专属计算集群 DCC-数据保护技术:关于密钥

时间:2024-08-28 16:53:08

关于密钥

加密所需的密钥依赖于 数据加密 服务(DEW,Data Encryption Workshop)。DEW通过数据加密密钥(Data Encryption Key,DEK),对具体资源进行加密,然后通过用户主密钥(Customer Master Key,CMK)对DEK进行加密,保护DEK,如图1所示。

图1 数据加密过程

数据加密过程中涉及的几种密钥,如表1所示。

表1 密钥说明

名称

概念

功能

数据加密密钥

即DEK,是用户加密数据的加密密钥。

加密具体资源。

自定义密钥

是用户通过DEW创建的密钥,是一种密钥加密密钥,主要用于加密并保护DEK。

一个自定义密钥可以加密多个DEK。

支持禁用、计划删除等操作。

默认密钥

属于用户主密钥,是用户第一次通过对应云服务使用DEW加密时,系统自动生成的,其名称后缀为“/default”。

例如:evs/default

  • 支持通过管理控制台DEW页面查询默认密钥详情。
  • 不支持禁用、计划删除等操作。

如果加密云硬盘使用的CMK被执行禁用或计划删除操作,操作生效后,使用该CMK加密的云硬盘仍然可以正常使用,但是,当该云硬盘被卸载并重新挂载至弹性云服务器时,由于无法正常获取密钥,会导致挂载失败,云硬盘不可用。

关于密钥管理的更多信息,请参见《数据加密服务用户指南》

support.huaweicloud.com/productdesc-dcc/dcc_01_0016.html