检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Region(KMS_REGION_ID, KMS_ENDPOINT)).withCredential(auth).build(); // 3.获取公钥信息,返回的是PKCS8格式 final ShowPublicKeyRequest showPublicKeyRequest
在左侧导航树中,选择“凭据管理”,进入“凭据管理”页面。 在“创建凭据”页面的“KMS加密”选项中,通过选择或者手动输入方式选择来自共享的KMS密钥。 图3 选择共享密钥 创建密钥对支持选择来自共享的KMS密钥。 创建RDS、DDS、OBS等实例时,支持选择来自共享的KMS密钥,具体操作可参见使用KMS加密的云服务。
用户Token。 通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。 响应参数 状态码: 200 表3 响应Body参数 参数 参数类型 描述 version Version object 凭据版本。 表4 Version 参数 参数类型 描述
获取当前Region需要使用的主密钥ID(KEYID)。 图2 获取主密钥ID 获取当前Region需要使用的终端节点(ENDPOINT)。 图3 获取终端节点 文件加解密。 public class KmsEncryptFileExample { private static
Region(KMS_REGION_ID, KMS_ENDPOINT)).withCredential(auth).build(); // 3.准备待签名的文件 // inFile 待签名的文件 final File inFile = new File("FirstSignFile
withIgnoreSSLVerification(true)).withCredential(auth).build(); // 3.获取公钥信息,返回的是PKCS8格式 final ShowPublicKeyRequest showPublicKeyRequest
的状态。购买后,在计费周期内资源正常运行,此阶段为有效期;当您后续不再进行使用需删除时,进入保留期,保留期结束后即删除相关KMS资源。 图3 按需计费KMS资源生命周期 欠费预警 系统会在每个计费周期后的一段时间对按需计费资源进行扣费。当您的账户被扣为负值时,我们将通过邮件、短信
> 凭据列表”,单击界面左上角“创建凭据”。 进入“创建凭据”页面,完成如下必要参数配置,其余参数保持默认值即可,参数说明请参见表1。 图3 创建轮转凭据 表1 创建轮转凭据必要参数说明 参数 示例 说明 凭据类型 轮转凭据 > RDS凭据 CSMS支持两种凭据类型: 通用凭据:不支持凭据自动轮转。
HSM界面实例化专属加密实例。您需要选择专属加密实例所属的虚拟私有云,以及专属加密实例的功能类型,详细操作请参见激活专属加密实例。 用户 3 分配专属加密实例 安全专家将通过您提供的联系方式与您联系,并确定您订购的专属加密实例是否满足您的业务要求,如果满足要求,安全专家将分配专属加密实例给您。
当用户希望使用自己的密钥材料时,可通过KMS管理控制台,创建密钥材料来源为外部的自定义密钥,并将自己的密钥材料导入该自定义密钥中。 表3 导入的密钥材料与通过KMS创建密钥时自动生成的密钥材料的区别 密钥材料来源 区别 KMS创建的密钥材料 不能手动删除密钥材料。 仅对称密钥支持密钥轮换功能。
作”列,单击“绑定”。 在“绑定密钥对”页面,选择“密钥对”,勾选“关闭密码登录方式”和“我已阅读并同意《密钥对管理服务免责声明》”。 图3 绑定密钥对(关机状态) 单击“确定”,完成密钥对绑定操作。 在左侧导航栏选择“密钥对管理”,选择“云服务器列表”页签。 在目标ECS实例(
加密数据上传至OBS桶 加密SDK通过获取的数据加密密钥,对上传的数据明文进行加密处理,将被加密的对象密文存储到OBS。 解密原理 图3 解密原理 下载对象 通过OBS,下载被加密的对象数据。 解密对象 被加密对象通过加密SDK获取对应的密文数据密钥,通过KMS,进行密文数据
KeypairReadOnlyAccess 数据加密服务中密钥对管理服务(KPS)的查看权限。拥有该权限的用户仅能查看密钥对管理服务(KPS)数据。 系统策略 无 表3 CSMS系统策略 系统角色/策略名称 描述 类别 依赖关系 CSMS FullAccess 数据加密服务中凭据管理服务(CSMS)的所有权
KeypairReadOnlyAccess 数据加密服务中密钥对管理服务(KPS)的查看权限。拥有该权限的用户仅能查看密钥对管理服务(KPS)数据。 系统策略 无 表3 CSMS系统策略 系统角色/策略名称 描述 类别 依赖关系 CSMS FullAccess 数据加密服务中凭据管理服务(CSMS)的所有权
自定义密钥:即您已有的密钥或者新创建密钥,具体请参见创建密钥。 用户可单击密钥名称所在行的“查看密钥列表”查看密钥。 单击“确定”,完成加密配置。 输入KMS密钥ID 图3 输入KMS密钥ID页面 在输入密钥行输入用于数据加密的密钥ID。 单击“确定”,完成加密配置。 完成其他参数配置后,单击“立即购买”,完成EVS服务端加密配置。
面。 单击页面右上角“新建策略”,如果已存在需使用的策略忽略此步骤。 在“新建策略”页面配置参数,参数详情如表 新建策略参数说明所示。 图3 新建策略 表2 新建策略参数说明 参数名称 参数说明 策略名称 输入策略名称。 策略配置方式 选择“可视化视图”。 策略内容 允许:选择“允许”。
resource-path: 资源路径,也即API访问路径。从具体API的URI模块获取,例如“获取用户Token”API的resource-path为“/v3/auth/tokens”。 query-string: 查询参数,是可选部分,并不是每个API都有查询参数。查询参数前面需要带一个“?”,
withCredential(auth).withEndpoint(KMS_ENDPOINT).build(); // 3.组装创建数据密钥请求信息 final CreateDatakeyRequest createDatakeyRequest =
如果“包装密钥”由控制台下载,以下命令中的PublicKey.bin参数请以下载的包装密钥名称wrappingKey_密钥ID进行替换。 表3 使用下载的包装密钥加密生成的密钥材料 包装密钥算法 加密生成的密钥材料 RSAES_OAEP_SHA_256 openssl pkeyutl
请使用正确的签名算法,或者联系技术支持。 400 KMS.0333 The signing algorithm SM2DSA_SM3 not support RAW signing. 签名算法SM2DSA_SM3不支持RAW签名。 请使用正确的签名算法,或者联系技术支持。 400 KMS.0334 The cmk
