-
方案架构 OBS中上传对象的加解密原理说明如下: 加密原理 图2 加密原理 获取加密密钥 通过KMS,生成一个用于加密OBS桶内对象的
数据加密 密钥。 加密数据上传至OBS桶 加密SDK通过获取的数据加密密钥,对上传的数据明文进行加密处理,将被加密的对象密文存储到OBS。 解密原理 图3 解密原理 下载对象 通过OBS,下载被加密的对象数据。 解密对象 被加密对象通过加密SDK获取对应的密文数据密钥,通过KMS,进行密文数据密钥的解密操作,获得被解密后的原始对象。
-
应用场景 KMS可以对OBS桶中的对象进行全量加密或者部分加密,在OBS服务使用KMS加密过程中,KMS提供的信封加密能力使数据加解密操作无需通过网络传输大量数据即可完成。信封加密方式有效保障了数据传输的加密性、数据解密的效率和便捷性,在对象上传和下载过程中,保证信息安全。 全量加密:指对OBS桶内上传的所有对象进行加密。 此时,您只需要对OBS桶加密,桶中上传的对象会默认继承OBS桶的加密配置。具体操作请参见加密OBS桶:创建OBS桶时开启服务端加密功能或者加密OBS桶:为已创建的OBS桶开启加密。 开启OBS桶加密后,上传对象时默认开启“继承桶加密配置”加密方式,此时桶中的对象和OBS桶采用相同的加密方式;如需修改桶中对象的加密方式,需要在上传对象时手动关闭“继承桶加密配置”开关,然后修改。具体操作请参见上传对象至OBS桶。 部分加密:指对OBS桶内上传的部分对象进行加密。 此时不需要对OBS桶进行加密,直接上传对象到OBS桶并进行加密配置。具体操作请参见上传对象至OBS桶。 图1 加密OBS
-
上传对象至OBS桶 在OBS管理控制台桶列表中,单击待操作的桶,进入“概览”页面。 在左侧导航栏,单击“对象”。 单击“上传对象”,系统弹出“上传对象”对话框。 单击“添加文件”,选择待上传的文件后,单击“打开”。 在服务端加密行,选择目标加密方式,选择完成后,在下方的选择框中选择默认密钥或者自定义密钥,如图6所示。 图6 加密上传对象(已开启OBS桶加密) 开启OBS桶加密后,上传对象时默认开启继承桶的加密配置。 如果需要修改加密配置,需要手动关闭“继承桶的加密配置”选项,根据使用需求选择SSE-KMS或SSE-OBS加密方式。 图7 加密上传对象(未开启OBS桶加密) 未开启OBS桶加密在上传对象时需要手动开启服务端加密。 对象上传成功后,可在对象列表中查看对象的加密状态。 对象的加密状态不可以修改。 使用中的密钥不可以删除,如果删除将导致加密对象不能下载。
-
使用KMS加密云硬盘(控制台) 登录管理控制台。 单击页面右上角“购买磁盘”,进入“购买磁盘”页面。 配置“加密”参数。 展开“更多”,出现“加密”勾选框。 图1 展开更多 创建委托。 勾选“加密”,如果当前未授权EVS访问KMS,则会弹出“创建委托”对话框,单击“是”,授权EVS访问KMS,当授权成功后,EVS可以获取KMS密钥用来加解密云硬盘。 当您需要使用云硬盘加密功能时,需要授权EVS访问KMS。如果您有授权资格,则可直接授权。如果权限不足,需先联系拥有“Security Administrator”权限的用户授权,然后再重新操作。 勾选“加密”,出现“加密设置”页面。 图2 “加密设置”页面。 在KMS加密行选择密钥输入方式。 从KMS密钥中选择 单击密钥名称所在行的,选择用于数据加密的密钥名称。 密钥名称是密钥的标识,您可以选择使用的密钥如下: 默认密钥:成功授权EVS访问KMS,系统会创建默认密钥“evs/default”。 自定义密钥:即您已有的密钥或者新创建密钥,具体请参见创建密钥。 用户可单击密钥名称所在行的“查看密钥列表”查看密钥。 单击“确定”,完成加密配置。 输入KMS密钥ID 图3 输入KMS密钥ID页面 在输入密钥行输入用于数据加密的密钥ID。 单击“确定”,完成加密配置。 完成其他参数配置后,单击“立即购买”,完成EVS服务端加密配置。
