- Descripción general del servicio
-
Guía del usuario
- Key Management Service
- Cloud Secret Management Service
- Key Pair Service
- HSM dedicado
- Gestión de etiquetas
- Registros de auditoría
- Control de permisos
-
Prácticas recomendadas
-
Key Management Service
- Uso de KMS para cifrar datos sin conexión
- Uso de KMS para cifrar y descifrar datos para servicios en la nube
- Uso del SDK de encriptación para cifrar y descifrar datos locales
- Encriptación y descifrado de datos con recuperación ante desastres entre regiones
- Uso de KMS para proteger la integridad de archivos
- Cloud Secret Management Service
- Generales
-
Key Management Service
-
Referencia de la API
- Antes de empezar
- Llamadas a APIs
- Descripción general de la API
-
APIs
- API de gestión de claves
- API de gestión de pares clave
- API de gestión de secreto
- Las API históricas
- Ejemplos de aplicación
- Políticas de permisos y acciones admitidas
- Apéndice
- Historial de cambios
- Pasos iniciales
-
Preguntas frecuentes
-
KMS Relacionados
- ¿Qué es Key Management Service?
- ¿Qué es una clave maestra del cliente?
- ¿Qué es una clave predeterminada?
- ¿Cuáles son las diferencias entre una clave personalizada y una clave predeterminada?
- What Is a Data Encryption Key?
- ¿Por qué no puedo eliminar un CMK inmediatamente?
- ¿Qué servicios en la nube pueden usar KMS para el cifrado?
- ¿Cómo servicios de Huawei Cloud utilizan KMS para cifrar datos?
- ¿Cuáles son los beneficios del cifrado de sobres?
- ¿Hay un límite en el número de claves personalizadas que puedo crear en KMS?
- ¿Puedo exportar un CMK desde KMS?
- ¿Puedo descifrar mis datos si elimino permanentemente mi clave personalizada?
- ¿Cómo uso la herramienta en línea para cifrar o descifrar pequeños volúmenes de datos?
- ¿Puedo actualizar CMK creados por materiales clave generados por KMS?
- When Should I Use a CMK Created with Imported Key Materials?
- ¿Qué debo hacer cuando elimino accidentalmente materiales clave?
- ¿Cómo se generan las claves predeterminadas?
- ¿Qué debo hacer si no tengo permisos para realizar operaciones en KMS?
- ¿Por qué no puedo envolver claves asimétricas usando -id-aes256-wrap-pad en OpenSSL?
- Algoritmos de clave soportados por KMS
- ¿Qué debo hacer si no se ha solicitado KMS y se muestra el código de error 401?
- ¿Cuál es la relación entre el texto cifrado y el texto plano devuelto por la API de encrypt-data?
- ¿Cómo protege KMS mis claves?
- ¿Cómo uso una clave asimétrica para verificar el resultado de la firma de un par de claves públicas?
- ¿Una clave importada admite la rotación?
- Credencial Relacionado
-
KPS Relacionados
- ¿Cómo creo un par de claves?
- ¿Qué son un par de claves privadas y un par de claves de cuenta?
- ¿Cómo puedo manejar un error de importación de un par de claves creado con PuTTYgen?
- ¿Qué debo hacer cuando no puedo importar un par de claves usando Internet Explorer 9?
- ¿Cómo inicio sesión en un ECS de Linux con una clave privada?
- ¿Cómo uso una clave privada para obtener la contraseña para iniciar sesión en un ECS de Windows?
- ¿Cómo puedo manejar la falla en la vinculación de un par de claves?
- ¿Cómo manejo el fallo en la sustitución de un par de claves?
- ¿Cómo puedo manejar la falla en el restablecimiento de un par de claves?
- ¿Cómo puedo manejar el fallo en la desvinculación de un par de claves?
- ¿Necesito reiniciar los servidores después de reemplazar su par de claves?
- ¿Cómo activo el modo de inicio de sesión con contraseña para un ECS?
- ¿Cómo manejo el fallo al iniciar sesión en ECS después de desvincular el par de claves?
- ¿Qué debo hacer si se pierde mi clave privada?
- ¿Cómo convierto el formato de un archivo de clave privada?
- ¿Puedo cambiar el par de claves de un servidor?
- ¿Puede un par de claves ser compartido por varios usuarios?
- ¿Cómo obtengo el archivo de clave pública o privada de un par de claves?
