。使用对应云服务系统自动生成时不计费，调用API请求次数超过20000次后，收取请求费用。父主题：密钥管理类

数据加密服务 DEW
数据加密服务 DEW-信封加密方式有什么优势？

信封加密方式有什么优势？信封加密方式，是一种加密手段，将加密数据的数据密钥封入信封中存储、传递和使用，不再使用用户主密钥直接加解密数据。信封加密方式优势如下：相对于KMS提供的另一种加密方式：KMS用户主密钥直接加密使用KMS用户主密钥直接加密：是通过KMS界面使用在线工具加解密数据，或者调用KMS的API接口使用指定的用户主密钥直接加密、解密数据。使用KMS用户主密钥直接加解密数据仅适用于不大于4KB的小数据加解密场景；而信封加密方式可以在本地对大量数据进行加解密。信封加密方式加解密数据，只需要传输数据加密密钥到KMS服务端，无需通过网络传输大量数据。相对于直接加解密的云服务安全性由云服务直接为用户加解密数据：通过因特网将敏感信息从客户手中传递到服务的过程中会存在诸多风险，例如：窃听、钓鱼。信封加密方式：KMS通过使用硬件安全模块HSM保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。信任和可信证明由云服务直接为用户加解密数据：信任和可信证明较难做。用户不一定信任云服务，愿意上传如此敏感的数据；云服务也难以证明自己不会误用和泄露这些数据。信封加密方式：KMS对密钥的所有操作都会进行访问控制及日志跟踪，提供所有密钥的使用记录，满足审计和合规性要求。性能、成本由云服务直接为用户加解密数据：大量数据需要通过安全信道传递到服务端，加密后再返回给用户，这一过程，对用户服务的性能影响很大。另外，大量的移动数据会带来巨大的成本。信封加密方式：可以通过KMS的密码运算API在线生成数据密钥，用离线数据密钥在本地加密大量数据。父主题：密钥管理类

数据加密服务 DEW

共100000条

undefined

意见反馈

0/200

提交取消

提交成功！非常感谢您的反馈，我们会继续努力做到更好反馈提交失败！请稍后重试！

华为云用户手册

7*24

备案

专业服务

退订

建议反馈

售前咨询热线