检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在线工具不支持非对称密钥加解密小数据。 用户可使用调用API接口的方式,使用默认密钥加解密小数据,详细信息请参考《数据加密服务API参考》。 加密数据时,使用当前指定的密钥加密数据。 解密数据时,在线工具自动识别并使用数据被加密时使用的密钥解密数据,如果加密时使用的密钥已被删除,会导致解密失败。 调用API进行数据加密后,无法使用在线工具解密。
密钥别名 别名是为用户为密钥设置的简称,是密钥的一种标识。您可以在API接口的调用中使用别名代替密钥ID。原有密钥别名修改为密钥名称。 该任务指导用户为密钥添加、删除别名。 约束条件 一个别名仅支持关联一个密钥,但一个密钥可以关联多个别名。 别名在区域中拥有唯一性,不同区域下的别名可以相同。
按需计费是一种先使用再付费的计费模式,适用于无需任何预付款或长期承诺的用户。本文将介绍按需计费DEW资源的计费规则。 按需结算日期为31号或者1号,结算的费用不是当日的调用次数,而是整月的使用情况。 适用场景 按需计费适用于具有不能中断的短期、突增或不可预测的应用或服务,例如电商抢购、临时测试、科学计算。 适用计费项
信封加密方式优势如下: 相对于KMS提供的另一种加密方式:KMS用户主密钥直接加密 使用KMS用户主密钥直接加密:是通过KMS界面使用在线工具加解密数据,或者调用KMS的API接口使用指定的用户主密钥直接加密、解密数据。 使用KMS用户主密钥直接加解密数据仅适用于不大于4KB的小数据加解密场景;而信
功能特性 资源总览 通过控制台集中展示租户密码服务资源使用情况,动态监控密码服务集群的核心API调用情况。 专属密码服务 提供密码服务集群的全自动化部署与生命周期管理。 表1 专属密码集群基本功能 功能 服务内容 集群全生命周期管理 创建、查看、删除集群。 集群实例弹性伸缩 集群实例管理
信封加密方式加解密原理 加密本地文件流程,如图1所示。 图1 加密本地文件 流程说明如下: 用户需要在KMS中创建一个用户主密钥。 用户调用KMS的“create-datakey”接口创建数据加密密钥。用户得到一个明文的数据加密密钥和一个密文的数据加密密钥。其中密文的数据加密密
用户可单击“复制到剪切板”拷贝加密后的密文数据,并保存到本地文件中。 在控制台输入的明文,会进行base64编码得到加密后的字符。 如果直接调用API接口进行解密,得到的解密结果是进行了base64编码的内容。需再进行一次base64解码才能得到与控制台输入明文一致的内容。 解密数据
华为云服务基于信封加密技术,通过调用KMS接口来加密云服务资源。由用户管理自己的用户主密钥,华为云服务在拥有用户授权的情况下,使用用户指定的用户主密钥对数据进行加密。 图1 华为云服务使用KMS加密原理 加密流程说明如下: 用户需要在KMS中创建一个用户主密钥。 华为云服务调用KMS的“crea
密服务安全专家会通过您提供的联系方式,与您取得联系,将配套的软件及相关指导文档发送给您。软件分为两类,一类用于管理云加密实例;另一类是业务调用时依赖的安全代理软件和SDK。 前提条件 在实例化专属加密实例后,用户需要获取以下信息,初始化专属加密实例、安装安全代理软件并授权。 表1
自动为您创建该名称的密钥。 如果您指定主密钥,则需要同时具备相应主密钥的kms:dek:create权限,用于凭据值进行加密。 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/secrets 表1 路径参数 参数 是否必选 参数类型 描述 project_id
账号具备所有接口的调用权限,如果使用账号下的IAM用户发起API请求时,该IAM用户必须具备调用该接口所需的权限,否则,API请求将调用失败。每个接口所需要的权限,与各个接口所对应的授权项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。例如,用户要调用接口来查
示例2:加解密大量数据 场景描述 在大量数据加解密的场景,您的程序会经常使用到对数据密钥的加解密。 大量数据加密的流程如下: 在KMS中创建一个用户主密钥。 调用KMS的“create-datakey”接口创建数据加密密钥。用户得到一个明文的数据加密密钥和一个密文的数据加密密钥。其中密文的数据加密密
KMS会将此信息存储在密文中。KMS无法将元数据存储在使用非对称密钥生成的密文中,非对称密钥密文的标准格式不包括可配置字段。 调用方法 请参见如何调用API。 URI POST /v1.0/{project_id}/kms/encrypt-data 表1 路径参数 参数 是否必选
HSM提供以下功能: 生成、存储、导入、导出和管理加密密钥(包括对称密钥和非对称密钥)。 使用对称和非对称算法加密和解密数据。 使用加密哈希函数计算消息摘要和基于哈希的消息身份验证代码。 对数据进行加密签名(包括代码签名)并验证签名。 以加密方式生成安全随机数据。 Dedicated
创建、加密、解密数据加密密钥 说明: 仅支持通过API调用。 生成硬件真随机数 生成512bit的随机数,为加密系统提供基于硬件真随机数的密钥材料和加密参数 说明: 仅支持通过API调用。 消息认证码 生成、验证消息认证码 说明: 仅支持通过API调用。 密钥库管理 创建、禁用、删除密钥库 密钥对管理
不会丢失。 流量控制 DEW服务能够达到99.95%的可用性SLA,同时为单个用户提供较高的API调用配额。当单个用户的API调用量达到配额后,DEW服务会限制该用户后续的API调用,从而保障服务的可用性。 父主题: 安全
支持RDS服务端加密 KMS为关系型数据库(Relational Database Service,RDS)提供用户主密钥管理控制能力,应用于关系型数据库的磁盘加密功能。 商用 RDS数据库加密 4 专业版密钥管理新上线 专业版密钥管理包含基础版所有的功能,并支持关系型数据库RDS加密,还提供了密钥授权和密钥轮换等功能。
体请参见创建密钥。 根据界面提示,配置云硬盘的其他基本信息。详细参数说明请参见购买云硬盘。 使用KMS加密云硬盘(API) 用户也可以通过调用EVS API接口购买加密磁盘,详情请参考《云硬盘API参考》。 父主题: 云服务使用KMS加解密数据
数据加密服务提供了REST(Representational State Transfer)风格API,支持通过HTTPS请求调用。用户可使用提供的API对密钥和密钥对进行相关操作,如创建、查询、删除密钥等。 在通过API调用数据加密服务时,API接口使用的是HTTPS协议,HTTPS为加密传输,可以保证传输通道的安全,不受中间人攻击。
KeypairReadOnlyAccess策略不能用于企业项目授权。 表4列出了DEW常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。 表4 常用操作与KMS系统权限的关系 操作 KMS Administrator KMS CMKFullAccess 创建密钥 √ √ 启用密钥
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
