-
计费示例 假设您在2023/06/08 9:59:30创建了一个自定义密钥,然后在2023/06/08 10:45:46将其删除。计费周期内使用密钥进行API调用36594次,计费周期如下: 第一个计费周期为9:00:00 ~ 10:00:00,在9:59:30 ~ 10:00:00间产生费用,该计费周期内的计费时长为30秒。 第二个计费周期为10:00:00 ~ 11:00:00,在10:00:00 ~ 10:45:46间产生费用,该计费周期内的计费时长为2746秒。 图 按需计费KMS资源生命周期给出了上述示例配置的费用计算过程。 图中价格仅为示例,实际计算请以
数据加密 服务价格详情中的价格为准。 图1 按需计费密钥管理费用计算示例 按需计费模式下,各计费项的计费示例请参见计费示例。
-
计费说明 数据加密服务的计费项由密钥管理、凭据管理和专属加密等微服务费用组成,密钥对管理暂不收费。具体内容如表 数据加密服务计费项所示。 具体价格计算请参见数据加密服务价格详情。 表1 数据加密服务计费项 计费项 计费项规格 计费项说明 适用的计费模式 计费公式 密钥管理服务 自定义密钥 自定义密钥是用户自行通过KMS创建或导入的密钥。 按需计费 密钥实例费用 * 时长+密钥请求API次数 * API请求费用 默认密钥 默认密钥是
对象存储服务 (Object Storage Service,OBS)等其他云服务自动通过密钥管理为用户创建的用户主密钥,其别名后缀为“/default”。 按需计费 密钥请求API次数 * API请求费用 副本密钥 副本密钥是用户通过KMS在某一区域已有的主密钥下创建的副本密钥。与主密钥具有相同密钥材料。 按需计费 副本数量 * 实例费用 * 时长+密钥请求API次数 * API请求费用 凭据管理服务 通用凭据 通用凭据支持在各场景下进行自定义凭据的全生命周期管理。 按需计费 凭据实例费用 * 时长+凭据使用的密钥实例费用 * 时长+密钥请求API次数 * API请求费用 专属加密实例 标准版 专属加密(Dedicated Hardware Security Module,Dedicated HSM)是一种云上数据加密的服务,可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。 包年/包月 实例规格单价 * 台数 * 购买时长 铂金版国内 包年/包月 初装费用 * 台数+实例规格单价 * 台数 * 购买时长
-
计费示例 假设您在2023/06/08 9:59:30创建了一个自定义密钥,然后在2023/06/08 10:45:46将其删除。计费周期内使用密钥进行API调用36594次,计费周期如下: 第一个计费周期为9:00:00 ~ 10:00:00,在9:59:30 ~ 10:00:00间产生费用,该计费周期内的计费时长为30秒。 第二个计费周期为10:00:00 ~ 11:00:00,在10:00:00 ~ 10:45:46间产生费用,该计费周期内的计费时长为2746秒。 您需要为每个计费周期付费,各项资源单独计费,计费公式如表 计费公式所示。产品价格详情中标出了资源的每小时价格,您需要将每小时价格除以3600,得到每秒价格。 表2 计费公式 资源类型 计费公式 自定义密钥 密钥实例费用 * 时长+密钥请求API次数 * API请求费用
-
适用计费项 以下计费项支持按需计费。 表1 适用计费项 计费项 说明 密钥管理服务 按需创建的密钥实例费用以及密钥产生的API请求费用。 凭据管理服务 按需创建的凭据实例费用以及绑定密钥后产生的密钥API请求费用。 假设您创建了一个密钥算法为AES_256的对称密钥,在创建页面的底部,您将看到所需费用的明细,如图 费用示例所示。 图1 费用示例 费用计算将包括以下部分: 密钥实例费用:创建后的密钥按照时长计费。 API请求费用:创建密钥后按照API请求次数计费,每个密钥每月有20000次的免费请求次数。
-
计费周期 按需计费KMS资源按小时计费,密钥实例费用每天结算一次(以UTC+8时间为准),密钥API请求费用每月结算一次(以UTC+8时间为准),结算完毕后进入新的计费周期。计费的起点以密钥创建成功的时间点为准,终点以密钥计划删除的时间点为准。 例如,您在8:45:30创建了一个自定义密钥,然后在9:40:08将其删除,则计费周期为8:00:00 ~ 10:00:00,在8:45:30 ~ 8:55:30间产生费用,该计费周期内的计费时长为600秒。
