Uso de KMS
Prerrequisitos
Todas las claves personalizadas mencionadas en esta sección son claves simétricas. Para obtener más información sobre las claves simétricas y las claves asimétricas, consulte Tipos de claves.
Interactuar con servicios de Huawei Cloud
Servicios de Huawei Cloud utilizan la tecnología de encriptación de sobres e invocan a las API de KMS para cifrar los recursos de servicio. Sus CMK están bajo su propia gestión. Con su concesión, servicios de Huawei Cloud utilizan una clave personalizada específica para cifrar datos.
- Cree una clave personalizada en KMS.
- Servicios de Huawei Cloud invocan a la API create-datakey del KMS para crear un DEK. Luego obtiene un DEK de texto plano y un DEK de texto cifrado.
Los DEK de texto cifrado se generan cuando se utiliza un CMK para cifrar los DEK de texto sin formato.
- Servicios de Huawei Cloud utilizan el DEK de texto sin formato para cifrar un archivo de texto sin formato, generando un archivo de texto cifrado.
- Servicios de Huawei Cloud almacenan el DEK de texto cifrado y el archivo de texto cifrado en un dispositivo de almacenamiento persistente o un servicio de almacenamiento.
Cuando los usuarios descargan los datos de un servicio Huawei Cloud, el servicio utiliza la clave personalizada especificada por KMS para descifrar el DEK de texto cifrado, utiliza el DEK descifrado para descifrar los datos y, a continuación, proporciona los datos descifrados para que los usuarios los descarguen.
|
Nombre del servicio |
Descripción |
|---|---|
|
Object Storage Service (OBS) |
Puede cargar objetos y descargarlos desde Object Storage Service (OBS) en modo común o en modo de encriptación del servidor. Cuando carga objetos en modo de encriptación, los datos se cifran en el lado del servidor y luego se almacenan de forma segura en OBS en texto de encriptación. Cuando descarga objetos cifrados, los datos en texto cifrado se descifran en el lado del servidor y luego se le proporcionan en texto sin formato. OBS admite la encriptación del lado del servidor con el modo de claves gestionadas por KMS (SSE-KMS). En el modo SSE-KMS, OBS utiliza las claves proporcionadas por KMS para encriptación del lado del servidor. Para obtener detalles acerca de cómo cargar objetos a OBS en modo SSE-KMS, consulte Guía de operación de consola de Object Storage Service. |
|
Elastic Volume Service (EVS) |
Si habilita la función de encriptación al crear un disco EVS, el disco se cifrará con el DEK generado mediante el CMK. Los datos almacenados en el disco EVS se cifrarán automáticamente. Para obtener detalles sobre cómo utilizar la función de encriptación de EVS, consulte Guía de usuario de Elastic Volume Service. |
|
Image Management Service (IMS) |
Al crear una imagen privada utilizando un archivo de imagen externo, puede activar la función de encriptación de imagen privada y seleccionar un CMK proporcionado por KMS para cifrar la imagen. Para obtener más información acerca de cómo utilizar la función de encriptación de imagen privada del Image Management Service (IMS), consulte Guía de usuario de Image Management Service. |
|
Scalable File Service (SFS) |
Al crear un sistema de archivos en SFS, el CMK proporcionado por KMS se puede seleccionar para cifrar el sistema de archivos, de modo que los archivos almacenados en el sistema de archivos se cifran automáticamente. Para obtener más información acerca de cómo utilizar la función de encriptación del sistema de archivos de SFS, consulte Guía de usuario de Scalable File Service. |
|
Relational Database Service (RDS) |
Al comprar una instancia de base de datos, puede habilitar la función de encriptación de disco de la instancia de base de datos y seleccionar un CMK creado en KMS para cifrar el disco de la instancia de base de datos. Habilitación de la función de encriptación de disco mejorará la seguridad de los datos. Para obtener detalles acerca de cómo utilizar la función de encriptación de disco de RDS, consulte Guía de usuario de Relational Database Service. |
|
Document Database Service (DDS) |
Al comprar una instancia DDS, puede habilitar la función de encriptación de disco de la instancia y seleccionar un CMK creado en KMS para cifrar el disco de la instancia. Habilitación de la función de encriptación de disco mejorará la seguridad de los datos. Para obtener más información acerca de cómo utilizar la función de encriptación de disco de DDS, consulte Pasos iniciales de Document Database Service. |
Trabajar con aplicaciones de usuario
Para cifrar datos de texto sin formato, una aplicación de usuario puede invocar a la API de KMS necesaria para crear un DEK. El DEK puede usarse entonces para cifrar los datos de texto sin formato. A continuación, la aplicación puede almacenar los datos cifrados. Además, la aplicación de usuario puede invocar a la API de KMS para crear los CMK. Los DEK se pueden almacenar en texto cifrado después de ser cifrados con los CMK.
Se implementa la encriptación de sobres, con los CMK almacenados en KMS y los DEK de texto encriptación en aplicaciones de usuario. KMS es invocado para descifrar un texto cifrado DEK solo cuando es necesario.
- La aplicación invoca a la API create-key de KMS para crear una clave personalizada.
- La aplicación invoca a la API create-datakey de KMS para crear un DEK. Se generan un DEK de texto sin formato y un DEK de texto cifrado.
Los DEK de texto cifrado se generan cuando se utiliza un CMK para cifrar los DEK de texto sin formato en 1.
- La aplicación utiliza el DEK de texto sin formato para cifrar un archivo de texto sin formato. Se genera un archivo de texto cifrado.
- La aplicación guarda el DEK de texto cifrado y el archivo de texto cifrado juntos en un dispositivo de almacenamiento persistente o un servicio de almacenamiento.
Para obtener más información, consulte la Referencia de la API de Data Encryption Workshop.
