检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
信封加密使用的相关API 您可以调用以下API,在本地对数据进行加解密。 API名称 说明 创建数据密钥 创建数据密钥。 加密数据密钥 用指定的主密钥加密数据密钥。 解密数据密钥 用指定的主密钥解密数据密钥。 加密本地文件 通过华为云控制台,创建用户主密钥,请参见创建密钥。
业务APP即可通过SDK或者API接口的方式访问专属加密实例。 您可以在安全代理软件配置多个专属加密实例,实现负载均衡功能。 父主题: 专属加密
轮换凭据的API 您可以调用以下API,在本地进行凭据轮换。 API名称 说明 创建凭据版本 创建新的凭据版本。 查询凭据版本与凭据值 查询指定凭据版本的信息和版本中的明文凭据值。 更新凭据版本状态 更新凭据的版本状态。 查询凭据版本状态 查询指定的凭据版本状态标记的版本信息。
相关操作 用户也可以通过调用OBS API接口,选择服务端加密SSE-KMS方式(SSE-KMS方式是指OBS使用KMS提供的密钥进行服务端加密)上传文件,详情请参考《对象存储服务API参考》。 父主题: 云服务使用KMS加解密数据
专属加密支持哪些接口? 专属加密提供与实体密码设备相同的功能与接口,方便向云端迁移,具体支持:PKCS#11接口,CSP接口,JCE接口,GM/T 0018-2012 SDF接口等。 更多详细内容请参见专属加密版本说明。 父主题: 专属加密类
应用系统在使用过程中需要访问数据库时,可以向CSMS服务请求访问凭据,获取凭据值,调用API接口详情请参见查询凭据版本和凭据值。 应用系统通过访问返回的凭据值解析明文数据,获取账号和密码后,可以访问该用户对应的目标数据库。
收取密钥实例费用以及API调用费用,具体计费可参见计费项。 操作步骤 登录管理控制台。 单击管理控制台左上角,选择区域或项目。 单击页面左侧,选择“安全与合规 > 数据加密服务”,默认进入“密钥管理”界面。 单击目标自定义密钥的别名,进入密钥详细信息页面。
通常情况下,凭据值由应用程序调用API获取,如果您确实需要在服务控制台查看凭据值,建议开启敏感操作保护,在查看凭据值时进行信息确认,保证数据安全。请再次确认并单击“确定继续”。 查看凭据值,单击“确定”,关闭当前对话框。 父主题: 管理凭据版本
区域和终端节点 当您通过API使用资源时,您必须指定其区域终端节点。有关华为云的区域和终端节点的更多信息,请参阅地区和终端节点。 父主题: 通用类
终端节点(Endpoint)即调用API的请求地址,不同服务不同区域的终端节点不同,您可以从地区和终端节点中查询服务的终端节点。 图3 获取终端节点 文件加解密。
用户 6 访问 业务APP通过API或者SDK的方式访问专属加密实例。 用户 父主题: 专属加密
具体操作请参见《数据加密服务API参考》。 父主题: 密钥管理
调用encrypt-data接口,返回的密文和明文有什么关系? encrypt-data接口返回的密文数据基础长度为124字节。密文数据由“密钥ID”、“加密算法”、“密钥版本”、“密文摘要”等字段拼接组成。 明文按照每个分组16个字节进行处理,不足16字节的,补码至16字节。
认证用的ak和sk直接写到代码中有很大的安全风险,通过步骤3获取的临时access、secret、securitytoken无需进行本地存储;在使用过程中,直接通过接口调用后访问CSMS即可。
当该集群重启时,集群会自动通过API向DWS请求DEK明文,DWS将CEK、DEK密文加载到集群内存中,再调用KMS使用主密钥CMK来解密CEK,并加载到集群内存中,最后用CEK明文解密DEK,并加载到集群内存中,返回给集群。
资源名称:输入资源的名称,当该事件所涉及的云资源无资源名称或对应的API接口操作不涉及资源名称参数时,该字段为空。 资源ID:输入资源ID,当该资源类型无资源ID或资源创建失败时,该字段为空。 云服务:在下拉框中选择对应的云服务名称。 资源类型:在下拉框中选择对应的资源类型。
密钥管理服务提供获取公钥的接口get-publickey。 本示例使用RSA_3072主密钥,密钥用途为SIGN_VERIFY。通过调用密钥管理服务sign接口。
方便向云端迁移,具体支持: PKCS#11接口,CSP接口,JCE接口,GM/T 0018-2012 SDF接口等 支持 支持 机框、电源独占 用户独享硬件加密机机框、电源资源 不支持 支持 网络独占 用户独享硬件加密机网络带宽、接口资源 不支持 支持 FIPS 140-2认证
用户重新计算文件的摘要,连同签名值调用KMS的“verify”接口对摘要进行验签。用户得到验签结果。如果能正常验签,则表明文件未被篡改。验签流程如图 验签流程所示。
华为云服务调用KMS的“create-datakey”接口创建数据加密密钥。得到一个明文的数据加密密钥和一个密文的数据加密密钥。 密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。 华为云服务使用明文的数据加密密钥来加密明文文件,得到密文文件。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