- ¿Qué puedo hacer si se informa de un error cuando se crea o actualiza una clave de cuenta por primera vez?
- ¿Se ocupará la cuota del par de claves de cuenta después de que se actualice un par de claves privadas a un par de claves de cuenta?
-
Relacionado con HSM dedicado
- ¿Qué es el HSM dedicado?
- ¿Cómo garantiza el HSM dedicado la seguridad para la generación de claves?
- ¿El personal de la sala de equipos tiene la función de súper administrador para robar información mediante el uso de un UKey privilegiado?
- ¿Qué HSM se utilizan para HSM dedicado?
- ¿Qué API admite HSM dedicado?
- ¿Cómo habilito el acceso público a una instancia de HSM dedicado?
- Precios
-
General
- ¿Qué funciones proporciona DEW?
- ¿Qué algoritmos de criptografía utiliza DEW?
- ¿En qué regiones están disponibles los servicios DEW?
- What Is a Quota?
- ¿Qué es el mecanismo de asignación de recursos de DEW?
- ¿Qué son las Regiones y las AZ?
- Can DEW Be Shared Across Accounts?
- ¿Cómo accedo a las funciones de DEW?
-
KMS Relacionados
- Actualmente, el contenido no está disponible en el idioma seleccionado. Sugerimos consultar la versión en inglés.
- What's New
- Function Overview
- Billing
- SDK Reference
- Videos
-
More Documents
- User Guide (ME-Abu Dhabi Region)
- User Guide (Paris and Amsterdam Regions)
-
User Guide (Kuala Lumpur Region)
- Service Overview
-
User Guide
- Key Management Service
- Cloud Secret Management Service
- Auditing Logs
- Permission Control
-
FAQs
-
KMS Related
- What Is Key Management Service?
- What Is a Customer Master Key?
- What Is a Default Key?
- What Are the Differences Between a Custom Key and a Default Key?
- What Is a Data Encryption Key?
- Why Cannot I Delete a CMK Immediately?
- Which Cloud Services Can Use KMS for Encryption?
- How Do Cloud Services Use KMS to Encrypt Data?
- What Are the Benefits of Envelope Encryption?
- Is There a Limit on the Number of Custom Keys That I Can Create on KMS?
- Can I Export a CMK from KMS?
- Can I Decrypt My Data if I Permanently Delete My Custom Key?
- How Do I Use the Online Tool to Encrypt or Decrypt Small Volumes of Data?
- Can I Update CMKs Created by KMS-Generated Key Materials?
- When Should I Use a CMK Created with Imported Key Materials?
- What Types of Keys Can I Import?
- What Should I Do When I Accidentally Delete Key Materials?
- How Are Default Keys Generated?
- What Should I Do If I Do Not Have the Permissions to Perform Operations on KMS?
- Why Can't I Wrap Asymmetric Keys by Using -id-aes256-wrap-pad in OpenSSL?
- Key Algorithms Supported by KMS
- What Should I Do If KMS Failed to Be Requested and Error Code 401 Is Displayed?
- What Is the Relationship Between the Ciphertext and Plaintext Returned by the encrypt-data API?
- How Does KMS Protect My Keys?