-
方案架构 OBS中上传对象的加解密原理说明如下: 加密原理 图2 加密原理 获取加密密钥 通过KMS,生成一个用于加密OBS桶内对象的数据加密密钥。 加密数据上传至OBS桶 加密SDK通过获取的数据加密密钥,对上传的数据明文进行加密处理,将被加密的对象密文存储到OBS。 解密原理 图3 解密原理 下载对象 通过OBS,下载被加密的对象数据。 解密对象 被加密对象通过加密SDK获取对应的密文数据密钥,通过KMS,进行密文数据密钥的解密操作,获得被解密后的原始对象。
-
应用场景 KMS可以对OBS桶中的对象进行全量加密或者部分加密,在OBS服务使用KMS加密过程中,KMS提供的信封加密能力使数据加解密操作无需通过网络传输大量数据即可完成。信封加密方式有效保障了数据传输的加密性、数据解密的效率和便捷性,在对象上传和下载过程中,保证信息安全。 全量加密:指对OBS桶内上传的所有对象进行加密。 此时,您只需要对OBS桶加密,桶中上传的对象会默认继承OBS桶的加密配置。具体操作请参见加密OBS桶:创建OBS桶时开启服务端加密功能或者加密OBS桶:为已创建的OBS桶开启加密。 开启OBS桶加密后,上传对象时默认开启“继承桶加密配置”加密方式,此时桶中的对象和OBS桶采用相同的加密方式;如需修改桶中对象的加密方式,需要在上传对象时手动关闭“继承桶加密配置”开关,然后修改。具体操作请参见上传对象至OBS桶。 部分加密:指对OBS桶内上传的部分对象进行加密。 此时不需要对OBS桶进行加密,直接上传对象到OBS桶并进行加密配置。具体操作请参见上传对象至OBS桶。 图1 加密OBS
-
上传对象至OBS桶 在OBS管理控制台桶列表中,单击待操作的桶,进入“概览”页面。 在左侧导航栏,单击“对象”。 单击“上传对象”,系统弹出“上传对象”对话框。 单击“添加文件”,选择待上传的文件后,单击“打开”。 在服务端加密行,选择目标加密方式,选择完成后,在下方的选择框中选择默认密钥或者自定义密钥,如图6所示。 图6 加密上传对象(已开启OBS桶加密) 开启OBS桶加密后,上传对象时默认开启继承桶的加密配置。 如果需要修改加密配置,需要手动关闭“继承桶的加密配置”选项,根据使用需求选择SSE-KMS或SSE-OBS加密方式。 图7 加密上传对象(未开启OBS桶加密) 未开启OBS桶加密在上传对象时需要手动开启服务端加密。 对象上传成功后,可在对象列表中查看对象的加密状态。 对象的加密状态不可以修改。 使用中的密钥不可以删除,如果删除将导致加密对象不能下载。
-
应用原理 通过
统一身份认证 服务(
IAM )为弹性云服务器(E
CS )配置委托,以获取临时访问密钥,从而保护Access Key(AK)和Secret Key(SK)的安全。 访问凭证按照时效性可分为永久凭证和临时凭证,相较于永久性访问凭证,例如用户名和密码,临时访问密钥因为有效期短且刷新频率高,所以安全性更高。因此,您可以为ECS实例授予IAM委托,使ECS实例内的应用程序可以使用临时AK&SK+SecurityToken访问C
SMS ,不需要保存临时访问密钥,每次需要时动态获取,也可以缓存在内存里定时更新。
-
原理介绍 华为云服务基于信封加密技术,通过调用KMS接口来加密云服务资源。由用户管理自己的用户主密钥,华为云服务在拥有用户授权的情况下,使用用户指定的用户主密钥对数据进行加密。 图1 华为云服务使用KMS加密原理 加密流程说明如下: 用户需要在KMS中创建一个用户主密钥。 华为云服务调用KMS的“create-datakey”接口创建数据加密密钥。得到一个明文的数据加密密钥和一个密文的数据加密密钥。 密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。 华为云服务使用明文的数据加密密钥来加密明文文件,得到密文文件。 华为云服务将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。 用户通过华为云服务下载数据时,华为云服务通过KMS指定的用户主密钥对密文的数据加密密钥进行解密,并使用解密得到的明文的数据加密密钥来解密密文数据,然后将解密后的明文数据提供给用户下载。
