云服务器内容精选
-
密钥管理 表1 密钥管理 功能 服务内容 密钥全生命周期管理 创建、查看、启用、禁用、计划删除、取消删除自定义密钥 修改自定义密钥的别名和描述 用户自带密钥 导入密钥、删除密钥材料 小数据加解密 在线工具加解密小数据 签名验签 消息或消息摘要的签名、签名验证 说明: 仅支持通过API调用。 密钥标签 添加、搜索、编辑、删除标签 密钥轮换 开启、修改、关闭密钥轮换周期 密钥授权 创建、撤销、查询授权 退役授权 说明: 仅支持通过API调用。 密钥区域性 跨区域创建副本密钥 云服务加密 对象存储服务OBS加密 云硬盘服务EVS加密 镜像服务IMS加密 弹性文件服务SFS加密(SFS文件系统加密) 弹性文件服务SFS加密(SFS Turbo文件系统加密) 云数据库RDS(MySQL、PostgreSQL、SQL Server引擎)加密 文档数据库服务DDS加密 数据仓库服务DWS加密 数据加密密钥管理 创建、加密、解密数据加密密钥 说明: 仅支持通过API调用。 生成硬件真随机数 生成512bit的随机数,为加密系统提供基于硬件真随机数的密钥材料和加密参数 说明: 仅支持通过API调用。 消息认证码 生成、验证消息认证码 说明: 仅支持通过API调用。 密钥库管理 创建、禁用、删除密钥库
-
修订记录 发布日期 修改说明 2024-01-08 第三十三次正式发布。 新增常见问题密钥管理服务支持离线加解密数据吗? 2023-11-30 第三十二次正式发布。 新增常见问题副本密钥如何收费? 新增常见问题如何使用非对称密钥对公钥对签名结果进行验签? 新增常见问题外部导入的密钥支持轮转吗? 新增常见问题为什么配置了数据加密服务的权限没有立即生效? 2023-08-04 第三十次正式发布。 新增常见问题3.3.2-哪些区域支持KPS配额管理? 2023-07-10 第二十九次正式发布。 新增常见问题账号密钥首次创建、首次升级时系统报错如何处理? 新增常见问题如何开通公网访问专属加密实例? 2023-06-30 第二十八次正式发布。 修改绑定密钥对失败如何处理?替换密钥对失败如何处理?重置密钥对失败如何处理?解绑密钥对失败如何处理?章节,补充可能执行失败原因为弹性云服务器设置了防火墙规则。 2023-03-21 第二十七次正式发布。 新增常见问题进行SM2签名时,如何计算SM3摘要? 新增常见问题调用encrypt-data接口,返回的密文和明文有什么关系? 删除 常见问题为什么“北京四”区域的密钥产生了费用? 2023-01-01 第二十六次正式发布。 新增 常见问题为什么“北京四”区域的密钥产生了费用?弹性云服务器设置了防火墙规则 2022-10-28 第二十五次正式发布。 修改如何修补OpenSSL以使用-id-aes256-wrap-pad包装非对称密钥?章节,优化修补命令。 2022-09-14 第二十四次正式发布。 新增常见问题加密机是否支持明文通信?。 2022-08-26 第二十三次正式发布。 新增常见问题为什么凭据版本状态不能删除?。 新增常见问题计划删除的凭据是否还计费?。 2022-08-18 第二十二次正式发布。 新增常见问题什么是私有密钥对和账号密钥对?。 2022-08-10 第二十一次正式发布。 新增常见问题请求KMS异常,错误码401,应该如何处理?。 2021-10-26 第二十次正式发布。 修改计费类章节,优化计费描述。 2021-09-02 第十九次正式发布。 优化“密钥对管理类”章节。 新增常见问题如何修补OpenSSL以使用-id-aes256-wrap-pad包装非对称密钥? 新增常见问题如何修补GmSSL以使用-sms4-wrap-pad包装非对称密钥? 2020-12-17 第十八次正式发布。 修改常见问题如何获取身份识别卡(Ukey)?。 2020-08-19 第十七次正式发布。 修改常见问题密钥对是否支持多用户共享?。 2020-04-17 第十六次正式发布。 新增常见问题数据加密服务支持通过哪些方式进行使用?。 2020-03-10 第十五次正式发布。 新增以下常见问题: 默认密钥如何生成? 密钥对在创建主机成功之后可以更改吗? 密钥对是否支持多用户共享? 如何获取密钥对的私钥或公钥文件? 专属加密采用的是什么云加密机? 专属加密是否支持切换密码机? 专属加密的设备是哪个厂商的? 专属加密支持哪些接口? 数据加密服务是否可跨账号使用? 2020-01-14 第十四次正式发布。 新增常见问题替换密钥对后,服务器需要重启吗?。 