- Credential Related
-
KMS Related
- Change History
-
API Reference (ME-Abu Dhabi Region)
- Before You Start
- Calling APIs
- API Overview
-
APIs
- Creating a CMK
- Enabling a CMK
- Disabling a CMK
- Scheduling the Deletion of a CMK
- Canceling the Scheduled Deletion of a CMK
- Querying the List of CMKs
- Querying the Information About a CMK
- Creating a Random Number
- Creating a DEK
- Creating a Plaintext-Free DEK
- Encrypting a DEK
- Decrypting a DEK
- Querying the Number of Instances
- Querying the Quota of a User
- Changing the Alias of a CMK
- Changing the Description of a CMK
- Encrypting Data
- Decrypting Data
- Obtaining CMK Import Parameters
- Importing CMK Material
- Deleting CMK Material
- Querying CMK Instances
- Querying CMK Tags
- Querying Project Tags
- Adding or Deleting CMK Tags in Batches
- Adding a CMK Tag
- Deleting a CMK Tag
- Permissions Policies and Supported Actions
- Appendix
- Change History
-
API Reference (Paris and Amsterdam Regions)
- Before You Start
- Calling APIs
- API Overview
-
APIs
- Creating a CMK
- Enabling a CMK
- Disabling a CMK
- Scheduling the Deletion of a CMK
- Canceling the Scheduled Deletion of a CMK
- Querying the List of CMKs
- Querying the Information About a CMK
- Creating a Random Number
- Creating a DEK
- Creating a Plaintext-Free DEK
- Encrypting a DEK
- Decrypting a DEK
- Querying the Number of Instances
- Querying the Quota of a User
- Changing the Alias of a CMK
- Changing the Description of a CMK
- Creating a Grant
- Revoking a Grant
- Retiring a Grant
- Querying Grants on a CMK
- Querying Grants That Can Be Retired
- Encrypting Data
- Decrypting Data
- Obtaining CMK Import Parameters
- Importing CMK Material
- Deleting CMK Material
- Enabling Rotation for a CMK
- Changing the Rotation Interval for a CMK
- Disabling Rotation for a CMK
- Querying the Rotation Status of a CMK
- Appendix
- Change History
-
API Reference (Kuala Lumpur Region)
- Before You Start
- Calling APIs
- API Overview
-
APIs
- Creating a CMK
- Enabling a CMK
- Disabling a CMK
- Scheduling the Deletion of a CMK
- Canceling the Scheduled Deletion of a CMK
- Querying the List of CMKs
- Querying the Information About a CMK
- Creating a Random Number
- Creating a DEK
- Creating a Plaintext-Free DEK
- Encrypting a DEK
- Decrypting a DEK
- Querying the Number of Instances
- Querying the Quota of a User
- Changing the Alias of a CMK
- Changing the Description of a CMK
- Creating a Grant
- Revoking a Grant
- Retiring a Grant
- Querying Grants on a CMK
- Querying Grants That Can Be Retired
- Encrypting Data
- Decrypting Data
- Obtaining CMK Import Parameters
- Importing CMK Material
- Deleting CMK Material
- Enabling Rotation for a CMK
- Changing the Rotation Interval for a CMK
- Disabling Rotation for a CMK
- Querying the Rotation Status of a CMK
- Appendix
- Change History
Copiado.
Creación de un par de claves
Por motivos de seguridad del sistema, se recomienda utilizar el modo de autenticación de par de claves para autenticar al usuario que intenta iniciar sesión en un ECS.
Puede crear un par de claves y usarlo para la autenticación al iniciar sesión en su ECS.
Si ya ha creado un par de claves, no es necesario volver a crear.
Puede crear un par de claves utilizando cualquiera de los métodos siguientes:
- Creación de un par de claves en la consola de gestión
La clave pública se guarda automáticamente en Huawei Cloud. La clave privada se puede descargar y guardar en su host local. También puede guardar sus claves privadas en Huawei Cloud y gestionarlas con KPS en función de sus necesidades. Huawei Cloud utiliza claves de encriptación proporcionadas por KMS para cifrar sus claves privadas para garantizar un almacenamiento y acceso seguros. Para obtener más información, véase Creación de un par de claves mediante la consola de gestión.
NOTA:
- El par de claves creado en la consola de gestión utiliza el algoritmo de encriptación y desencriptación SSH-2 (RSA, 2048).
- Los pares de claves creados por un usuario de IAM en la consola de gestión solo pueden ser utilizados por el usuario. Si varios usuarios de IAM necesitan usar el mismo par de claves, puede crear un par de claves de cuenta.
- Creación de un par de claves con la herramienta PuTTYgen
Tanto la clave pública como la clave privada se pueden almacenar en el host local. Para obtener más información, véase Creación de un par de claves con PuTTYgen.
NOTA:
PuTTYgen es una herramienta para generar claves públicas y privadas. Puede obtener la herramienta de https://www.putty.org/.
Prerrequisitos
Cuando se crea un par de claves de cuenta por primera vez, es necesario obtener un usuario con el rol del sistema Administrador del Tenant.
Creación de un par de claves mediante la consola de gestión
- Inicie sesión en la consola de gestión.
- Haga clic en
en la esquina superior izquierda de la consola de gestión y seleccione una región o proyecto.
- Haga clic en
a la izquierda, elija Security & Compliance > Data Encryption Workshop, se mostrará la página de gestión de claves.
- En el panel de navegación de la izquierda, haga clic en Key Pair Service.
- Haga clic en Create Key Pair.
- En el cuadro de diálogo Create Key Pair, escriba un nombre para el par de claves que se va a crear, como se muestra en Figura 1.
