加解密小量数据

场景说明

当有少量数据（例如：口令、证书、电话号码等）需要加解密时，用户可以通过密钥管理服务（Key Management Service，KMS）界面使用在线工具加解密数据，或者调用KMS的API接口使用指定的用户主密钥直接加密、解密数据。

约束条件

当前支持不大于4KB的小数据加解密。

在线工具加解密

• 加密数据

1. 登录DEW服务控制台。
2. 单击管理控制台左上角，选择区域或项目。
3. 单击目标自定义密钥的名称，进入密钥信息页面后，单击“工具”页签。
4. 在“加密”文本框中输入待加密的数据，如图1所示。
   图1 加密数据
   

5. 单击“执行”，在“加解密结果”栏显示加密后的密文数据。
   

   • 加密数据时，使用当前指定的密钥加密数据。
   • 单击“清除”，清除已输入的数据。
   • 在“加密结果”栏，单击拷贝加密后的密文数据，并保存到本地文件中。

• 解密数据

1. 在密钥列表中，单击任意“启用”状态的非默认密钥名称，进入该密钥的在线工具页面。
2. 单击“解密”，在文本框中输入待解密的密文数据，如图2所示。
   

   • 在线工具自动识别并使用数据被加密时使用的密钥解密数据。
   • 如果该密钥已被删除，会导致解密失败。
   图2 解密数据
   

3. 单击“执行”，在“加解密结果”栏显示解密后的密文数据。
   

   • 在“解密结果”栏，单击拷贝解密后的明文数据，并保存到本地文件中。

   • 通过命令行或者API加密的信息，不能包含特殊字符，可能会导致控制台解密结果无法显示。

   • 在控制台输入的明文，会进行base64编码得到加密后的字符。

     如果直接调用API接口进行解密，得到的解密结果是进行了base64编码的内容。需再进行一次base64解码才能得到与控制台输入明文一致的内容。

调用API接口加解密

以保护服务器HTTPS证书为例，采用调用KMS的API接口方式进行说明，如图3所示。

图3 保护服务器HTTPS证书

流程说明如下：

1. 用户需要在KMS中创建一个用户主密钥。
2. 用户调用KMS的加密数据密钥接口，使用指定的用户主密钥将明文证书加密为密文证书。
3. 用户在服务器上部署密文证书。
4. 当服务器需要使用证书时，调用KMS的解密数据密钥接口，将密文证书解密为明文证书。
   

   由于控制台输入的加密原文会经过一次Base64转码后才传至后端，所以当调用API接口解密密文的时候，返回的明文就是加密原文经过Base64转码得到的字符串，故API加密密文后需要调用API进行解密，如果使用控制台解密API加密密文则会产生乱码。