-
使用KMS加密云硬盘(控制台) 登录管理控制台。 单击页面右上角“购买磁盘”,进入“购买磁盘”页面。 配置“加密”参数。 展开“更多”,出现“加密”勾选框。 图1 展开更多 创建委托。 勾选“加密”,如果当前未授权EVS访问KMS,则会弹出“创建委托”对话框,单击“是”,授权EVS访问KMS,当授权成功后,EVS可以获取KMS密钥用来加解密云硬盘。 当您需要使用云硬盘加密功能时,需要授权EVS访问KMS。如果您有授权资格,则可直接授权。如果权限不足,需先联系拥有“Security Administrator”权限的用户授权,然后再重新操作。 勾选“加密”,出现“加密设置”页面。 图2 “加密设置”页面。 在KMS加密行选择密钥输入方式。 从KMS密钥中选择 单击密钥名称所在行的,选择用于数据加密的密钥名称。 密钥名称是密钥的标识,您可以选择使用的密钥如下: 默认密钥:成功授权EVS访问KMS,系统会创建默认密钥“evs/default”。 自定义密钥:即您已有的密钥或者新创建密钥,具体请参见创建密钥。 用户可单击密钥名称所在行的“查看密钥列表”查看密钥。 单击“确定”,完成加密配置。 输入KMS密钥ID 图3 输入KMS密钥ID页面 在输入密钥行输入用于数据加密的密钥ID。 单击“确定”,完成加密配置。 完成其他参数配置后,单击“立即购买”,完成EVS服务端加密配置。
-
用户权限说明 安全管理员(拥有“Security Administrator”权限)可以直接授权EVS访问KMS,使用加密功能。 普通用户(没有“Security Administrator”权限)使用加密功能时,根据该普通用户是否为当前区域或者项目内第一个使用加密特性的用户,作如下区分: 是,即该普通用户是当前区域或者项目内第一个使用加密功能的,需先联系安全管理员进行授权,然后再使用加密功能。 否,即区域或者项目内的其他用户已经使用过加密功能,该普通用户可以直接使用加密功能。 对于一个租户而言,同一个区域内只要安全管理员成功授权EVS访问KMS,则该区域内的普通用户都可以直接使用加密功能。 如果当前区域内存在多个项目,则每个项目下都需要安全管理员执行授权操作。
-
SSH密钥对 SSH密钥对是一种用于加密和验证网络连接的安全协议。它由两个部分组成:私钥和公钥。 私钥是一个加密的文件,只有持有者可以访问它。 公钥是一个非加密的文件,可以与任何人共享。当一个用户想要连接到另一个用户的计算机时,可以使用公钥来加密消息,并使用私钥来解密消息。 这种加密方式比传统的密码验证更安全,因为私钥只有持有者可以访问,而公钥可以在不暴露私钥的情况下共享。 关于密钥对的更多信息,请参见密钥对管理。
-
对称密钥加密 对称密钥加密又称专用密钥加密。信息的发送方和接收方使用相同密钥去加密和解密数据。 优点:加密和解密速度快。 缺点:每对密钥需保持唯一性,所以用户量大时密钥管理困难。 适用场景:加密大量数据。 加密过程:假设有一个明文消息“Hello”,发送方使用对称密钥(例如“key123”)通过某种对称加密算法(如AES)将“Hello”加密为密文,比如“#%&*”。接收方收到这个密文后,使用相同的密钥“key123”和相同的算法(AES)将密文“#%&*”解密回明文“Hello”。 更多信息请参见密钥概述。
-
非对称密钥加密 非对称密钥加密又称公开密钥加密。它需要使用一对密钥来分别完成加密和解密的操作,一个公开发布,即公开密钥,另一个由用户自己秘密保存,即私用密钥。 优点:加密和解密使用密钥不同,所以安全性高。 缺点:加密和解密速度较慢。 适用场景:对敏感信息加密。 加密过程:假设发送方要给接收方发送消息“秘密计划”。发送方获取接收方的公钥(假设为“public_key_A”),使用该公钥将“秘密计划”加密为密文“@#$%^&”。接收方收到密文后,使用自己的私钥(假设为“private_key_A”)将密文解密为明文“秘密计划”。即使其他人获取了公钥,也无法解密密文,因为他们没有对应的私钥。 更多信息请参见密钥概述。
