Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ Data Encryption Workshop/ Prácticas recomendadas/ Key Management Service/ Uso de KMS para cifrar y descifrar datos para servicios en la nube/ Descripción general
Actualización más reciente 2024-09-13 GMT+08:00
Ver PDF
Compartir

Descripción general

KMS es un servicio en la nube seguro, confiable y fácil de usar que ayuda a los usuarios a crear, gestionar y proteger claves de manera centralizada.

Una vez que sus servicios en la nube se integran con KMS, para encriptar los datos en la nube, solo necesita seleccionar una CMK gestionada por KMS para la encriptación.

Puede seleccionar una clave principal predeterminada (DMK) creada automáticamente por un servicio en la nube con KMS, o una clave que haya creado o importado a KMS. Para obtener más detalles, consulte Diferencias entre una CMK y una clave principal predeterminada.

Tabla 1 Servicios en la nube que utilizan la encriptación de KMS

Categoría

Servicio

Modo de encriptación

Cómputo

Elastic Cloud Server (ECS)

Puede encriptar una imagen o un disco de EVS en ECS.

  • Al crear un ECS, si selecciona una imagen cifrada, el disco del sistema del ECS creado automáticamente tendrá habilitado la encriptación, con el mismo modo de encriptación que la de la imagen.
  • Al crear un ECS, puede cifrar los discos de datos agregados.

Image Management Service (IMS)

Encriptación de datos en IMS

Almacenamiento

Object Storage Service (OBS)

Encriptación de datos en OBS

Elastic Volume Service (EVS)

Encriptación de datos en EVS

Volume Backup Service (VBS)

Por lo general, VBS crea copia de respaldo en línea para un único disco de EVS (sistema o disco de datos) del servidor. Si está encriptado, sus datos de respaldo se almacenarán en modo encriptado.

Cloud Server Backup Service (CSBS)

CSBS principalmente crea copia de respaldo de consistencia en línea para todos los discos de EVS del servidor. Las copias de respaldo de CSBS también se mostrarán en la página de VBS. Si está encriptado, sus datos de respaldo se almacenarán en modo encriptado.

Bases de datos

RDS for MySQL

Encriptación de una instancia de BD de RDS

RDS for PostgreSQL

RDS for SQL Server

Document Database Service (DDS)

Encriptación de una instancia de BD de DDS

Proceso de encriptación

Los servicios de Huawei Cloud utilizan la tecnología de encriptación en sobres e invocan a las API de KMS para cifrar los recursos del servicio. Sus CMK están bajo su propia gestión. Con su concesión, los servicios de Huawei Cloud utilizan una CMK específica suya para cifrar datos.

Figura 1 Cómo Huawei Cloud utiliza KMS para encriptación
El proceso de encriptación es el siguiente:
  1. Crear una CMK en KMS.
  2. Un servicio de Huawei Cloud invoca a la API create-datakey del KMS para crear una DEK. Se generan una DEK de texto plano y una DEK de texto cifrado.

    Las DEK de texto cifrado se generan cuando se utiliza una CMK para cifrar las DEK de texto plano.

  3. El servicio de Huawei Cloud utiliza DEK de texto plano para cifrar un archivo de texto plano, generando un archivo de texto cifrado.
  4. El servicio Huawei Cloud guarda la DEK del texto cifrado y el archivo de texto cifrado juntos en un dispositivo de almacenamiento permanente o un servicio de almacenamiento.

Cuando los usuarios descargan los datos del servicio Huawei Cloud, el servicio utiliza la CMK especificada por KMS para descifrar la DEK de texto cifrado, utiliza la DEK descifrada para descifrar los datos y, a continuación, proporciona los datos descifrados para que los usuarios los descarguen.