Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ Data Encryption Workshop/ Descripción general del servicio/ KMS/ Escenarios de aplicación
Actualización más reciente 2024-09-14 GMT+08:00
Ver PDF
Compartir

Escenarios de aplicación

Prerrequisitos

Todas las claves personalizadas mencionadas en esta sección son claves simétricas. Para obtener más información sobre las claves simétricas y las claves asimétricas, consulte Tipos de claves.

Cifrado y descifrado de datos pequeños

Puede utilizar la herramienta en línea en la consola de KMS o invocar a las API de KMS para cifrar o descifrar directamente una pequeña cantidad de datos, como contraseñas, certificados o números de teléfono. Actualmente, un máximo de 4 KB de datos pueden ser cifrados o descifrados de esta manera.

Figura 1 muestra un ejemplo sobre cómo invocar a las API para cifrar y descifrar un certificado HTTPS.

Figura 1 Cifrado y descifrado de un certificado HTTPS
El procedimiento es el siguiente:
  1. Crear un CMK en KMS.
  2. Invocar a la API encrypt-data de KMS y usar el CMK para cifrar el certificado de texto sin formato.
  3. Desplegar el certificado en un servidor.
  4. El servidor invoca a la API de decrypt-data de KMS para descifrar el certificado de texto cifrado.

Cifrado y descifrado de datos grandes

Si desea cifrar o descifrar grandes volúmenes de datos, como imágenes, vídeos y archivos de bases de datos, puede utilizar el método de cifrado envolvente, en el que no es necesario transferir los datos a través de la red.

  • Figura 2 ilustra el proceso para cifrar un archivo local.
    Figura 2 Cifrado de un archivo local
    El procedimiento es el siguiente:
    1. Crear un CMK en KMS.
    2. Invocar a la API create-datakey y de KMS para crear un DEK. Luego obtiene un DEK de texto plano y un DEK de texto cifrado. El DEK de texto cifrado se generó usando una clave personalizada para cifrar el DEK de texto sin formato.
    3. Utilizar el DEK de texto sin formato para cifrar el archivo. Se genera un archivo de texto cifrado.
    4. Guardar el DEK de texto cifrado y el archivo de texto cifrado juntos en un dispositivo de almacenamiento persistente o un servicio de almacenamiento.
  • Figura 3 ilustra el proceso para descifrar un archivo local.
    Figura 3 Descifrar un archivo local
    El procedimiento es el siguiente:
    1. Obtenga el DEK y el archivo de texto cifrado del dispositivo de almacenamiento persistente o del servicio de almacenamiento.
    2. Invoque a la API de decrypt-datakey de KMS y use el CMK correspondiente (el utilizado para cifrar el DEK) para descifrar el DEK de texto cifrado. Luego obtiene el DEK de texto sin formato.

      Si se elimina el CMK, el descifrado falla. Por lo tanto, mantenga correctamente sus CMK.

    3. Utilice el DEK de texto sin formato para descifrar el archivo de texto cifrado.

Enlaces útiles

Documento

Enlace

Prácticas recomendadas

Ejemplo de API
Tema principal: KMS