- (Opcional) Seleccione un tipo de par de claves. Si no hay un par de claves habilitado para su cuenta, se creará un par de claves SSH_RSA_2048 por defecto.
NOTA:
Actualmente, solo se puede utilizar el algoritmo RSA con Windows.
- Si desea que se administre su clave privada, lea y confirme I agree to host the private key of the key pair.. Seleccione una clave de encriptación en el cuadro de lista desplegable de KMS encryption. Omita este paso si no necesita gestionar la clave privada.
NOTA:
- KPS utiliza la clave de encriptación proporcionada por KMS para cifrar las claves privadas. Cuando el usuario utiliza la función de encriptación KMS del par de claves, KMS crea automáticamente una clave predeterminada kps/default para la encriptación del par de claves.
- Al seleccionar una clave de encriptación, puede seleccionar una clave de encriptación existente o hacer clic en View Key List para crear una clave de encriptación.
Figura 2 Gestión de claves privadas - Lea el Key Pair Service Disclaimer y seleccione I have read and agree to the Key Pair Service Disclaimer.
- Haga clic en OK. El navegador descarga automáticamente la clave privada. Cuando se descarga la clave privada, se muestra un cuadro de diálogo.
- Guarde la clave privada según lo indique el cuadro de diálogo.
AVISO:
- Si la clave privada no se administra, solo se puede descargar una vez. Guárdelo correctamente. Si se pierde la clave privada, puede vincular un par de claves al ECS nuevamente restableciendo la contraseña o el par de claves. Para obtener más información, consulte ¿Cómo manejo el error al iniciar sesión en ECS después de desvincular el par de claves?
- Si ha autorizado a Huawei Cloud para gestionar la clave privada, puede exportar la clave privada en cualquier momento según sea necesario.
- Después de guardar la clave privada, haga clic en OK. El par de claves se crea correctamente.
Después de crear el par de claves, puede verlo en la lista de pares de claves. La lista muestra información como el nombre del par de claves, la huella dactilar, la clave privada y la cantidad.
Creación de un par de claves con PuTTYgen
- Generar las claves públicas y privadas. Haga doble clic en PuTTYgen.exe. Se muestra la página PuTTY Key Generator, como se muestra en Figura 3.
- Configure los parámetros como se describe en el documento Tabla 1.
Tabla 1 Descripción del parámetro Parámetro
Descripción
Type of key to generate
Algoritmo de cifrado y descifrado de pares de claves para importar a la consola de gestión. Actualmente, solo se admite SSH-2 RSA.
Number of bits in a generated key
Longitud de un par de claves que se va a importar a la consola de gestión. Actualmente, se admiten los siguientes valores de longitud: 1024, 2048, y 4096.
- Haga clic en Generate para generar una clave pública y una clave privada. Véase Figura 4.
- Copie la información en el cuadrado azul y guárdela en un archivo local .txt.
AVISO:
No guarde la clave pública haciendo clic en Save public key. Guardar una clave pública haciendo clic en Save public key de PuTTYgen cambiará el formato del contenido de la clave pública. Dicha clave no se puede importar a la consola de gestión.
- Guarde la clave privada en formato PPK o PEM.
AVISO:
Por motivos de seguridad, la clave privada solo se puede descargar una vez. Manténgalo seguro.
Tabla 2 Formato de un archivo de clave privada Formato de archivo de clave privada
Escenario de uso de clave privada
Método de ahorro
PEM
- Utilizar la herramienta Xshell para iniciar sesión en el servidor en la nube que ejecuta el sistema operativo Linux.
- Gestionar la clave privada en la consola de gestión.
- Elija Conversions > Export OpenSSH key.
- Guarde la clave privada, por ejemplo, kp-123.pem, en un directorio local.
Obtenga la contraseña de un servidor en la nube que ejecuta el sistema operativo Windows.
- Elija Conversions > Export OpenSSH key.
NOTA:
No introduzca la información de Key passphrase. De lo contrario, no se puede obtener la contraseña.
- Guarde la clave privada, por ejemplo, kp-123.pem, en un directorio local.
PPK
Utilizar la herramienta PuTTY para iniciar sesión en el servidor en la nube que ejecuta el sistema operativo Linux.
- En la página PuTTY Key Generator, elija File > Save private key.
- Guarde la clave privada, por ejemplo, kp-123.ppk, en un directorio local.
Después de guardar correctamente la clave pública y la clave privada, puede importar el par de claves a la consola de gestión.