Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Data Encryption Workshop/ Melhores práticas/ Serviço de gerenciamento de chaves/ Uso do KMS para criptografar e descriptografar dados para serviços em nuvem/ Visão geral
Atualizado em 2024-09-14 GMT+08:00
Ver PDF
Compartilhar

Visão geral

O KMS é um serviço de nuvem seguro, confiável e fácil de usar que ajuda os usuários a criar, gerenciar e proteger chaves de maneira centralizada.

Depois que seus serviços em nuvem estiverem integrados ao KMS, para criptografar dados na nuvem, basta selecionar uma CMK gerenciada pelo KMS para criptografia.

Você pode selecionar uma Chave principal padrão (DMK) criada automaticamente por um serviço de nuvem por meio do KMS ou uma chave criada ou importada para o KMS. Para obter detalhes, consulte Diferenças entre uma CMK e uma Chave mestra padrão.

Tabela 1 Serviços de nuvem que usam criptografia do KMS

Categoria

Serviço

Modo de criptografia

Computação

Elastic Cloud Server (ECS)

Você pode criptografar uma imagem ou um disco do EVS no ECS.

  • Ao criar um ECS, se você selecionar uma imagem criptografada, o disco do sistema do ECS criado terá automaticamente a criptografia ativada, com seu modo de criptografia igual ao modo de criptografia da imagem.
  • Ao criar um ECS, você pode criptografar discos de dados adicionados.

Image Management Service (IMS)

Criptografia de dados no IMS

Armazenamento

Object Storage Service (OBS)

Criptografia de dados no OBS

Elastic Volume Service (EVS)

Criptografia de dados no EVS

Volume Backup Service (VBS)

O VBS geralmente cria backups on-line para um único disco do EVS (sistema ou disco de dados) do servidor. Se for criptografado, seus dados de backup serão armazenados em modo criptografado.

Cloud Server Backup Service (CSBS)

O CSBS cria principalmente backups de consistência on-line para todos os discos do EVS do servidor. Os backups do CSBS também serão exibidos na página do VBS. Se for criptografado, seus dados de backup serão armazenados em modo criptografado.

Banco de dados

RDS for MySQL

Criptografia de uma instância de banco de dados do RDS

RDS for PostgreSQL

RDS for SQL Server

Document Database Service (DDS)

Criptografia de uma instância de banco de dados do DDS

Processo de criptografia

Os serviços da HUAWEI CLOUD usam a tecnologia de criptografia de envelope e chamam as APIs do KMS para criptografar os recursos do serviço. Suas CMKs estão sob seu próprio gerenciamento. Com a sua concessão, os serviços da HUAWEI CLOUD usam uma CMK específica sua para criptografar dados.

Figura 1 Como a Huawei Cloud usa o KMS para criptografia
O processo de criptografia é o seguinte:
  1. Crie uma CMK no KMS.
  2. Um serviço da HUAWEI CLOUD chama a API create-datakey do KMS para criar uma DEK. Uma DEK de texto não criptografado e uma DEK de texto cifrado são geradas.

    As DEKs de texto cifrado são geradas quando você usa uma CMK para criptografar as DEKs de texto não criptografado.

  3. O serviço da HUAWEI CLOUD usa a DEK de texto não criptografado para criptografar um arquivo de texto não criptografado, gerando um arquivo de texto cifrado.
  4. O serviço da HUAWEI CLOUD salva a DEK de texto cifrado e o arquivo de texto cifrado juntos em um dispositivo de armazenamento permanente ou um serviço de armazenamento.

Quando os usuários baixam os dados do serviço da HUAWEI CLOUD, o serviço usa a CMK especificada pelo KMS para descriptografar o texto cifrado de DEK, usa a DEK descriptografada para descriptografar dados, e, em seguida, fornece os dados descriptografados para os usuários baixarem.