检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
应用场景 密码服务能力 网络安全访问 通过集群完成公网访问的验证与接入,确保数据安全性。 应用部署上云 通过VPC以及子网信息,将应用部署上云,通过与集群联动,实现应用级隔离访问。 父主题: 云平台密码系统服务
常更改密码,但用户无法创建其他用户或更改用户名。 根据需要创建的用户,称为临时用户。 以交互方式输入密码的用户,而不是让应用程序以编程方式从凭据管理服务中检索密码。这种类型的用户不需要更改用户名和密码。 约束条件 您首先需要确保您的账号拥有KMS Administrator或者KMS
Cryptosystem Service, CPCS),提供专属的密码服务以及服务集群化部署能力。 具备密码服务集群的全生命周期管理的能力,包括自动化部署与释放、集群弹性伸缩、集群调用的应用级隔离等,并对各类能力进行集中监控、配置等,帮助租户快速通过密评。 主要包含以下密码服务:加解密服务、签名验签
当前区域选择确认后,当前项目选择默认。 当前项目仅支持使用默认项目,不支持自主创建。 对集群参数进行配置,如图 密码服务集群所示,参数的说明如表 专属密码集群配置参数说明所示。 图3 密码服务集群 表1 专属密码集群配置参数说明 参数名称 说明 密码服务集群 自定义服务集群名称。 集群类型 应用独享:仅支持绑定一个应用。
凭据版本被标记的状态列表。每个版本标签对于凭据对象下版本是唯一存在的,如果创建版本时,指定的是同一凭据对象下的一个已经标记在其他版本上的状态,该标签将自动从其他版本上删除,并附加到此版本上。 如果未指定version_stage的值,则凭据管理服务会自动移动临时标签SYSCURRENT到此新版本。
创建事件 功能介绍 创建事件,事件可配置在一个或多个凭据对象上。当事件为启用状态且包含的基础事件类型在凭据对象上触发时,云服务会将对应的事件通知发送至事件指定的通知主题上。 接口约束 创建的事件通知无法单独使用,需要配置在具体的凭据对象上。服务不会对事件通知中的通知对象进行有效性
“使用模板”,具体如图 创建函数所示。 图4 创建函数 配置函数基本信息,参数配置说明参见表 基本信息参数配置所示。 图5 函数基本信息 表2 基本信息参数配置 参数 配置说明 区域 选择函数部署的区域 项目 选择函数部署的项目 函数名称 自定义函数名称 委托名称 选择创建委托步骤创建的委托名称。
更新完成后,单击页面右下角的“下一步:权限配置”。 进入“权限配置”页面,您可根据需要增加或删除共享权限,更新完成后,单击页面右下角的“下一步:指定使用者”。 进入“指定使用者”页面,您可根据需要增加或删除共享密钥的使用者,配置完成后,单击页面右下角的“下一步:配置确认”。 进入“配置确认”页面,确认配置无误后,
进行共享的VPC。单击“下一步:权限配置”。 进入“权限配置”页面,选择指定资源类型支持的共享权限,配置完成后,单击页面右下角的“下一步:指定使用者”。 进入“指定使用者”页面,指定共享资源的使用者,配置完成后,单击页面右下角的“下一步:配置确认”。 表1 参数说明 参数名称 参数说明
EVS服务端加密 用户创建磁盘时,可以选择“高级配置 > 加密”,使用KMS提供的密钥来加密磁盘上的数据,如图1所示。更多信息请参见。 当用户需要使用磁盘加密功能时,需要授权云硬盘访问密钥管理。如果用户有授权资格,则可直接授权。如果权限不足,需先联系Security Admini
钥,如图4所示。 图4 加密上传对象(已开启OBS桶加密) 开启OBS桶加密后,上传对象时默认开启继承桶的加密配置。 如果需要修改加密配置,需要手动关闭“继承桶的加密配置”选项,根据使用需求选择SSE-KMS或SSE-OBS加密方式。 图5 加密上传对象(未开启OBS桶加密) 未
绑定SSH密钥对 功能介绍 给指定的虚拟机绑定(替换或重置,替换需提供虚拟机已配置的SSH密钥对私钥;重置不需要提供虚拟机的SSH密钥对私钥)新的SSH密钥对。 调用方法 请参见如何调用API。 URI POST /v3/{project_id}/keypairs/associate
专属加密如何保障密钥生成的安全性? 密钥是由用户自己远程创建,且创建过程需要仅用户持有的Ukey参与认证。 加密机的配置和内部密钥的准备,都必须要使用这一组Ukey作为鉴权凭证才能操作。 用户作为设备使用者完全控制密钥的产生、存储和访问授权,Dedicated HSM只负责监控和管理设备及其相关网络设施。
数据加密服务”,默认进入“密钥管理”界面。 在左侧导航栏选择“云平台密码系统服务 > 应用管理”,进入应用管理页面。 单击“创建应用”,在弹出对话框中配置如表 应用配置参数所示参数。 表1 应用配置参数 参数名称 说明 应用名称 自定义名称。 长度不超过64个字符 可以包含字符:中文、英文、数字、“-”、“_”、“*”、“
数,新增该参数并配置为“no”。 SUSE操作系统 关闭密码登录需要将“PasswordAuthentication”和“UsePAM”字段值均修改为“no”。如果文件中没有“PasswordAuthentication”和“UsePAM”参数,新增该参数并配置为“no”。 按“Esc”,退出编辑模式。
单击页面右上角“新建策略”,如果已存在需使用的策略忽略此步骤。 在“新建策略”页面配置参数,参数详情如表 新建策略参数说明所示。 图3 新建策略 表2 新建策略参数说明 参数名称 参数说明 策略名称 输入策略名称。 策略配置方式 选择“可视化视图”。 策略内容 允许:选择“允许”。 云服务:选
服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等应用场景。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。 CTS支持追踪数据加密服务相关的操作事件,请参见审计日志。 父主题: 安全
秒。不建议配置过长超时时间,否则会造成客户侧无法响应。 DEW服务提供了哪些功能? DEW采用的是什么加解密算法? 什么是配额? DEW服务资源分配的机制是什么? 什么是区域和可用区? 数据加密服务是否可跨账号使用? 数据加密服务支持通过哪些方式进行使用? 为什么配置了数据加密服务的权限没有立即生效?
产品优势 自动化部署 CPCS服务实现密码服务集群自动化部署,并且实现快速弹性伸缩。 集群隔离 租户级隔离 VPC级隔离 应用级隔离 态势感知 动态监控密码服务资源使用情况、密码能力调用情况、集群实例健康状态检查等。 加密场景 专属加密集群支持多加密场景选择,可以通过不同加密需求选择对应密码服务类型。
生成密文文件。 用户将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。 大量数据解密 图2 解密本地文件 说明如下: 用户从持久化存储设备或服务中读取密文的数据加密密钥和密文文件。 用户调用KMS的“decrypt-datakey”接口,使用对应的用户主密钥(即生