检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
创建用户并授权使用DEW 如果您需要对您所拥有的DEW进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),通过IAM,您可以: 根据企业的业务组织,在您的华为账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用DEW资源。
以满足用户安全合规的密码生成、托管、以及定期自动轮换的要求。 使用流程 图1 轮转密码流程 流程说明如下: 定时触发器到期后,会发布定时触发事件。 函数工作流接收到事件后,会生成新的随机密码,替换凭据模板内容中的占位符,随后将替换后的内容作为新版本存入凭据中。 应用程序定期通过调用API/SDK获取最新凭据版本。
默认情况下,GmSSL命令行工具中未启用包装密码算法-sms4-wrap-pad。您可以下载并安装最新版本的GmSSL,然后对其进行修补,以完成导入非对称密钥所需的信封包装。 解决方法 按照以下说明,在没有任何业务的机器,或创建临时机器,使用bash命令安装修补版本的GmSSL。 请使用没
示例2:加解密大量数据 场景描述 在大量数据加解密的场景,您的程序会经常使用到对数据密钥的加解密。 大量数据加密的流程如下: 在KMS中创建一个用户主密钥。 调用KMS的“create-datakey”接口创建数据加密密钥。用户得到一个明文的数据加密密钥和一个密文的数据加密密钥。其中密文的数据加密密钥
查看凭据值。 在目标凭据中,存入凭据值即创建一个新的凭据版本,用于加密保管新的凭据值。默认情况下,新创建的凭据版本被标记为“SYSCURRENT”状态,而“SYSCURRENT”标记的前一个凭据版本被标记为“SYSPREVIOUS”状态。 约束条件 凭据管理服务的每个凭据中最多可支持20个版本。
广泛重复的使用加密密钥,会对加密密钥的安全造成风险。为了确保加密密钥的安全性,用户需要为用户主密钥创建新的密钥材料。 开启密钥轮换后,密钥管理会根据设置的轮换周期(默认365天)自动轮换密钥,每次轮换都会生成一个新版本的用户主密钥。 KMS会保留与该用户主密钥关联的所有版本的用户主
段。如果您想要添加二进制类型凭据到secret_binary字段中保存,必须使用SDK或API的方式。 凭据管理服务的每个凭据中最多可支持20个版本。 只能对处于ENABLED状态的凭据添加新的版本。 每次存入新的凭据值时,凭据版本号按照为v1,v2,v3...的模式自动增加。 调用方法
摘要进行签名,再次使用时可以重新计算摘要进行验签。确保文件在传输或者存储过程中没有被篡改。 解决方案 用户需要在KMS中创建一个用户主密钥。 用户计算文件的摘要,调用KMS的“sign”接口对摘要进行签名。用户得到摘要的签名结果。将摘要签名结果和密钥ID与文件一同传输或者存储。签名流程如图
管理控制台上“密钥对执行失败记录”对话框中的失败记录只记录了弹性云服务器的操作历史,不会影响弹性云服务器的状态及后续操作,可单击失败记录所在行的“删除”,直接删除失败记录,或者单击“删除所有失败记录”,删除所有执行失败的记录。 单击“了解更多”,查看相关文档。 可能原因 用户提供了错误或者失效的密码。 用户修改了公钥文件权限或属组。
您如果长时间不更新凭据,凭据内保护的重要信息(例如:重要密码、令牌、证书、SSH密钥、API密钥等)的泄露风险也会增加,定期轮换凭据会增加所保护的明文信息安全性。 华为云为您提供了两种凭据轮换策略: 单用户凭据轮换 双用户凭据轮换 您可以根据您自己的实际需求,选择对应的轮换策略以进一步提高凭据的安全性。 轮换步骤
应用场景 KMS可以对OBS桶中的对象进行全量加密或者部分加密,在OBS服务使用KMS加密过程中,KMS提供的信封加密能力使数据加解密操作无需通过网络传输大量数据即可完成。信封加密方式有效保障了数据传输的加密性、数据解密的效率和便捷性,在对象上传和下载过程中,保证信息安全。 全量加密
(可选)用户可根据自己的需要为专属加密实例添加标签,输入“标签键”和“标签值”。 当用户在创建专属加密实例完成后,需要为该实例添加标签,可在该实例所在行“操作”列,单击“标签”, 为该自定义密钥添加标签。更多修改、删除操作可参见标签管理。 用户最多可以给单个实例添加20个标签。 设置“UKey接收信息”信息。
安全 责任共担 资产识别与管理 身份认证与访问控制 数据保护技术 审计与日志 服务韧性 认证证书
URL中包含的URL和X-Auth-Token中包含的URL不一致。 请确保URI和token中的项目ID一致后重试。 403 KMS.0322 The user has no permission to access the partition. 用户缺少分区类型的权限。 请配置权限后重试。
(可选)用户可根据自己的需要为专属加密实例添加标签,输入“标签键”和“标签值”。 当用户在创建专属加密实例完成后,需要为该实例添加标签,可在该实例所在行“操作”列,单击“标签”, 为该自定义密钥添加标签。更多修改、删除操作可参见标签管理。 用户最多可以给单个实例添加20个标签。 设置“UKey接收信息”信息。
凭据列表。 前提条件 需在创建凭据时下载凭据备份。 恢复凭据备份后凭据ID与原凭据ID不同。 操作步骤 登录管理控制台。 单击管理控制台左上角,选择区域或项目。 单击页面左侧,选择“安全与合规 > 数据加密服务”,默认进入“密钥管理”界面。 在左侧导航树中,选择“凭据管理 > 凭据列表”,进入“凭据管理”页面。
配置。 设置凭据值 待加密的用户凭据键/值和明文凭据。 KMS加密 可选择默认密钥“csms/default”或用户在KMS已创建的自定义密钥 说明: CSMS使用KMS提供的加密密钥对私钥进行加密,用户使用密钥对的KMS加密功能时,可选择KMS创建的默认密钥“csms/default”。
管理控制台上“密钥对执行失败记录”对话框中的失败记录只记录了弹性云服务器的操作历史,不会影响弹性云服务器的状态及后续操作,可单击失败记录所在行的“删除”,直接删除失败记录,或者单击“删除所有失败记录”,删除所有执行失败的记录。 可能原因 ECS安全组22端口入方向未对100.125.0.0/16开放。 在弹性云服
CMKFullAccess权限,详情见DEW权限管理。 轮换凭据的API 您可以调用以下API,在本地进行凭据轮换。 API名称 说明 创建凭据版本 创建新的凭据版本。 查询凭据版本与凭据值 查询指定凭据版本的信息和版本中的明文凭据值。 单账号凭据轮换代码示例 通过华为云控制台,创建一个凭据,详情见创建凭据。
可以根据成本分析阶段的分析结果识别成本偏高的资源,通过云监控服务监控资源的使用情况,确定成本偏高的原因,然后采取针对性的优化措施。 相关操作 预算管理:用户可以针对每天、每月、每季度、每年的成本和使用量情况,创建预算提醒。当实际成本和使用量超过预算的提醒阈值时,则会发送提醒通知。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
