使用场景

小数据加密

当有少量数据(例如:口令、证书、电话号码等)需要加解密时,用户可以调用KMS的API接口,使用指定的用户主密钥直接加密、解密数据。当前支持不大于4KB的小数据加解密。

以保护服务器HTTPS证书为例,如图1所示。

图1 保护服务器HTTPS证书
流程说明如下:
  1. 用户需要在KMS中创建一个用户主密钥。
  2. 用户调用KMS的“encrypt-data”接口,使用指定的用户主密钥将明文证书加密为密文证书。
  3. 用户在服务器上部署密文证书。
  4. 当服务器需要使用证书时,调用KMS的“decrypt-data”接口,将密文证书解密为明文证书。

大量数据加密

当有大量数据(例如:照片、视频或者数据库文件等)需要加解密时,用户可采用信封加密方式加解密数据,无需通过网络传输大量数据即可完成数据加解密。

  • 加密本地文件流程,如图2所示。
    图2 加密本地文件
    流程说明如下:
    1. 用户需要在KMS中创建一个用户主密钥。
    2. 用户调用KMS的“create-datakey”接口创建数据加密密钥。用户得到一个明文的数据加密密钥和一个密文的数据加密密钥。其中密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。
    3. 用户使用明文的数据加密密钥来加密明文文件,生成密文文件。
    4. 用户将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。
  • 解密本地文件流程,如图3所示。
    图3 解密本地文件
    流程说明如下:
    1. 用户从持久化存储设备或服务中读取密文的数据加密密钥和密文文件。
    2. 用户调用KMS的“decrypt-datakey”接口,使用对应的用户主密钥(即生成密文的数据加密密钥时所使用的用户主密钥)来解密密文的数据加密密钥,取得明文的数据加密密钥。

      若对应的用户主密钥被误删除,会导致解密失败。因此,需要妥善管理好用户主密钥。

    3. 用户使用明文的数据加密密钥来解密密文文件。

OBS服务端加密

  • 用户使用OBS服务端加密方式上传文件时,可以选择“KMS 加密”,从而使用KMS提供的密钥来加密上传的文件,详细信息请参见《对象存储服务控制台指南》

    可供选择的用户主密钥包含以下三种:

    • KMS为使用OBS的用户创建一个默认主密钥“obs/default”
    • 用户通过KMS Console界面创建的非默认主密钥。
    • 用户通过KMS Console界面导入的密钥。
  • 用户也可以通过调用OBS API接口,选择服务端加密SSE-KMS方式(SSE-KMS方式是指OBS使用KMS提供的密钥进行服务端加密)上传文件,详情请参考《对象存储服务接口参考》

EVS服务端加密

  • 用户购买磁盘时,可以选择“磁盘加密”,使用KMS提供的密钥来加密磁盘上的数据,详细信息请参见《云硬盘用户指南》
    说明:

    当用户需要使用磁盘加密功能时,需要授权云硬盘访问密钥管理服务。如果用户有授权资格,则可直接授权。如果权限不足,需先联系Security Administrator权限用户添加Security Administrator权限,然后重新操作。详细信息请参见《云硬盘用户指南》

    可供选择的用户主密钥包含以下三种:

    • KMS为使用EVS的用户创建一个默认主密钥“evs/default”
    • 用户通过KMS Console界面创建的非默认主密钥。
    • 用户通过KMS Console界面导入的密钥。
  • 用户也可以通过调用EVS API接口购买加密磁盘,详情请参考《云硬盘接口参考》

IMS服务端加密

  • 用户上传镜像文件时,可以选择“KMS加密”,使用KMS提供的密钥来加密上传的文件,详细信息请参见《镜像服务用户指南》

    可供选择的用户主密钥包含以下三种:

    • KMS为使用IMS的用户创建一个默认主密钥“ims/default”
    • 用户通过KMS Console界面创建的非默认主密钥。
    • 用户通过KMS Console界面导入的密钥。
  • 用户也可以通过调用IMS API接口创建加密镜像,详情请参考《镜像服务接口参考》
立即注册华为云