2019-09-26 第十三次正式发布。 修改常见问题什么是区域和可用区?。 2019-08-26 第十二次正式发布。 新增常见问题什么是区域和可用区?。 2019-07-12 第十一次正式发布。 新增以下常见问题: 如何为数据加密服务续费? 如何退订数据加密服务? 2019-05-27 第十次正式发布。 新增以下常见问题: 计划删除的密钥是否还计费? 绑定密钥对失败如何处理? 替换密钥对失败如何处理? 重置密钥对失败如何处理? 解绑密钥对失败如何处理? 私钥不慎遗失怎么办? 如何转换私钥文件格式? DEW采用的是什么加解密算法? 删除以下常见问题: 重置、替换、解绑或者绑定密钥对需要满足的条件? 对ECS进行密钥对的绑定、重置或者替换操作时,失败怎么处理? 如何将“.ppk”格式的私钥文件转化为“.pem”格式? 哪些区域提供DEW服务? 2019-03-06 第九次正式发布。 新增常见问题什么是配额?。 2018-09-18 第八次正式发布。 新增以下常见问题: 什么是专属加密? 如何获取身份识别卡(Ukey)? 专属加密如何保障密钥生成的安全性? 机房管理员是否有超级管理权限,在机房插入特权Ukey窃取信息? 2018-05-17 第七次正式发布。 新增以下常见问题: 重置、替换、绑定或者解绑密钥对需要满足的条件? 解绑密钥对后,如果没有密码和密钥对登录ECS,该如何处理? 如何将“.ppk”格式的私钥文件转化为“.pem”格式? 2018-04-30 第六次正式发布。 新增常见问题:什么默认主密钥? 2018-04-12 第五次正式发布。 新增以下常见问题: 绑定密钥对后,如何重新开启密码方式登录? 对ECS进行密钥对的绑定、重置或者替换操作时,失败怎么处理? 2018-03-30 第四次正式发布。 新增以下常见问题: 如果用户主密钥被彻底删除,用户数据是否还可以解密? 如何创建密钥对? 导入通过PuTTYgen工具创建的密钥对失败如何处理? 使用IE9浏览器无法导入密钥对,该如何处理? 是否可以更新KMS管理的密钥? 如何使用SSH密钥对方式登录Linux弹性云服务器? 如何通过SSH密钥对的私钥文件获取Windows弹性云服务器的登录密钥? 2018-02-01 第三次正式发布。 新增“如果用户主密钥被彻底删除,用户数据是否还可以解密?”。 2017-11-16 第二次正式发布。 新增以下常见问题: KMS提供了哪些功能? 华为云服务如何使用KMS加密数据? 信封加密方式有什么优势? 自定义密钥与默认密钥有什么区别? 在KMS中创建的自定义密钥的个数是否有限制? KMS中创建的用户主密钥长度是多少? 是否可以从KMS中导出用户主密钥? 2016-08-25 第一次正式发布。
-
修订记录 发布日期 修改说明 2024-05-17 第十四次正式发布。 修改“OBS服务端加密”。 2024-03-28 第十三次正式发布。 新增“如何使用凭据管理服务自动轮转安全密码”。 2024-01-08 第十二次正式发布。 新增“通过函数工作流轮转IAM凭证”。 2023-11-30 第十一次正式发布。 新增“如何使用KMS对文件进行完整性保护”。 2023-10-30 第十次正式发布。 新增“CCE服务端使用凭据管理服务”。 修改部分示例代码。 2023-03-15 第九次正式发布。 新增“使用加密SDK进行本地文件加解密”。 新增“跨Region容灾加解密”。 2023-03-03 第八次正式发布。 新增“ECS服务端加密”。 2022-12-13 第七次正式发布。 新增“使用指数退避方法对DEW服务请求错误进行重试”。 2022-11-11 第六次正式发布。 新增“如何使用凭据管理服务解决AK&SK泄露问题”。 “应用程序使用凭据管理服务登录数据库”修改为“如何使用凭据管理服务替换硬编码的数据库账号密码”。 2022-03-11 第五次正式发布。 新增“应用程序使用凭据管理服务登录数据库”和“如何轮换凭据”。 2021-09-30 第四次正式发布。 新增“加解密大量数据”。 2020-04-03 第三次正式发布。 更新界面截图。 2019-07-30 第二次正式发布。 新增DWS数据库加密。 2019-07-02 第一次正式发布。
-
应用原理 通过统一身份认证服务(Identity and Access Management,IAM )对弹性云服务器(Elastic Cloud Server,ECS)的委托获取临时访问密钥来保护AK&SK。 访问凭证按照时效性可分为永久凭证和临时凭证,相较于永久性访问凭证,例如用户名和密码,临时访问密钥因为有效期短且刷新频率高,所以安全性更高。因此,您可以为ECS实例授予IAM委托,使ECS实例内的应用程序可以使用临时AK&SK+SecurityToken访问CSMS,不需要保存临时访问密钥,每次需要时动态获取,也可以缓存在内存里定时更新。
