Escenarios de aplicación
Prerrequisitos
Todas las CMK mencionadas en esta sección son claves simétricas. Para obtener más información sobre las claves simétricas y las claves asimétricas, consulte Descripción general de clave.
Cifrado y descifrado de datos pequeños
Puede utilizar la herramienta en línea en la consola de KMS o llamar a las API de KMS para cifrar o descifrar directamente una pequeña cantidad de datos, como contraseñas, certificados o números de teléfono. Actualmente, un máximo de 4 KB de datos pueden ser cifrados o descifrados de esta manera.
Figura 1 muestra un ejemplo sobre cómo llamar a las API para cifrar y descifrar un certificado HTTPS.
- Crear un CMK en KMS.
- Llame a la API encrypt-data de KMS y use el CMK para cifrar el certificado de texto sin formato.
- Implemente el certificado en un servidor.
- El servidor llama a la API de decrypt-data de KMS para descifrar el certificado de texto cifrado.
Cifrado y descifrado de datos grandes
Si desea cifrar o descifrar grandes volúmenes de datos, como imágenes, vídeos y archivos de base de datos, puede utilizar el método de encriptación de envolvente, donde los datos no es necesario transferirse a través de la red.
- Figura 2 ilustra el proceso para cifrar un archivo local.
Siga el siguiente procedimiento:
- Crear un CMK en KMS.
- Llama a la API create-datakey y de KMS para crear un DEK. Luego obtienes un DEK de texto plano y un DEK de texto cifrado. El DEK de texto cifrado se genera cuando se utiliza un CMK para cifrar el DEK de texto sin formato.
- Utilice el DEK de texto sin formato para cifrar el archivo. Se genera un archivo de texto cifrado.
- Guarde el DEK de texto cifrado y el archivo de texto cifrado juntos en un dispositivo de almacenamiento persistente o un servicio de almacenamiento.
- Figura 3 ilustra el proceso para descifrar un archivo local.
Siga el siguiente procedimiento:
- Obtenga el DEK y el archivo de texto cifrado del dispositivo de almacenamiento persistente o del servicio de almacenamiento.
- Llame a la API de decrypt-datakey de KMS y use el CMK correspondiente (el utilizado para cifrar el DEK) para descifrar el DEK de texto cifrado. Luego obtienes el DEK de texto sin formato.
Si se elimina el CMK, el descifrado falla. Por lo tanto, mantenga correctamente sus CMK.
- Utilice el DEK de texto sin formato para descifrar el archivo de texto cifrado.
Enlaces útiles
Documento |
Enlace |
---|---|
Prácticas mejores |
|
Ejemplo de API |