共享KMS可以用于DEW服务的凭据实例加密、密钥对加密等,也可以用于创建RDS、DDS、OBS实例加密。 前提条件 已给IAM用户授予对应服务的Billing系统策略,详见支持使用共享密钥加密的服务和系统策略。 创建共享KMS资源 登录DEW管理控制台。
手动续费 服务到期前,系统会以短信或邮件的形式提醒您服务即将到期,并提醒您续费。 服务到期后,如果您没有及时续费,资源会进入保留期。 服务到期后,如果没有按时续费,公有云平台会提供一定的保留期,保留期具体时长请参见保留期。
如何退订数据加密服务? 数据加密服务不支持退订。 如果您在使用专属加密时,创建专属加密实例失败,您可以单击创建失败的专属加密实例所在行的“删除”,删除专属加密实例,并以工单的形式申请退款。 相关链接 退订规则说明 不支持退订的云服务产品清单 如何提交工单 父主题: 计费FAQ
DEW服务支持的事件说明 功能说明 事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务,并在事件发生时进行告警。
DEW服务支持的指标说明 功能说明 本节定义了数据加密服务上报云监控的基础监控指标的命名空间,监控指标列表,各项监控指标的具体含义与使用说明,用户可以通过云监控检索数据加密服务产生的监控指标和告警信息。
数据加密服务如何收费和计费? 详细的服务资费和费率标准,请参见产品价格详情。 密钥管理 密钥管理实行按需计费,没有最低费用。用户创建密钥后,密钥会按小时计费。用户需要为自己创建的所有用户主密钥,以及超出免费次数的API请求支付费用。
数据加密服务是否可跨账号使用? 数据加密服务暂不支持跨账号使用,每个用户只能使用并管理自己的密钥、密钥对。 父主题: 产品咨询
没有任何版本状态标识的版本将被视为已弃用,可由凭据管理服务自动删除。 凭据管理服务的每个凭据中最多可支持12个凭据版本状态,每个凭据版本状态同时仅能标识一个凭据版本。SYSCURRENT,SYSPREVIOUS为服务内建的凭据状态。 调用方法 请参见如何调用API。
凭据管理服务检索并解密凭据密文,将凭据中保存的信息通过凭据管理API安全地返回到应用程序中。 应用程序获取到解密后的凭据明文信息,使用新密码更新目标对象(数据库、服务器等),使新密码生效,后续使用新密码对目标对象进行访问。 约束条件 区域已上线凭据管理服务(CSMS)。
用户将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。 解密本地文件流程,如图2所示。 图2 解密本地文件 流程说明如下: 用户从持久化存储设备或服务中读取密文的数据加密密钥和密文文件。
替换密钥对后,服务器需要重启吗? 不需要重启,替换密钥对操作对业务无影响。 父主题: 密钥对管理
云服务:选择“凭据管理服务CSMS”以及“数据加密服务KMS”。 说明: 仅添加CSMS服务权限时,可能会导致接口调用KMS失败。 需要逐个服务添加策略,完成所有策略内容选项的配置后,单击“添加权限”可再添加其他服务的策略内容。 操作:选择您的读写权限。
密钥管理服务支持离线加解密数据吗? 正常来说,密钥管理服务提供小数据加解密的公开API“encrypt-data”和“decrypt-data”。该接口的运算基于密钥管理服务,密钥管理服务对密文进行一定的包装。因此是不支持离线加解密数据的。
状态码 状态码 描述 200 请求已成功 400 请求参数有误 401 被请求的页面需要用户名和密码 403 认证失败 404 资源不存在,资源未找到 500 服务内部错误 502 请求未完成。服务器从上游服务器收到一个无效的响应 504 网关超时 错误码 请参见错误码。
KMS_ENDPOINT: 华为云KMS服务访问终端地址。 认证用的ak和sk直接写到代码中有很大的安全风险,建议在配置文件或者环境变量中密文存放,使用时解密,确保安全。
解决方法 通过云服务控制台访问KMS(如OBS加密):需要开放10.0.0.0/8、11.0.0.0/8、26.0.0.0/8网段。 通过API调用KMS接口:根据访问的源IP地址设置开放。 开放IP地址操作步骤 登录DEW管理控制台。
管理控制台方式 如果用户已注册公有云,可直接登录管理控制台,单击页面左侧的,选择“安全与合规 > 数据加密服务”。 API方式 用户可通过接口方式访问数据加密服务,具体操作请参见《数据加密服务API参考》。
为弹性云服务器绑定密钥对 当用户购买Linux操作系统的弹性云服务器使用的是“密码方式”登录弹性云服务器时,如果用户需要将“密码方式”修改为“密钥对方式”,可通过管理控制台绑定密钥对,KPS将使用密钥对配置弹性云服务器。绑定完成后,用户可直接使用对应的私钥登录该弹性云服务器。
步骤二:为弹性云服务器绑定密钥对 弹性云服务器绑定密钥对(关机状态) 弹性云服务器绑定密钥对(运行中状态) 为弹性云服务器绑定密钥对。 步骤三:使用私钥登录弹性云服务器 绑定密钥对后,通过私钥登录该弹性云服务器。 准备工作 在创建密钥对之前,请先注册华为账号并开通华为云。
审计与日志 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等应用场景。
