更新时间:2024-12-17 GMT+08:00
华为云服务如何使用KMS加密数据?
华为云服务(包含OBS、IMS、EVS、SFS和RDS)使用KMS提供的信封加密方式来保护用户的数据。
信封加密方式,是一种加密手段,将加密数据的数据密钥封入信封中存储、传递和使用,不再使用用户主密钥直接加解密数据。
- 用户使用云服务加密数据时,需要指定一个KMS用户主密钥。密钥管理服务会生成一个明文的数据加密密钥(DEK)和一个伴生的密文的数据加密密钥(DEK),明文数据密钥用于服务中存储的数据、文件等内容加密,密文数据加密密钥对明文数据密钥进行加密。完成加密后,被加密的数据文件以及密文数据密钥会存储在对应服务中,如下图所示。
图1 华为云服务使用KMS加密原理
- 用户通过华为云服务下载数据时,华为云服务通过KMS指定的用户主密钥对密文的数据加密密钥进行解密,并使用解密得到的明文的数据加密密钥来解密密文数据,然后将解密后的明文数据提供给用户下载。
父主题: 密钥管理类