-
用户权限说明 安全管理员(拥有“Security Administrator”权限)可以直接授权EVS访问KMS,使用加密功能。 普通用户(没有“Security Administrator”权限)使用加密功能时,根据该普通用户是否为当前区域或者项目内第一个使用加密特性的用户,作如下区分: 是,即该普通用户是当前区域或者项目内第一个使用加密功能的,需先联系安全管理员进行授权,然后再使用加密功能。 否,即区域或者项目内的其他用户已经使用过加密功能,该普通用户可以直接使用加密功能。 对于一个租户而言,同一个区域内只要安全管理员成功授权EVS访问KMS,则该区域内的普通用户都可以直接使用加密功能。 如果当前区域内存在多个项目,则每个项目下都需要安全管理员执行授权操作。
-
使用KMS加密云硬盘(控制台) 登录EVS管理控制台。 单击页面右上角“购买磁盘”,进入“购买磁盘”页面。 配置“加密”参数。 展开“更多”,出现“加密”勾选框。 图1 展开更多 创建委托。 勾选“加密”,如果当前未授权EVS访问KMS,则会弹出“创建委托”对话框,单击“是”,授权EVS访问KMS,当授权成功后,EVS可以获取KMS密钥用来加解密云硬盘。 当您需要使用云硬盘加密功能时,需要授权EVS访问KMS。如果您有授权资格,则可直接授权。如果权限不足,需先联系拥有“Security Administrator”权限的用户授权,然后再重新操作。 设置加密参数。 勾选“加密”,如果已经授权,系统弹出“加密设置”对话框。 图2 加密设置 密钥名称是密钥的标识,您可以通过“密钥名称”下拉框选择需要使用的密钥。您可以选择使用的密钥如下: 默认主密钥:成功授权EVS访问KMS,系统会创建默认主密钥“evs/default”。 用户主密钥:即您已有的密钥或者新创建密钥,具体请参见创建密钥。 根据界面提示,配置云硬盘的其他基本信息。详细参数说明请参见购买云硬盘。
-
云硬盘加密的密钥 加密云硬盘使用KMS提供的密钥,包括默认主密钥和用户主密钥 (CMK,Customer Master Key): 默认主密钥:由EVS通过KMS自动创建的密钥,名称为“evs/default”。 默认主密钥不支持禁用、计划删除等操作。 用户主密钥:由用户自己创建的密钥,您可以选择已有的密钥或者新创建密钥,具体请参见创建密钥。 使用用户主密钥加密云硬盘,如果对用户主密钥执行禁用、计划删除等操作,将会导致云硬盘不可读写,甚至数据永远无法恢复,具体请参见表1。 表1 用户主密钥不可用对加密云硬盘的影响 用户主密钥的状态 对加密云硬盘的影响 恢复方法 禁用 如果加密云硬盘此时挂载至云服务器,则该云硬盘仍可以正常使用,但不保证一直可以正常读写。 如果卸载加密云硬盘后,再重新挂载至云服务器将会失败。 启用用户主密钥,具体请参见启用密钥。 计划删除 取消删除用户主密钥,具体请参见取消删除密钥。 已经被删除 云硬盘数据永远无法恢复。 用户主密钥为付费使用,如果为按需计费的密钥,请及时充值确保账户余额充足,如果为包年/包月的密钥,请及时续费,以避免加密云硬盘不可读写导致业务中断,甚至数据永远无法恢复。
-