-
前提条件 弹性云服务器的状态处于“运行中”或者“关机”状态。 弹性云服务器未绑定密钥对。 待重置密钥对的弹性云服务器使用的是华为云提供的公共镜像。 执行密钥对绑定操作是通过修改服务器的“/root/.ssh/authorized_keys”文件的方式来写入用户公钥。请确保重置密钥对前,该文件没有被修改过,否则,绑定密钥对会失败。 弹性云服务器安全组SSH端口(默认22)需对网段100.125.0.0/16提前放通。
-
约束条件 如果用户未设置登录弹性云服务器的密码,或者忘记登录密码,可以到弹性云服务器管理控制台重置该弹性云服务器的登录密码,详细信息请参见《弹性云服务器用户指南》。 当用户创建弹性云服务器使用的是“密钥对方式”登录时,用户解绑密钥对后,如果需要重新绑定密钥对,需要关机重新绑定密钥对。 为了能正常登录弹性云服务器,解绑密钥对后,请在弹性云服务器界面及时重置密码,详细信息请参见《弹性云服务器用户指南》。
-
共享 基于资源访问管理(Resource Access Manager,简称RAM)服务,资源所有者可以依据最小权限原则和不同的使用诉求,选择不同的共享权限,资源使用者只能对资源进行权限内的访问,保证共享资源在满足资源使用者业务诉求的同时,提升资源管理的安全性。关于RAM服务的更多信息请参见什么是资源访问管理。 当您的账号由华为云组织管理时,您还可以利用此优势更轻松地共享资源。如果您的账号在组织中,则您可以与单个账号共享,也可以与组织或OU中的所有账号共享,而不必枚举每个账号,具体请参见启用与组织共享资源。 共享VPC 更新共享 退出共享
-
使用场景 以最基础的数据库用户名及密码管理为示例,为您介绍凭据管理服务基本的使用场景。 使用场景:管理员角色负责存入、更新凭据值的操作,使用者通过第三方应用服务获取所需的凭据值,具体使用流程如图 凭据登录流程所示。 图1 凭据登录流程 流程说明如下: 您首先需要在凭据管理服务中使用控制台或者API创建一个凭据,用来存储数据库的相关信息(例如:数据库地址、端口、密码)。 当您使用应用程序访问数据库时,凭据管理服务会去查询管理员通过步骤1所创建的凭据内存储的内容。 凭据管理服务检索并解密凭据密文,将凭据中保存的信息通过凭据管理API安全地返回到应用程序中。 应用程序获取到解密后的凭据明文信息,使用这些安全的信息访问数据库。 父主题: 凭据管理
-
OBS服务端加密 用户使用OBS(Object Storage Service,OBS)服务端加密方式上传时,可以选择“SEE-KMS加密”,从而使用KMS提供的密钥来加密上传的文件,如图1所示。更多信息请参见《对象存储服务控制台指南》。 图1 OBS服务端加密 可供选择的用户主密钥包含以下两种: KMS为使用OBS的用户创建一个默认密钥“obs/default”。 用户通过KMS界面创建的自定义密钥。 SM4加密算法仅支持华北-乌兰察布一区域。 用户也可以通过调用OBS API接口,选择服务端加密SSE-KMS方式(SSE-KMS方式是指OBS使用KMS提供的密钥进行服务端加密)上传文件,详情请参考《对象存储服务API参考》。 父主题: 使用KMS加密的云服务
-
与华为云服务配合使用 华为云服务基于信封加密技术,通过调用KMS的接口来加密云服务资源。由用户管理自己的自定义密钥,华为云服务在拥有用户授权的情况下,使用用户指定的自定义密钥对数据进行加密。 图1 华为云服务使用KMS加密原理 加密流程说明如下: 用户需要在KMS中创建一个自定义密钥。 华为云服务调用KMS的“create-datakey”接口创建数据加密密钥。得到一个明文的数据加密密钥和一个密文的数据加密密钥。 密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。 华为云服务使用明文的数据加密密钥来加密明文文件,得到密文文件。 华为云服务将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。 用户通过华为云服务下载数据时,华为云服务通过KMS指定的自定义密钥对密文的数据加密密钥进行解密,并使用解密得到的明文的数据加密密钥来解密密文数据,然后将解密后的明文数据提供给用户下载。 