检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Administrator”权限)可以直接授权SFS访问KMS,使用加密功能。 普通用户(没有“Security Administrator”权限)使用加密功能时,需要联系系统管理员获取安全管理员权限。 同一个区域内只要安全管理员成功授权SFS访问KMS,则该区域内的普通用户都可以直接使用加密功能。
凭据加密保护 凭据通过集成KMS进行加密存储,加密密钥基于第三方认证的硬件安全模块(HSM)来生成和保护。凭据检索时,通过 TLS 安全传输到服务器本地。 凭据安全检索 使用CSMS服务,将应用程序代码中的硬编码凭据替换为对凭据的API调用,以便以编程方式动态检索和管理凭据,实现凭据安
要加解密时,用户可以通过KMS界面使用在线工具加解密数据,或者调用KMS的API接口使用指定的用户主密钥直接加密、解密数据。当前支持不大于4KB的小数据加解密。 以保护服务器HTTPS证书为例,采用调用KMS的API接口方式进行说明,如图1所示。 图1 保护服务器HTTPS证书 流程说明如下:
使用KMS加密的云服务列表 类型 服务 加密方式说明 计算 弹性云服务器ECS 弹性云服务器资源加密包括镜像加密和云硬盘加密。 在创建弹性云服务器时,您如果选择加密镜像,弹性云服务器的系统盘会自动开启加密功能,加密方式与镜像保持一致。 在创建弹性云服务器时,您也可以对添加的数据盘进行加密。 镜像服务IMS
on即可完成加解密。 跨Region密钥支持同时使用多个Region的主密钥对一个数据加密,生成唯一的数据密文。解密使用的密钥环,可以使用加密数据时相同的密钥环,也可以使用不同的密钥环,此时解密密钥环只需包含一个或多个加密密钥环中使用的可用的用户主密钥。 更多详情请访问:详情参考。
401 被请求的页面需要用户名和密码 403 认证失败 404 资源不存在,资源未找到 500 服务内部错误 502 请求未完成。服务器从上游服务器收到一个无效的响应 504 网关超时 错误码 请参见错误码。 父主题: 小数据加解密
用户主密钥不可用对加密云硬盘的影响 用户主密钥的状态 对加密云硬盘的影响 恢复方法 禁用 如果加密云硬盘此时挂载至云服务器,则该云硬盘仍可以正常使用,但不保证一直可以正常读写。 如果卸载加密云硬盘后,再重新挂载至云服务器将会失败。 启用用户主密钥,具体请参见启用密钥。 计划删除 取消删除用户主密钥,具体请参见取消删除密钥。
调用API接口加解密 以保护服务器HTTPS证书为例,采用调用KMS的API接口方式进行说明,如图3所示。 图3 保护服务器HTTPS证书 流程说明如下: 用户需要在KMS中创建一个用户主密钥。 用户调用KMS的加密数据密钥接口,使用指定的用户主密钥将明文证书加密为密文证书。 用户在服务器上部署密文证书。
安全性,用户可以使用KMS对文件摘要进行签名,再次使用时可以重新计算摘要进行验签。确保文件在传输或者存储过程中没有被篡改。 云服务使用KMS加密 ECS服务端加密 KMS支持对ECS服务进行一键加密,弹性云服务器资源加密包括镜像加密和数据盘加密。 在创建弹性云服务器时,用户如果选
果不慎遗失,您可以通过重置密码或重置密钥对的方式,重新给弹性云服务器绑定密钥对,具体可参照解绑密钥对后用户无法登录ECS时如何处理?进行处理。 如果用户已授权华为云托管私钥,可根据需要将托管的私钥导出使用。 单击“确定”,密钥对创建成功。密钥对创建成功后,用户可以在密钥对列表里看
凭据管理服务将凭据值加密后,存储在凭据对象下的版本中。每个版本可与多个凭据版本状态相关联,凭据版本状态用于标识凭据版本处于的阶段,没有版本状态标记的版本视为已弃用,可用凭据管理服务自动删除。 初始版本的状态被标记为SYSCURRENT。 接口约束 您可以指定一个对称密钥类型的用户主密钥作为保护凭据的
请求什么类型的操作。 GET:请求服务器返回指定资源。 PUT:请求服务器更新指定资源。 POST:请求服务器新增资源或执行特殊操作。 DELETE:请求服务器删除指定资源,如删除对象等。 HEAD:请求服务器资源头部。 PATCH:请求服务器更新资源的部分内容。当资源不存在的时
如果ECS实例未创建,请参考自定义购买弹性云服务器高级配置的“委托”选择新建的委托(如ECS_TO_CSMS)。 如果ECS实例已创建,请按照如下流程: 单击页面左侧,选择“计算 > 弹性云服务器 ECS”,进入“弹性云服务器”界面。 单击需要配置委托的ECS实例的“名称”,进入“基本信息”界面。
如何使用私钥登录Linux弹性云服务器? 如何通过私钥获取Windows弹性云服务器的登录密码? 绑定密钥对失败如何处理? 替换密钥对失败如何处理? 重置密钥对失败如何处理? 解绑密钥对失败如何处理? 替换密钥对后,服务器需要重启吗? 关闭弹性云服务器的密码登录方式后如何重新开启?
安全侠·三分钟小课堂 03 入门 您可以使用密钥加密您在华为云上的数据,使用密钥对登录您的Linux弹性服务器。 密钥管理入门 使用密钥进行OBS服务端加密 密钥对管理入门 使用私钥登录Linux弹性云服务器 05 实践 华为云服务与KMS集成,您可以轻松使用用户主密钥加解密您存储在这些云服务内的数据。
default 密码机类型 可选择的密码机类型,包含“金融密码机”、“服务器密码机”和“签名验证服务器”。 金融密码机:提供密钥管理及密码运算服务,支持IC卡发卡、交易验证、数据加密、数字签名、动态口令认证等业务功能。 服务器密码机:提供安全完善的密钥管理服务,提供高性能的、多任务并行处
云上数据加密服务。它可以提供专属加密、密钥管理、凭据管理、密钥对管理等服务,安全可靠地为用户解决了数据安全、密钥安全、密钥管理复杂等问题。其密钥由硬件安全模块(Hardware Security Module,HSM) 保护,并与多个华为云服务集成。您也可以借此服务开发自己的加密应用。
别名是为用户为密钥设置的简称,是密钥的一种标识。您可以在API接口的调用中使用别名代替密钥ID。原有密钥别名修改为密钥名称。 该任务指导用户为密钥添加、删除别名。 约束条件 一个别名仅支持关联一个密钥,但一个密钥可以关联多个别名。 别名在区域中拥有唯一性,不同区域下的别名可以相同。 别名创建成功后不支持修改。
全、密钥安全、密钥管理复杂等问题。其密钥由硬件安全模块(Hardware Security Module,HSM) 保护,并与多个华为云服务集成。您也可以借此服务开发自己的加密应用。 表1 服务介绍 名称 定义 更多信息 密钥管理服务 (Key Management Service
Master Key,CMK),是用户或云服务通过密钥管理创建的密钥,是一种密钥加密密钥,主要用于加密并保护数据加密密钥。一个用户主密钥可以加密多个数据加密密钥。 用户主密钥分为自定义密钥和默认密钥。 自定义密钥 用户通过密钥管理界面自行创建或导入的密钥。 默认密钥 在用户第一次通
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
