Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda> Data Encryption Workshop> Descripción general del servicio> KMS> Escenarios de aplicación
Actualización más reciente 2022-11-03 GMT+08:00
Ver PDF

Escenarios de aplicación

Prerrequisitos

Todas las CMK mencionadas en esta sección son claves simétricas. Para obtener más información sobre las claves simétricas y las claves asimétricas, consulte Descripción general de clave.

Cifrado y descifrado de datos pequeños

Puede utilizar la herramienta en línea en la consola de KMS o llamar a las API de KMS para cifrar o descifrar directamente una pequeña cantidad de datos, como contraseñas, certificados o números de teléfono. Actualmente, un máximo de 4 KB de datos pueden ser cifrados o descifrados de esta manera.

Figura 1 muestra un ejemplo sobre cómo llamar a las API para cifrar y descifrar un certificado HTTPS.

Figura 1 Cifrado y descifrado de un certificado HTTPS
Siga el siguiente procedimiento:
  1. Crear un CMK en KMS.
  2. Llame a la API encrypt-data de KMS y use el CMK para cifrar el certificado de texto sin formato.
  3. Implemente el certificado en un servidor.
  4. El servidor llama a la API de decrypt-data de KMS para descifrar el certificado de texto cifrado.

Cifrado y descifrado de datos grandes

Si desea cifrar o descifrar grandes volúmenes de datos, como imágenes, vídeos y archivos de base de datos, puede utilizar el método de encriptación de envolvente, donde los datos no es necesario transferirse a través de la red.

  • Figura 2 ilustra el proceso para cifrar un archivo local.
    Figura 2 Cifrado de un archivo local
    Siga el siguiente procedimiento:
    1. Crear un CMK en KMS.
    2. Llama a la API create-datakey y de KMS para crear un DEK. Luego obtienes un DEK de texto plano y un DEK de texto cifrado. El DEK de texto cifrado se genera cuando se utiliza un CMK para cifrar el DEK de texto sin formato.
    3. Utilice el DEK de texto sin formato para cifrar el archivo. Se genera un archivo de texto cifrado.
    4. Guarde el DEK de texto cifrado y el archivo de texto cifrado juntos en un dispositivo de almacenamiento persistente o un servicio de almacenamiento.
  • Figura 3 ilustra el proceso para descifrar un archivo local.
    Figura 3 Descifrar un archivo local
    Siga el siguiente procedimiento:
    1. Obtenga el DEK y el archivo de texto cifrado del dispositivo de almacenamiento persistente o del servicio de almacenamiento.
    2. Llame a la API de decrypt-datakey de KMS y use el CMK correspondiente (el utilizado para cifrar el DEK) para descifrar el DEK de texto cifrado. Luego obtienes el DEK de texto sin formato.

      Si se elimina el CMK, el descifrado falla. Por lo tanto, mantenga correctamente sus CMK.

    3. Utilice el DEK de texto sin formato para descifrar el archivo de texto cifrado.

Enlaces útiles

Documento

Enlace

Prácticas mejores

Ejemplo de API
Tema principal: KMS