方式一:通过外部镜像文件创建加密镜像 准备符合平台要求的外部镜像文件。 Windows私有镜像:参考创建Windows私有镜像准备工作完成相关操作。 Linux私有镜像:参考创建Linux私有镜像准备工作完成相关操作。 上传外部镜像文件到OBS个人桶中,请参考上传镜像文件。 创建私有镜像。选择“私有镜像”页签,在页面右上角,单击“创建私有镜像”。 “创建方式”:选择“导入私有镜像”。 “镜像类型”:选择“系统盘镜像”。 “选择镜像文件”:选择步骤 2中保存镜像文件的桶。 “加密”:勾选“KMS加密”。默认为“从KMS密钥中选择”,“密钥名称”默认选择“ims/default”。 其他参数:具体配置详见注册镜像。 图2 加密配置 使用镜像创建弹性云服务器。 请按照通过镜像创建云服务器中的操作指导创建弹性云服务器。 在配置参数时,需要注意以下几点: “区域”:必须选择私有镜像所在的区域。 “规格”:在选择规格时,需要结合镜像的操作系统类型以及弹性云服务器类型与支持的操作系统版本了解支持选择的规格范围。 “镜像”:选择“私有镜像”,并在下拉列表中选择步骤 3中所创建的私有镜像。 (可选)数据盘:添加数据盘,该数据盘使用随系统盘镜像一起创建出来的数据盘镜像来创建,这样便可以将原平台虚拟机的系统盘和数据盘数据一起迁移到当前云平台。
-
资源与成本规划 表1 资源和成本规划 资源 资源说明 每月费用 OBS桶 计费模式:包年/包月 资源包类型:标准存储多AZ包 规格:100G 购买数量:1 具体的计费方式及标准请参考计费说明。 IMS
镜像服务 镜像类型:系统盘镜像 计费模式:免费 免费。具体的计费方式及标准请参考计费说明。 密钥管理服务 计费模式:按需计费 密钥类型:默认密钥。此处为“ims/default” 具体的计费方式及标准请参考计费说明。
-
应用场景 IMS服务端(即镜像),是用于创建服务器或磁盘的模板,分为公共镜像、私有镜像、共享镜像、市场镜像。IMS创建私有镜像时,支持KMS加密,确保IMS服务端镜像数据安全性。 用户可以通过以下两种方式,创建加密镜像: 方式一:通过外部镜像文件创建加密镜像 用户使用OBS桶中已上传的外部镜像文件创建私有镜像,可以在注册镜像时选择KMS加密及密钥完成镜像加密。 方式二:通过加密弹性云服务器创建加密镜像 用户选择弹性云服务器创建私有镜像时,如果该云服务器的系统盘已加密,那么使用该云服务器创建的私有镜像也是加密的。加密镜像使用的密钥和系统盘的密钥保持一致。 本实践为您讲解如何通过KMS提供的默认密钥,为IMS镜像文件加密。
-
方式二:通过加密弹性云服务器创建加密镜像 用户选择弹性云服务器创建私有镜像时,如果该云服务器的系统盘已加密,那么使用该云服务器创建的私有镜像也是加密的。镜像加密使用的密钥为创建该系统盘时使用的密钥。 EVS系统盘加密,详见EVS服务端加密。 购买弹性云服务器,“磁盘类型”选择步骤 1中已加密的系统盘。 创建私有镜像。进入IMS管理控制台,选择“私有镜像”页签,在页面右上角,单击“创建私有镜像”。 “创建方式”:选择“创建私有镜像”。 “镜像类型”:选择“系统盘镜像”。 “选择镜像源”:在“云服务器”列表中,选择步骤 2中购买的弹性云服务器。 其他参数:具体配置详见注册镜像。 图3 创建私有镜像 单击“下一步”,根据界面提示完成操作。
-
约束条件 当前登录用户已通过
统一身份认证 服务添加华为云关系型数据库所在区域的KMS Administrator权限。权限添加方法请参见《统一身份认证服务用户指南》的“如何管理用户组并授权?”章节。 如果用户需要使用自定义密钥加密上传对象,则需要先通过数据加密服务创建密钥。使用数据加密服务创建密钥详情请参见创建密钥。 实例创建成功后,不可修改磁盘加密状态,且无法更改密钥。存放在
对象存储服务 上的备份数据不会被加密。 华为云关系型数据库实例创建成功后,请勿禁用或删除正在使用的密钥,否则会导致服务不可用,数据无法恢复。 选择磁盘加密的实例,新扩容的磁盘空间依然会使用原加密密钥进行加密。
