检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
从而采取进一步措施。 密钥轮换的两种方法 华为云服务提供了两种密钥轮换方法: 手动轮换密钥 方式一:创建一个新的密钥B,使用密钥B替换当前正在使用的密钥A。 方式二:对密钥A的密钥材料进行更改,继续使用密钥A。 示例: 以OBS服务为例:需要手动轮换密钥时,用户先在KMS界面创建
解密时,用户可以通过密钥管理服务(Key Management Service,KMS)控制台使用在线工具加解密数据,或者调用KMS的API接口使用指定的用户主密钥直接加密、解密数据。 加解密大量数据 当有大量数据(例如:照片、视频或者数据库文件等)需要加解密时,用户可采用信封加
要使用的业务主体,业务主体对关键数据进行验签。密钥管理服务提供获取公钥的接口get-publickey。 本示例使用RSA_3072主密钥,密钥用途为SIGN_VERIFY。通过调用密钥管理服务sign接口。请求体如下: { "key_id": "key_id_value",
如果对应的用户主密钥被误删除,会导致解密失败。因此,需要妥善管理好用户主密钥。 用户使用明文的数据加密密钥来解密密文文件。 信封加密使用的相关API 您可以调用以下API,在本地对数据进行加解密。 API名称 说明 创建数据密钥 创建数据密钥。 加密数据密钥 用指定的主密钥加密数据密钥。 解密数据密钥 用指定的主密钥解密数据密钥。
用户使用KMS密钥管理对业务系统进行数据的加密与解密,需使用集成SDK,具体请参见SDK概述。 用户在业务系统中使用KMS密钥管理时,可灵活调用API实现更多功能,例如签名数据、验证签名等。 云服务集成KMS加解密 图2 云服务集成KMS原理 用户在使用KMS加解密功能时,无需额外开发,具体操作可参见使用KMS加密的云服务。
专属加密实例配套文档 《专属加密实例用户手册》和《专属加密实例安装手册》。 安全代理软件 与专属加密实例建立安全通道。 SDK 用于提供专属加密实例的API接口,用户通过调用SDK与专属加密实例建立安全连接。 专属加密实例管理节点(例如:ECS) 运行专属加密实例管理工具,与专属加密实例处于同一
密钥仅用于数字签名及验签。 因为默认密钥的别名后缀为“/default”,所以用户创建的密钥别名后缀不能为“/default”。 通过API接口方式调用KMS密钥时,每月每个密钥可免费调用20000次。。 应用场景 对象存储服务中对象的服务端加密。 云硬盘中数据的加密。 私有镜像的加密。
Linux云服务器中,则可以使用私钥登录Linux云服务器,而不需要输入密码。由于密钥对可以让用户无需输入密码登录到Linux云服务器,因此,可以防止由于密码被拦截、破解造成的账户密码泄露,从而提高Linux云服务器的安全性。 功能介绍 用户可通过密钥对管理界面或接口,对密钥对进行以下操作:
KMS管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,权限的最小粒度为API授权项(action)。DEW支持的API授权项请参见DEW权限及授权项。 如表 KMS系统策略、表 KPS系统策略、表 CSMS系统策略所示,包括了DEW的所有系统权限。
生成和保护。凭据检索时,通过 TLS 安全传输到服务器本地。 凭据安全检索 使用CSMS服务,将应用程序代码中的硬编码凭据替换为对凭据的API调用,以便以编程方式动态检索和管理凭据,实现凭据安全管理。同时对分散在各个应用程序中的敏感凭据统一集中管理,降低暴露风险。 凭据集中管控
换凭据模板内容中的占位符,随后将替换后的内容作为新版本存入凭据中。 应用程序定期通过调用API/SDK获取最新凭据版本。 凭据管理服务检索并解密凭据密文,将凭据中保存的信息通过凭据管理API安全地返回到应用程序中。 应用程序获取到解密后的凭据明文信息,使用新密码更新目标对象(数据
不生效。建议重新登录控制台。 客户使用对象存储服务OBS等具有权限缓存的服务。权限具体生效时间取决于对应服务权限缓存时长。 客户编程调用APIG网关,权限生效时间取决于统一身份认证服务IAM广播权限变化到网关的时间。 父主题: 通用类
方法二:通过调用API接口的方式获取包装密钥和导入令牌。 调用“get-parameters-for-import”接口,获取包装密钥和导入令牌。 public_key:调用API接口返回的base64编码的包装密钥内容。 import_token:调用API接口返回的base64编码的导入令牌内容。
项目。例如北京四对应:cn-north-4 说明: 查找路径:单击“用户名称 > 我的凭证”,API凭证页面的项目,就是对应region。 user_id 待轮转的IAM用户ID。 说明: 查找路径:单击“用户名称 > 我的凭证”,API凭证页面的IAM用户ID就是对应user_id。 project_id
您首先需要确保您的账号拥有KMS Administrator或者KMS CMKFullAccess权限,详情见DEW权限管理。 轮换凭据的API 您可以调用以下API,在本地进行凭据轮换。 API名称 说明 创建凭据版本 创建新的凭据版本。 查询凭据版本与凭据值 查询指定凭据版本的信息和版本中的明文凭据值。
与用户的应用程序配合使用 当您的应用程序需要对明文数据进行加密时,可通过调用KMS的接口来创建数据加密密钥,再使用数据加密密钥将明文数据进行加密,得到密文数据并进行存储。同时,用户的应用程序调用KMS的接口创建对应用户主密钥,对数据加密密钥进行加密,得到密文的数据加密密钥并进行存储。
使用中的密钥不可以删除,如果删除将导致加密对象不能下载。 相关操作 用户也可以通过调用OBS API接口,选择服务端加密SSE-KMS方式(SSE-KMS方式是指OBS使用KMS提供的密钥进行服务端加密)上传文件,详情请参考《对象存储服务API参考》。 父主题: 云服务使用KMS加解密数据
签名验签服务 密钥管理服务 时间戳服务 协同签名服务 动态令牌服务 数据库加密服务 文件加密服务 电子签章服务 SSL_VPN服务 镜像 根据密码服务类型,选择已创建的对应镜像。 购买时长 选择密码服务集群的购买时长,可以选择1个月~1年的购买时长。 说明: 勾选“自动续费”后,当服务期满时,系统会自动按照购买周期进行续费。
解除授权 登录管理控制台。 单击页面左侧,选择“安全与合规 > 数据加密服务”,默认进入“密钥管理”界面。 在左侧导航栏选择“云平台密码系统服务 > 密码服务管理”,进入专属密码服务页面。 选择目标密码服务集群,单击集群名称默认进入集群实例列表页面,单击左上角“访问密钥授权”页签。
aS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
