Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda> Data Encryption Workshop> Descripción general del servicio> KMS> Uso de KMS
Actualización más reciente 2022-11-03 GMT+08:00
Ver PDF

Uso de KMS

Prerrequisitos

Todas las CMK mencionadas en esta sección son claves simétricas. Para obtener más información sobre las claves simétricas y las claves asimétricas, consulte Descripción general de clave.

Interactuación con HUAWEI CLOUD Services

HUAWEI CLOUD services utilizan la tecnología de encriptación de sobres y llaman a las API de KMS para cifrar los recursos de servicio. Sus CMK están bajo su propia gestión. Con su concesión,HUAWEI CLOUD services utilizan un CMK específico suyo para cifrar datos.

Figura 1 Cómo Huawei Cloud utiliza KMS para encriptación
El proceso de encriptación es el siguiente:
  1. Crear un CMK en KMS.
  2. Servicios de Huawei Cloud llaman a la API de creación de datos del KMS para crear un DEK. Luego obtienes un DEK de texto plano y un DEK de texto cifrado.

    Los DEK de texto cifrado se generan cuando se utiliza un CMK para cifrar los DEK de texto sin formato.

  3. HUAWEI CLOUD services utilizan el DEK de texto sin formato para cifrar un archivo de texto sin formato, generando un archivo de texto cifrado.
  4. HUAWEI CLOUD services almacenan el DEK de texto cifrado y el archivo de texto cifrado en un dispositivo de almacenamiento persistente o un servicio de almacenamiento.

Cuando los usuarios descargan los datos de un servicio Huawei Cloud, el servicio utiliza el CMK especificado por KMS para descifrar el DEK de texto cifrado, utiliza el DEK descifrado para descifrar los datos y, a continuación, proporciona los datos descifrados para que los usuarios los descarguen.

Tabla 1 Lista de servicios en la nube que utilizan encriptación KMS

Nombre del servicio

Descripción

Object Storage Service (OBS)

Puede cargar objetos y descargarlos desde el Servicio de almacenamiento de objetos (OBS) en modo común o en modo de encriptación del servidor. Cuando carga objetos en modo de encriptación, los datos se cifran en el lado del servidor y luego se almacenan de forma segura en OBS en texto de encriptación. Cuando descarga objetos cifrados, los datos en texto cifrado se descifran en el lado del servidor y luego se le proporcionan en texto sin formato. OBS admite la encriptación del lado del servidor con el modo de claves gestionadas por KMS (SSE-KMS). En el modo SSE-KMS, OBS utiliza las claves proporcionadas por KMS para encriptación del lado del servidor.

Para obtener más información acerca de cómo cargar objetos a OBS en modo SSE-KMS, consulte Object Storage Service Console Operation Guide.

Elastic Volume Service (EVS)

Si habilita la función de encriptación al crear un disco EVS, el disco se cifrará con el DEK generado mediante el CMK. Los datos almacenados en el disco EVS se cifrarán automáticamente.

Para obtener más información acerca de cómo utilizar la función de encriptación de EVS, consulte Guía de usuario de Elastic Volume Service.

Image Management Service (IMS)

Al crear una imagen privada utilizando un archivo de imagen externo, puede activar la función de encriptación de imagen privada y seleccionar un CMK proporcionado por KMS para cifrar la imagen.

Para obtener más información acerca de cómo utilizar la función de encriptación de imagen privada del servicio de administración de imágenes (IMS), consulte Guía de usuario de Image Management Service.

Relational Database Service (RDS)

Al comprar una instancia de base de datos, puede habilitar la función de encriptación de disco de la instancia de base de datos y seleccionar un CMK creado en KMS para cifrar el disco de la instancia de base de datos. Habilitación de la función de encriptación de disco mejorará la seguridad de los datos.

Para obtener más información acerca de cómo utilizar la función de encriptación de disco de RDS, consulte Guía de usuario de Relational Database Service.

Document Database Service (DDS)

Al comprar una instancia DDS, puede habilitar la función de encriptación de disco de la instancia y seleccionar un CMK creado en KMS para cifrar el disco de la instancia. Habilitación de la función de encriptación de disco mejorará la seguridad de los datos.

Para obtener más información acerca de cómo utilizar la función de encriptación de disco de DDS, consulte Guía de usuario de Document Database Service.

Trabajar con aplicaciones de usuario

Para cifrar datos de texto sin formato, una aplicación de usuario puede llamar a la API de KMS necesaria para crear un DEK. El DEK puede usarse entonces para cifrar los datos de texto sin formato. A continuación, la aplicación puede almacenar los datos cifrados. Además, la aplicación de usuario puede llamar a la API de KMS para crear los CMK. Los DEK se pueden almacenar en texto cifrado después de ser cifrados con los CMK.

Se implementa la encriptación de sobres, con CMKs almacenados en KMS y DEKs de texto encriptación en aplicaciones de usuario. KMS es llamado para descifrar un texto cifrado DEK solo cuando es necesario.

El proceso de encriptación es el siguiente:
  1. La aplicación llama a la API create-key de KMS para crear un CMK.
  2. La aplicación llama a la API create-datakey de KMS para crear un DEK. Se generan un DEK de texto sin formato y un DEK de texto cifrado.

    Los DEK de texto cifrado se generan cuando se utiliza un CMK para cifrar los DEK de texto sin formato en 1.

  3. La aplicación utiliza el DEK de texto sin formato para cifrar un archivo de texto sin formato. Se genera un archivo de texto cifrado.
  4. La aplicación guarda el DEK de texto cifrado y el archivo de texto cifrado juntos en un dispositivo de almacenamiento persistente o un servicio de almacenamiento.

Para obtener más información, consulta la Referencia de API de Data Encryption Workshop.

Tema principal: KMS