检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
开启、修改、关闭密钥轮换周期 密钥授权 创建、撤销、查询授权 退役授权 说明: 仅支持通过API调用。 密钥区域性 跨区域创建副本密钥 云服务加密 对象存储服务OBS加密 云硬盘服务EVS加密 镜像服务IMS加密 弹性文件服务SFS加密(SFS文件系统加密) 弹性文件服务SFS加密(SFS Turbo文件系统加密)
自定义密钥是用户自行通过KMS创建或导入的密钥。 按需计费 密钥实例费用 * 时长+密钥请求API次数 * API请求费用 默认密钥 默认密钥是对象存储服务(Object Storage Service,OBS)等其他云服务自动通过密钥管理为用户创建的用户主密钥,其别名后缀为“/default”。 按需计费 密钥请求API次数
数据安全、密钥安全、密钥管理复杂等问题。其密钥由硬件安全模块(Hardware Security Module,HSM) 保护,并与多个华为云服务集成。您也可以借此服务开发自己的加密应用。 在调用数据加密服务API之前,请确保已经充分了解数据加密服务相关概念,详细信息请参见产品介绍。
ion缓存造成权限不生效。建议重新登录控制台。 客户使用对象存储服务OBS等具有权限缓存的服务。权限具体生效时间取决于对应服务权限缓存时长。 客户编程调用APIG网关,权限生效时间取决于统一身份认证服务IAM广播权限变化到网关的时间。 父主题: 通用类
如何将原始EC私钥转换成PKCS8格式的私钥对象? 背景 EC私钥是个大整数,但是在密钥对导入场景,要求私钥对象是ASN.1编码之后,再对数据进行二进制编码,得到DER格式。仅通过OPENSSL命令无法获得。 本示例介绍如何将一个原始的256长度的EC私钥转换成PKCS8格式的私钥。
Key,获取方式请参见获取AK/SK。 PROJECT_ID: 局点项目ID,获取方式请参见获取项目ID。 KMS_ENDPOINT: 华为云KMS服务访问终端地址,获取方式请参见终端节点。 认证用的ak和sk直接写到代码中有很大的安全风险,建议在配置文件或者环境变量中密文存放,使用时解密,确保安全。
数据安全、密钥安全、密钥管理复杂等问题。其密钥由硬件安全模块(Hardware Security Module,HSM) 保护,并与多个华为云服务集成。您也可以借此服务开发自己的加密应用。 表1 服务介绍 名称 定义 更多信息 密钥管理服务 (Key Management Service
* - PROJECT_ID: 华为云局点项目ID 详情见https://support.huaweicloud.com/productdesc-iam/iam_01_0023.html * - CSMS_ENDPOINT: 华为云CSMS服务访问终端地址 详情见https://support
如何将原始SM2私钥转换成PKCS8格式的私钥对象? 背景 SM2私钥是一个256bits的大整数,但是在密钥对导入场景,要求私钥对象是ASN.1编码之后,再对数据进行二进制编码,得到DER格式。仅通过OPENSSL命令无法获得。 本示例介绍如何将一个原始的SM2私钥转换成PKCS8格式的私钥。
立即删除指定的凭据,且无法恢复。 恢复凭据对象 通过上传凭据备份文件,恢复凭据对象。 下载凭据备份 下载指定凭据的备份文件。 创建凭据的定时删除任务 指定延迟删除时间,创建删除凭据的定时任务,可设置7~30天的的延迟删除时间。 取消凭据的定时删除任务 取消凭据的定时删除任务,凭据对象恢复可使用状态。 轮转凭据
哪些云服务使用KMS加密数据? 对象存储服务、云硬盘、镜像服务、弹性文件服务、文档数据库服务和云数据库借助KMS实现了加密特性。 表1 使用KMS加密的云服务列表 服务名称 如何使用 对象存储服务 对象存储服务支持普通方式和服务端加密方式上传和下载对象。当用户使用服务端加密方式上传对象时,数据会在服
创建事件,事件可配置在一个或多个凭据对象上。当事件为启用状态且包含的基础事件类型在凭据对象上触发时,云服务会将对应的事件通知发送至事件指定的通知主题上。 接口约束 创建的事件通知无法单独使用,需要配置在具体的凭据对象上。服务不会对事件通知中的通知对象进行有效性检查,如果用户账号下不存在该通知对象,则会造成事件触发时,事件通知失败。
Dedicated HSM旨在满足用户将线下加密设备能力转移到云上的要求,降低运维成本。 弹性扩容 灵活调整专属加密的数量,满足不同业务的加解密运算要求。 安全管理 专属加密实例设备管理与内容(敏感信息)管理权限分离,用户作为设备使用者完全控制密钥的产生、存储和访问授权,Dedicated
查看专属加密实例 该任务指导用户通过专属加密的实例列表查看专属加密实例信息,包括专属加密实例的名称/ID、状态、服务版本、设备厂商、设备型号、IP地址和创建时间。 操作步骤 登录管理控制台。 单击管理控制台左上角,选择区域或项目。 单击页面左侧,选择“安全与合规 > 数据加密服务”,默认进入“密钥管理”界面。
该任务指导用户通过密钥对管理界面绑定密钥对。 前提条件 弹性云服务器的状态处于“运行中”或者“关机”状态。 弹性云服务器未绑定密钥对。 待重置密钥对的弹性云服务器使用的是华为云提供的公共镜像。 执行密钥对绑定操作是通过修改服务器的“/root/.ssh/authorized_keys”文件的方式来写入用户公钥。请
大量数据进行加解密。 信封加密方式加解密数据,只需要传输数据加密密钥到KMS服务端,无需通过网络传输大量数据。 相对于直接加解密的云服务 安全性 由云服务直接为用户加解密数据:通过因特网将敏感信息从客户手中传递到服务的过程中会存在诸多风险,例如:窃听、钓鱼。 信封加密方式:KMS
密钥轮换的两种方法 华为云服务提供了两种密钥轮换方法: 手动轮换密钥 方式一:创建一个新的密钥B,使用密钥B替换当前正在使用的密钥A。 方式二:对密钥A的密钥材料进行更改,继续使用密钥A。 示例: 以OBS服务为例:需要手动轮换密钥时,用户先在KMS界面创建一个新的自定义密钥,后在OBS界面将原自定义密钥替换为新的自定义密钥。
证。 加密机的配置和内部密钥的准备,都必须要使用这一组Ukey作为鉴权凭证才能操作。 用户作为设备使用者完全控制密钥的产生、存储和访问授权,Dedicated HSM只负责监控和管理设备及其相关网络设施。 父主题: 专属加密类
用户可以采用加密方式创建私有镜像,确保镜像数据安全性。 约束条件 用户已启用数据加密服务。 加密镜像不能共享给其他用户。 加密镜像不能发布到应用超市。 如果云服务器的系统盘已加密,那么使用该云服务器创建的私有镜像也是加密的。 不能修改加密镜像使用的密钥。 加密镜像使用的密钥为禁用状态或者被删除时,该镜像无法使用。
凭据版本被标记的状态列表。每个版本标签对于凭据对象下版本是唯一存在的,如果创建版本时,指定的是同一凭据对象下的一个已经标记在其他版本上的状态,该标签将自动从其他版本上删除,并附加到此版本上。 如果未指定version_stage的值,则凭据管理服务会自动移动临时标签SYSCURRENT到此新版本。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
