检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
云服务使用KMS加解密数据 概述 ECS服务端加密 OBS服务端加密 EVS服务端加密 IMS服务端加密 SFS服务端加密 RDS数据库加密 DDS数据库加密 DWS数据库加密 父主题: 密钥管理
使用KMS加密的云服务 OBS服务端加密 EVS服务端加密 IMS服务端加密 SFS服务端加密 RDS服务端加密 DDS服务端加密 父主题: 密钥管理
KMS支持的密钥算法类型 表1 KMS支持的密钥算法类型 密钥类型 算法类型 密钥规格 说明 用途 对称密钥 AES AES_256 AES对称密钥 小量数据的加解密或用于加解密数据密钥。 对称密钥 SM4 SM4 国密SM4对称密钥 小量数据的加解密或用于加解密数据密钥。 摘要密钥
是否可以更新KMS管理的密钥? 不可以。 通过KMS创建的密钥无法更新,用户只能通过KMS创建新密钥,使用新的密钥加解密数据。 父主题: 密钥管理类
KMS如何保护创建的密钥? KMS的开发机制能够预防任何人以明文形式访问您的密钥。KMS使用加密机(HSM)确保密钥的机密性和完整性。明文KMS密钥由加密机加密并保护。仅在处理您的加密请求时,KMS才会在存储器中使用这些密钥。 父主题: 密钥管理类
在KMS中创建的自定义密钥的个数是否有限制? 在KMS中创建的自定义密钥的个数是有限制的。 用户最多可以创建100个自定义密钥。启用、禁用和计划删除状态的用户主密钥都会被计入该限制,默认密钥不计入该限制。 父主题: 密钥管理类
“选择镜像源”为“镜像文件”。 勾选“KMS加密”。 图1 IMS服务端加密 密钥名称是密钥的标识,您可以通过“密钥名称”下拉框选择需要使用的密钥。您可以选择使用的密钥如下: 默认主密钥:KMS为使用IMS(Image Management Service,IMS)的用户创建一个默认主密钥“ims/default”。
单击管理控制台左上角,选择区域或项目。 单击页面左侧,选择“安全与合规 > 数据加密服务”,默认进入“密钥管理”界面。 单击“共享密钥”页签,查看当前共享中的密钥资源。 图2 共享密钥 通过共享密钥页签,可以复制密钥ID,用于手动输入ID的KMS加密密钥选择场景。 使用共享KMS资源 登录管理控制台。 单击管理控制台左上角,选择区域或项目。
用户使用OBS桶中已上传的外部镜像文件创建私有镜像时,可以选择“KMS加密”,使用KMS提供的密钥来加密镜像,如图1所示,更多信息请参见 。 图1 IMS服务端加密 可供选择的用户主密钥包含以下两种: KMS为使用IMS(Image Management Service,IMS)的用户创建一个默认密钥“ims/default”。
没有权限操作KMS,该如何处理? 问题描述 用户在KMS中执行查看密钥信息、创建密钥、导入密钥等操作时,显示无法操作KMS。 可能原因 该用户没有KMS系统策略,导致没有权限操作KMS。 解决方法 检查该用户是否具有KMS系统策略,KMS Administrator和KMS CMKFullAccess权限。
如何使用KMS加密保护线下数据 加解密小量数据 加解密大量数据 父主题: 密钥管理
takey”接口创建数据加密密钥。得到一个明文的数据加密密钥和一个密文的数据加密密钥。 密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。 华为云服务使用明文的数据加密密钥来加密明文文件,得到密文文件。 华为云服务将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。
信息请参见。 图1 EVS服务端加密 可供选择的用户主密钥包含以下两种: KMS为使用EVS(Elastic Volume Service,EVS)的用户创建一个默认密钥“evs/default”。 用户通过KMS界面创建的自定义密钥。 用户也可以通过调用EVS API接口创建加密磁盘,详情请参考《云硬盘API参考》
默认主密钥:由EVS通过KMS自动创建的密钥,名称为“evs/default”。 默认主密钥不支持禁用、计划删除等操作。 用户主密钥:由用户自己创建的密钥,您可以选择已有的密钥或者新创建密钥,具体请参见创建密钥。 使用用户主密钥加密云硬盘,如果对用户主密钥执行禁用、计划删除等操作,将会导致云硬盘
ECS服务端加密 简介 KMS支持对ECS进行一键加密,弹性云服务器资源加密包括镜像加密和数据盘加密。 在创建弹性云服务器时,您如果选择加密镜像,弹性云服务器的系统盘会自动开启加密功能,加密方式与镜像保持一致。 在创建弹性云服务器时,您也可以对添加的数据盘进行加密。 镜像加密请参见IMS服务端加密。
Service,RDS)购买数据库实例时,可以选择“磁盘加密”,使用KMS提供的密钥来加密数据库实例的磁盘,更多信息请参见《云数据库RDS用户指南》。 图1 RDS服务端加密 用户可选择通过KMS界面创建的自定义密钥进行加密。 用户也可以通过调用RDS API接口购买加密数据库实例,详情请参考《云数据库RDS
Service,SFS)创建文件系统时,可以选择“KMS加密”,使用KMS提供的密钥来加密文件系统,如图1所示。更多信息请参见《弹性文件服务用户指南》。 图1 SFS服务端加密 用户可选择通过KMS界面创建的自定义密钥进行加密。 用户也可以通过调用SFS API接口创建加密的文件系统,详情请参考《弹性文件服务API参考》。
当您由于业务需求需要对存储在文件系统的数据进行加密时,弹性文件服务为您提供加密功能,可以对新创建的文件系统进行加密。 加密文件系统使用的是密钥管理服务(KMS)提供的密钥,无需您自行构建和维护密钥管理基础设施,安全便捷。当用户希望使用自己的密钥材料时,可通过KMS管理控制台的导入密钥功能创建密钥材料为空的
EE-KMS加密”,从而使用KMS提供的密钥来加密上传的文件,如图1所示。更多信息请参见《对象存储服务控制台指南》。 图1 OBS服务端加密 可供选择的用户主密钥包含以下两种: KMS为使用OBS的用户创建一个默认密钥“obs/default”。 用户通过KMS界面创建的自定义密钥。
Service,DDS)购买文档数据库实例选择自定义购买时,可以选择“磁盘加密”,使用KMS提供的密钥来加密文档数据库实例的磁盘,更多信息请参见《文档数据库服务用户指南》。 图1 DDS服务端加密 用户可选择通过KMS界面创建的自定义密钥进行加密。 用户也可以通过调用DDS API接口购买加密数据库实
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
