检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
EVS服务端加密 简介 当您由于业务需求需要对存储在云硬盘的数据进行加密时,EVS为您提供加密功能,可以对新创建的云硬盘进行加密。加密云硬盘使用的密钥由数据加密服务(DEW,Data Encryption Workshop)中的密钥管理(KMS,Key Management Service
使用加密SDK进行本地文件加解密 文件加密,指通过指定算法对文本信息进行加密,使其无法被窃取或修改。 加密SDK(Encryption SDK)是一个客户端密码库,提供了数据的加解密、文件流加解密等功能,旨在帮助客户专注于应用程序的核心功能,而不用关心数据加密和解密的实现过程,用户只需调用加解密接口即可轻松实现海量数据加解密
EVS服务端加密 用户创建磁盘时,可以选择“高级配置 > 加密”,使用KMS提供的密钥来加密磁盘上的数据,如图1所示。更多信息请参见。 当用户需要使用磁盘加密功能时,需要授权云硬盘访问密钥管理。如果用户有授权资格,则可直接授权。如果权限不足,需先联系Security Administrator
RDS服务端加密 用户在通过云数据库(Relational Database Service,RDS)购买数据库实例时,可以选择“磁盘加密”,使用KMS提供的密钥来加密数据库实例的磁盘,更多信息请参见《云数据库RDS用户指南》。 图1 RDS服务端加密 用户可选择通过KMS界面创建的自定义密钥进行加密
DDS服务端加密 用户在通过文档数据库服务(Document Database Service,DDS)购买文档数据库实例选择自定义购买时,可以选择“磁盘加密”,使用KMS提供的密钥来加密文档数据库实例的磁盘,更多信息请参见《文档数据库服务用户指南》。 图1 DDS服务端加密 用户可选择通过
RDS数据库加密 简介 关系型数据库支持MySQL、PostgreSQL、SQL Server引擎。 当启用加密功能后,用户创建数据库实例和扩容磁盘时,磁盘数据会在服务端加密成密文后存储。用户下载加密对象时,存储的密文会先在服务端解密为明文,再提供给用户。 约束条件 当前登录用户已通过统一身份认证服务添加华为云关系型数据库所在区域的
DDS数据库加密 简介 当启用加密功能后,用户创建数据库实例和扩容磁盘时,磁盘数据会在服务端加密成密文后存储。用户下载加密对象时,存储的密文会先在服务端解密为明文,再提供给用户。 约束条件 已通过统一身份认证服务添加华为云文档数据库服务所在区域的KMS Administrator权限
如果自定义密钥被彻底删除,用户数据是否还可以解密? 不可以。 如果自定义密钥被彻底删除,KMS将不再保留任何该密钥的数据,使用该密钥加密的数据将无法解密;如果自定义密钥没有被彻底删除,则可以通过KMS界面取消删除自定义密钥。 如果自定义密钥是通过KMS导入的密钥,且仅删除了密钥材料
删除密钥 在删除密钥前,您需要确保该密钥没有被使用或将来也不会被使用。您可以通过以下方式确定密钥的使用情况。 检查CMK权限以确定潜在使用范围,详细操作请参见查询授权。 检查审计日志以确定实际使用情况,详细操作请参见查询审计事件。 除了确认密钥使用情况以外,也可以开启验证操作,确保删除密钥操作进行多次验证
入门实践 当用户完成了创建密钥、创建密钥对、创建凭据等基本操作后,可以根据自身的业务需求使用DEW提供的一系列常用实践。 表1 常用最佳实践 实践 描述 数据保护 加解密小量数据 当有少量数据(例如:口令、证书、电话号码等)需要加解密时,用户可以通过密钥管理服务(Key Management
如何修补OpenSSL以使用-id-aes256-wrap-pad包装非对称密钥? 问题描述 默认情况下,OpenSSL命令行工具中未启用包装密码算法-id-aes256-wrap-pad。您可以下载并安装最新版本的OpenSSL,然后对其进行修补,以完成导入非对称密钥所需的信封包装
在什么场景下推荐使用导入的密钥? 如果用户不想使用KMS中创建的密钥材料,而使用自己的密钥材料,并且可以随时删除密钥材料,或者密钥材料被意外删除,用户可以重新导入相同的密钥材料的情况下,推荐用户使用导入的密钥。 当用户把本地的加密数据迁移到云上时,想在云上云下共用一个密钥材料时,可以把云下的密钥材料导入到
产品优势 服务集成广泛 与OBS、EVS、IMS等服务集成,用户可以通过KMS管理这些服务的密钥,还可以通过KMS API完成用户本地数据的加解密。 与CTS服务集成,用户可以通过CTS服务查看近期KMS的操作记录。 与CES服务集成,用户可以通过CES服务查看密钥计费请求次数。
创建及导入SSH密钥对(V2) 功能介绍 创建SSH密钥对,或把公钥导入华为云中,生成SSH密钥对。 创建SSH密钥对成功后,请把响应数据中的私钥内容保存到本地文件,用户使用该私钥登录云服务器。为保证云服务器安全,私钥数据只能下载一次,请妥善保管。 URI URI格式 POST /
导入私钥 为了方便用户管理本地的私钥,用户可将私钥导入管理控制台,由KPS统一管理。导入的私钥由KMS提供的密钥加密,保证用户私钥的存储、导入或者导出安全。当用户需要使用私钥时,可从管理控制台多次下载,为了保证私钥的安全,请妥善保管下载的私钥。 该任务指导用户通过密钥对管理界面导入私钥
加解密大量数据 场景说明 当有大量数据(例如:照片、视频或者数据库文件等)需要加解密时,用户可采用信封加密方式加解密数据,无需通过网络传输大量数据即可完成数据加解密。 加密和解密原理 大量数据加密 图1 加密本地文件 说明如下: 用户需要在KMS中创建一个用户主密钥。 用户调用KMS
产品优势 凭据加密保护 凭据通过集成KMS进行加密存储,加密密钥基于第三方认证的硬件安全模块(HSM)来生成和保护。凭据检索时,通过 TLS 安全传输到服务器本地。 凭据安全检索 使用CSMS服务,将应用程序代码中的硬编码凭据替换为对凭据的API调用,以便以编程方式动态检索和管理凭据
删除密钥对 如果创建或导入的密钥对不再使用时,用户可删除密钥对。 该任务指导用户通过密钥对管理界面删除密钥对。 约束条件 执行删除操作后,密钥对将被彻底删除,不可恢复,请谨慎操作。 如果用户已导入私钥,执行删除操作时,会将该私钥一起删除。 如果用户删除控制台上已配置到弹性云服务器的公钥
如何使用在线工具加解密数据? 使用在线工具加解密小数据的操作步骤如下所示: 加密数据 登录管理控制台。 单击管理控制台左上角,选择区域或项目。 单击页面左侧,选择“安全与合规 > 数据加密服务”,默认进入“密钥管理”界面。 单击目标自定义密钥的名称,进入密钥信息页面后,单击“工具”
绑定密钥对并使用私钥登录弹性云服务器 密钥对是通过加密算法生成的一对密钥,包含一个公钥和一个私钥,公钥自动保存在KPS中,私钥由用户保存在本地。如果用户将公钥配置在Linux云服务器中,则可以使用私钥登录Linux云服务器,提高登录安全性。 本章节介绍如何绑定密钥对并使用私钥登录弹性云服务器
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
