检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
据。 信封加密方式,是一种加密手段,将加密数据的数据密钥封入信封中存储、传递和使用,不再使用用户主密钥直接加解密数据。 信封加密方式加解密原理 加密本地文件流程,如图1所示。 图1 加密本地文件 流程说明如下: 用户需要在KMS中创建一个用户主密钥。 用户调用KMS的“creat
以OBS服务为例:需要手动轮换密钥时,用户先在KMS界面创建一个新的自定义密钥,后在OBS界面将原自定义密钥替换为新的自定义密钥。 图1 手动轮换密钥工作原理 自动轮换密钥 KMS会根据设置的轮换周期(默认365天)自动轮换密钥,系统自动生成一个新的密钥B,并替换当前使用的密钥A。自动轮换密钥只
应用自集成KMS原理 用户使用KMS密钥管理对业务系统进行数据的加密与解密,需使用集成SDK,具体请参见SDK概述。 用户在业务系统中使用KMS密钥管理时,可灵活调用API实现更多功能,例如签名数据、验证签名等。 云服务集成KMS加解密 图2 云服务集成KMS原理 用户在使用KM
访问专属加密实例的权限。 业务APP即可通过SDK或者API接口的方式访问专属加密实例。 您可以在安全代理软件配置多个专属加密实例,实现负载均衡功能。 父主题: 专属加密
源。由用户管理自己的自定义密钥,华为云服务在拥有用户授权的情况下,使用用户指定的自定义密钥对数据进行加密。 图1 华为云服务使用KMS加密原理 加密流程说明如下: 用户需要在KMS中创建一个自定义密钥。 华为云服务调用KMS的“create-datakey”接口创建数据加密密钥。
硬编码或明文配置等问题导致的敏感信息泄露以及权限失控带来的业务风险。 应用场景 保存应用凭据,通过临时访问的方式防止AK&SK泄露。 应用原理 通过统一身份认证服务(Identity and Access Management,IAM )对弹性云服务器(Elastic Cloud
数据仓库服务DWS DWS数据库加密 原理介绍 华为云服务基于信封加密技术,通过调用KMS接口来加密云服务资源。由用户管理自己的用户主密钥,华为云服务在拥有用户授权的情况下,使用用户指定的用户主密钥对数据进行加密。 图1 华为云服务使用KMS加密原理 加密流程说明如下: 用户需要在KMS中创建一个用户主密钥。
29等错误码,且推荐重试3~5次。针对502和504错误码,推荐超时时间5~8秒。不建议配置过长超时时间,否则会造成客户侧无法响应。 应用原理 当服务侧出现连续错误响应(如限流错误)时,持续的访问只会导致持续的发生冲突,使用指数退避方法,可以有效的规避该类错误。 约束条件 当前账
用户可在密钥列表上查看已完成创建的密钥,密钥默认状态为“启用”。 云服务加密 当前KMS服务对接OBS、EVS等服务,实现实例加密,具体原理介绍以及操作步骤可参见以下示例。 ECS服务端加密 OBS服务端加密 EVS服务端加密 IMS服务端加密 RDS数据库加密 DDS数据库加密
您可以独立管理多个区域的密钥,副本密钥同样支持创建密钥别名、启用、禁用、标签、授权、在线加解密。副本密钥的轮换无法自主设置,需按照主密钥的轮换设置进行同步轮换。 密钥区域性原理如图 密钥区域性所示。 图1 密钥区域性 表5 密钥区域性使用场景 使用场景 说明 灾备场景 如果密钥所在区域出现欠费资源冻结或异常无法处
对大型文件、图片等数据通过HTTPS请求到KMS服务进行保护时会消耗大量网络资源,降低加密效率。 解决方案 加密SDK通过文件流分段信封加密的原理进行加密。 数据加密通过KMS生成的数据密钥在SDK内部进行,内存中分段加解密文件无需将数据通过网络传输后再进行加解密,保证了文件加密的安全性和正确性。
SDK客户端的场景,介绍一种通过动态获取托管于凭据管理服务(CSMS)的凭证,避免硬编码 AK/SK,从而安全地创建和配置 OBS 客户端的解决方案。 实现原理 本示例基于AK和SK已托管于凭据管理服务(CSMS)的场景,演示如何通过实现OBS SDK提供的 IObsCredentialsProv
当有大量数据(例如:照片、视频或者数据库文件等)需要加解密时,用户可采用信封加密方式加解密数据,无需通过网络传输大量数据即可完成数据加解密。 加密和解密原理 大量数据加密 图1 加密本地文件 说明如下: 用户需要在KMS中创建一个用户主密钥。 用户调用KMS的“create-datakey”接
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
