检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
等问题导致的敏感信息泄露以及权限失控带来的业务风险。 凭据统一管理 应用系统中存在大量的敏感凭据信息,且分散到不同业务部门及系统,管理混乱,缺乏集中管理工具。 通过凭据管理服务对敏感凭据进行统一的存储、检索、使用等全生命周期管控。 解决方案说明如下: 用户或管理员对应用敏感凭据进行收集。
身份认证 用户访问DEW的方式有多种,包括DEW控制台、API、SDK,无论访问方式封装成何种形式,其本质都是通过DEW提供的REST风格的API接口进行请求。 DEW的接口支持多种认证请求,以AK/SK举例:经过认证的请求总是需要包含一个签名值,该签名值以请求者的访问密钥(AK/SK
开通密钥轮转如何收费? 开通密钥轮转后,会收取相应的密钥存储费用,每个轮转的版本将作为一个独立的主密钥资源进行计算。 以1个密钥开通轮转,轮转周期为30天,单价0.015元(抹零后0.01元)每小时为例: 第一个月:密钥的轮转版本为0,收费为0.01*24*30 + 0*0.01*24*30
调用encrypt-data接口,返回的密文和明文有什么关系? encrypt-data接口返回的密文数据基础长度为124字节。密文数据由“密钥ID”、“加密算法”、“密钥版本”、“密文摘要”等字段拼接组成。 明文按照每个分组16个字节进行处理,不足16字节的,补码至16字节。所以密文长度
什么是云平台密码系统服务 云平台密码系统服务(Cloud Platform Cryptosystem Service, CPCS),提供专属的密码服务以及服务集群化部署能力。 具备密码服务集群的全生命周期管理的能力,包括自动化部署与释放、集群弹性伸缩、集群调用的应用级隔离等,并对
于第三方认证的硬件安全模块(HSM)来生成和保护。凭据检索时,通过 TLS 安全传输到服务器本地。 凭据安全检索 使用CSMS服务,将应用程序代码中的硬编码凭据替换为对凭据的API调用,以便以编程方式动态检索和管理凭据,实现凭据安全管理。同时对分散在各个应用程序中的敏感凭据统一集中管理,降低暴露风险。
终端节点(Endpoint)即调用API的请求地址,不同服务不同区域的终端节点不同,您可以从地区和终端节点中查询服务的终端节点。 约束与限制 您能创建的密钥的数量与配额有关系,具体请参见服务配额。 密钥管理服务对单用户每秒可以请求的API操作数量设置为20,即密钥管理服务的TPS性能指标为20TPS。
开通密钥轮转如何收费? 开通密钥轮转后,会收取相应的密钥存储费用,每个轮转的版本将作为一个独立的主密钥资源进行计算。 以1个密钥开通轮转,轮转周期为30天,单价0.015元(抹零后0.01元)每小时为例: 第一个月:密钥的轮转版本为0,收费为0.01*24*30 + 0*0.01*24*30
10:00:00间产生费用,该计费周期内的计费时长为30秒。 第二个计费周期为10:00:00 ~ 11:00:00,在10:00:00 ~ 10:45:46间产生费用,该计费周期内的计费时长为2746秒。 图 按需计费KMS资源生命周期给出了上述示例配置的费用计算过程。 图中价格仅为示例,实际计算请以数据加密服务价格详情中的价格为准。
82小时,带入公式可得时长费用=1009.82 * 0.015458=15.62(元) 则在5~6月份,密钥时长产生的费用为15.62元。 API请求计费 此处计算使用期间产生的API请求费用。 API请求计费 =(API请求次数-20000*月数量) /10000 * API请求费用
该任务指导用户通过密钥管理界面开启自动轮换密钥。 默认情况下,自定义密钥的自动密钥轮换处于禁用状态。当您启用(或重新启用)密钥轮换时,KMS会根据您设置的轮换周期自动轮换自定义密钥。开启密钥轮换后会产生一定费用,具体费用计算可参见开通密钥轮转如何收费?。 前提条件 密钥处于“启用”状态。
双用户轮换策略是指在一个凭据中更新两个用户所保存的信息。 例如:您的应用程序需要保持高可用性,如果您使用单用户轮换,那么您在修改用户密码和更新凭据内容的过程中会出现访问应用失败的情况,这样您就需要使用双用户凭据轮换策略。 您需要有一个账号例如Admin有权限创建并修改user1、user2用户的账号密码,首先您
自动续费 自动续费可以减少手动续费的管理成本,避免因忘记手动续费而导致专属加密实例被自动删除。自动续费的规则如下所述: 以专属加密实例的到期日计算第一次自动续费日期和计费周期。 专属加密实例自动续费周期以您选择的续费时长为准。例如,您选择了3个月,专属加密实例即在每次到期前自动续费3个月。
满足用户安全合规的密码生成、托管、以及定期自动轮换的要求。 使用流程 图1 轮转密码流程 流程说明如下: 定时触发器到期后,会发布定时触发事件。 函数工作流接收到事件后,会生成新的随机密码,替换凭据模板内容中的占位符,随后将替换后的内容作为新版本存入凭据中。 应用程序定期通过调用API/SDK获取最新凭据版本。
云平台密码系统服务 总览 密码服务管理 应用管理
HSM)是一种云上数据加密的服务,可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。 Dedicated HSM为您提供经国家密码管理局检测认证的加密硬件,帮助您保护弹性云服务器上数据的安全性与完整性,满足FIPS 140-2安全要求。同时,您能够对专属加密实例生成的密钥进行安
Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等应用场景。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。 CTS支持追踪数据加密服务相关的操作事件,请参见审计日志。 父主题:
来存储数据库的相关信息(例如:数据库地址、端口、密码)。 当您使用应用程序访问数据库时,凭据管理服务会去查询管理员通过步骤1所创建的凭据内存储的内容。 凭据管理服务检索并解密凭据密文,将凭据中保存的信息通过凭据管理API安全地返回到应用程序中。 应用程序获取到解密后的凭据明文信息,使用这些安全的信息访问数据库。
云平台密码系统服务 什么是云平台密码系统服务 功能特性 产品优势 应用场景
凭据类型选择“通用凭据”。 创建的凭据只能在当前选择的区域使用,如需在其它区域使用,请切换到对应区域进行创建。有关凭据管理的区域说明,请参见功能总览。 KMS列表选择默认密钥或者已创建的密钥。 其他参数根据具体情况选择。 单击“确定”,凭据创建完成。用户可在凭据列表查看已完成创建的凭据,凭据默认状态为“启用”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