表1 使用KMS加密的云服务列表 服务名称 如何使用 对象存储服务 对象存储服务支持普通方式和服务端加密方式上传和下载对象。当用户使用服务端加密方式上传对象时,数据会在服务端加密成密文后安全地存储在对象存储服务中;用户下载加密对象时,存储的密文会先在服务端解密为明文,再提供给用户。对象存储服务支持KMS托管密钥的服务端加密方式(即SSE-KMS加密方式),该加密方式是通过KMS提供密钥的方式进行服务端加密。 用户如何使用对象存储服务的SSE-KMS加密方式上传对象,具体操作请参见《对象存储服务控制台指南》。 云硬盘 在创建云硬盘时,用户启用云硬盘的加密功能,系统将使用用户主密钥产生的数据密钥对磁盘进行加密,则在使用该云硬盘时,存储到云硬盘的数据将会自动加密。 用户如何使用云硬盘加密功能,具体操作请参见《云硬盘用户指南》 。 镜像服务 用户通过外部镜像文件创建私有镜像时,可启用私有镜像加密功能,选择KMS提供的用户主密钥对镜像进行加密。 用户如何使用镜像服务的私有镜像加密功能,具体操作请参见《镜像服务用户指南》 。 弹性文件服务 用户通过弹性文件服务创建文件系统时,选择KMS提供的用户主密钥对文件系统进行加密,当使用该文件系统时,存储到文件系统的文件将会自动加密。 用户如何使用弹性文件服务的文件系统加密功能,具体操作请参见《弹性文件服务用户指南》。 云数据库RDS 在购买数据库实例时,用户启用数据库实例的磁盘加密功能,选择KMS提供的用户主密钥对数据库实例的磁盘进行加密,选择磁盘加密后会提高数据的安全性。 用户如何使用云数据库RDS的磁盘加密功能,具体操作请参见《云数据库RDS用户指南》。 文档数据库服务 在购买文档数据库实例时,用户启用文档数据库实例的磁盘加密功能,选择KMS提供的用户主密钥对文档数据库实例的磁盘进行加密,选择磁盘加密后会提高数据的安全性。 用户如何使用文档数据库的磁盘加密功能,具体操作请参见《文档数据库服务快速入门》。
-
与用户的应用程序配合使用 当您的应用程序需要对明文数据进行加密时,可通过调用KMS的接口来创建数据加密密钥,再使用数据加密密钥将明文数据进行加密,得到密文数据并进行存储。同时,用户的应用程序调用KMS的接口创建对应用户主密钥,对数据加密密钥进行加密,得到密文的数据加密密钥并进行存储。 基于信封加密技术,用户主密钥存储在KMS中,用户的应用程序只存储密文的数据加密密钥,仅在需要使用时调用KMS解密数据加密密钥。 加密流程说明如下: 应用程序调用KMS的“create-key”接口创建一个自定义密钥。 应用程序调用KMS的“create-datakey”接口创建数据加密密钥。得到一个明文的数据加密密钥和一个密文的数据加密密钥。 密文的数据加密密钥是由1创建的用户主密钥加密明文的数据加密密钥生成的。 应用程序使用明文的数据加密密钥来加密明文文件,生成密文文件。 应用程序将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。 具体操作请参见《数据加密服务API参考》。
-
获取Windows操作系统弹性云服务器的登录密码 如果用户购买的是Windows操作系统的弹性云服务器,需要使用密钥对的私钥获取登录密码,详细信息请参见《弹性云服务器用户指南》。 购买弹性云服务器时,可供选择的密钥对包含以下两种: 用户通过云服务器控制台界面创建或者导入密钥对。 用户通过密钥对管理服务(Key Pair Service, KPS)界面创建或者导入密钥对。 两种密钥对没有区别,只是导入的渠道不同。
-
与统一身份认证服务的关系 统一身份认证服务(Identity and Access Management, IAM)为数据加密服务供了权限管理的功能。 需要拥有KMS Administrator权限的用户才能使用DEW服务。 需要同时拥有KMS Administrator和Server Administrator权限的用户才能使用密钥对管理功能。 如需开通该权限,请联系拥有Security Administrator权限的用户,详细内容请参考《统一身份认证服务用户指南》。
-
与云审计服务的关系 云审计服务(Cloud Trace Service,CTS)记录数据加密服务相关的操作事件,方便用户日后的查询、审计和回溯,具体请参见《云审计服务用户指南》。 表1 云审计服务支持的KMS操作列表 操作名称 资源类型 事件名称 创建密钥 cmk createKey 创建数据密钥 cmk createDataKey 创建不含明文数据密钥 cmk createDataKeyWithoutPlaintext 启用密钥 cmk enableKey 禁用密钥 cmk disableKey 加密数据密钥 cmk encryptDatakey 解密数据密钥 cmk decryptDatakey 计划删除密钥 cmk scheduleKeyDeletion 取消计划删除密钥 cmk cancelKeyDeletion 创建随机数 rng genRandom 修改密钥别名 cmk updateKeyAlias 修改密钥描述 cmk updateKeyDescription 密钥删除风险提示 cmk deleteKeyRiskTips 导入密钥材料 cmk importKeyMaterial 删除密钥材料 cmk deleteImportedKeyMaterial 创建授权 cmk createGrant 退役授权 cmk retireGrant 撤销授权 cmk revokeGrant 加密数据 cmk encryptData 解密数据 cmk decryptData 添加标签 cmk dealUnifiedTags 删除标签 cmk dealUnifiedTags 批量添加标签 cmk dealUnifiedTags 批量删除标签 cmk dealUnifiedTags 开启密钥轮换 cmk enableKeyRotation 修改密钥轮换周期 cmk updateKeyRotationInterval 表2 云审计服务支持的CSMS操作列表 操作名称 资源类型 事件名称 创建凭据 secret createSecret 更新凭据 secret updateSecret 删除凭据 secret forceDeleteSecret 计划删除凭据 secret scheduleDelSecret 取消计划删除凭据 secret restoreSecretFromDeletedStatus 创建凭据状态 secret createSecretStage 更新凭据状态 secret updateSecretStage 删除凭据状态 secret deleteSecretStage 创建凭据版本 secret createSecretVersion 下载凭据备份 secret backupSecret 恢复凭证备份 secret restoreSecretFromBackupBlob 更新凭据版本 secret putSecretVersion 凭据轮转 secret rotateSecret 创建凭据事件 secret createSecretEvent 更新凭据事件 secret updateSecretEvent 删除凭据事件 secret deleteSecretEvent 创建资源标签 secret createResourceTag 删除资源标签 secret deleteResourceTag 表3 云审计服务支持的KPS操作列表 操作名称 资源类型 事件名称 创建或导入SSH密钥对 keypair createOrImportKeypair 删除SSH密钥对 keypair deleteKeypair 导入私钥 keypair importPrivateKey 导出私钥 keypair exportPrivateKey 绑定SSH密钥对 keypair bindKeypair 解绑SSH密钥对 keypair unbindKeypair 清除私钥 keypair clearPrivateKey 表4 云审计服务支持的DHSM操作列表 操作名称 资源类型 事件名称 购买云加密实例 hsm purchaseHsm 实例化云加密实例 hsm createHsm 删除云加密实例 hsm deleteHsm
-
与弹性云服务器的关系 弹性云服务器(Elastic Cloud Server,ECS)是由CPU、内存、操作系统、云硬盘组成的基础的计算组件。弹性云服务器创建成功后,您就可以像使用自己的本地PC或物理服务器一样,在云上使用弹性云服务器。 KPS为ECS提供密钥对的管理控制能力,应用于用户登录弹性云服务器时,对用户身份认证的功能。 Dedicated HSM提供的专属加密实例可以为部署在弹性云服务器内的业务系统加密敏感数据,用户可完全控制密钥的生成、存储和访问授权,保证数据在传输、存储过程中的完整性、保密性。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
