Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Data Encryption Workshop
Data Encryption Workshop
- Visão geral de serviço
-
Guia de usuário
- Serviço de gerenciamento de chaves
- Serviço de gerenciamento de segredo em nuvem
- Serviço de par de chaves
- HSM dedicado
- Registros de auditoria
- Controle de permissão
-
Referência de API
- Antes de começar
- Chamada das APIs
- Visão geral de API
-
APIs
- APIs de gerenciamento de chaves
- APIs de gerenciamento de pares de chaves
- APIs de gerenciamento de segredo
- APIs históricas
- Exemplos de aplicação
- Políticas de permissões e ações suportadas
- Apêndice
- Histórico de mudanças
-
Melhores práticas
-
Serviço de gerenciamento de chaves
- Uso do KMS para criptografar dados off-line
- Uso do KMS para criptografar e descriptografar dados para serviços em nuvem
- Uso do SDK de criptografia para criptografar e descriptografar arquivos locais
- Criptografia e descriptografia de dados por meio de DR entre regiões
- Uso do KMS para proteger a integridade dos arquivos
- Serviço de gerenciamento de segredo em nuvem
- Geral
- Histórico de alterações
-
Serviço de gerenciamento de chaves
- Primeiros passos
-
Perguntas frequentes
- Serviço de gerenciamento de chaves
- Serviço de gerenciamento de segredo em nuvem
- Serviço de par de chaves
- HSM dedicado
- Registros de auditoria
- Controle de permissão
-
Perguntas frequentes
-
Relacionado ao KMS
- O que é o serviço de gerenciamento de chaves?
- O que é uma Chave principal do cliente?
- O que é uma chave padrão?
- Quais são as diferenças entre uma chave personalizada e uma chave padrão?
- O que é uma chave de criptografia de dados?
- Por que não consigo excluir uma CMK imediatamente?
- Quais serviços de nuvem podem usar o KMS para criptografia?
- Como os serviços da Huawei Cloud usam o KMS para criptografar dados?
- Quais são os benefícios da criptografia de envelope?
- Existe um limite para o número de chaves personalizadas que posso criar no KMS?
- Posso exportar uma CMK do KMS?
- Posso descriptografar meus dados se eu excluir permanentemente minha chave personalizada?
- Como usar a ferramenta on-line para criptografar ou descriptografar pequenos volumes de dados?
- Posso atualizar CMKs criadas por materiais de chave gerados por KMS?
- Quando devo usar uma CMK criada com materiais de chaves importados?
- O que devo fazer quando excluir acidentalmente materiais de chaves?
- Como as chaves padrão são geradas?
- O que devo fazer se não tiver as permissões para realizar operações no KMS?
- Por que não posso encapsular chaves assimétricas usando -id-aes256-wrap-pad no OpenSSL?
- Algoritmos de chave suportados pelo KMS
- O que devo fazer se o KMS não for solicitado e o código de erro 401 for exibido?
- Qual é a relação entre o texto cifrado e o texto não criptografado retornado pela API de dados de criptografia?
- Como o KMS protege minhas chaves?
- Como usar uma chave assimétrica para verificar o resultado da assinatura de um par de chaves públicas?
- Uma chave importada suporta rotação?
- Relacionado a credenciais
-
Relacionado ao KPS
- Como criar um par de chaves?
- O que são um par de chaves privadas e um par de chaves de contas?
- Como lidar com uma falha de importação de um par de chaves criado usando o PuTTYgen?
- O que devo fazer quando não consigo importar um par de chaves usando o Internet Explorer 9?
- Como fazer logon em um ECS de Linux com uma chave privada?
- Como usar uma chave privada para obter a senha para fazer logon em um ECS do Windows?
- Como lidar com a falha na vinculação de um par de chaves?
- Como lidar com a falha na substituição de um par de chaves?
- Como lidar com a falha na redefinição de um par de chaves?
- Como lidar com a falha na desvinculação de um par de chaves?
- Preciso reiniciar os servidores depois de substituir seu par de chaves?
- Como ativar o modo de logon com senha para um ECS?
- Como lidar com a falha no logon no ECS após desvincular o par de chaves?
- O que devo fazer se minha chave privada for perdida?
- Como converter o formato de um arquivo de chave privada?
- Posso alterar o par de chaves de um servidor?
- Um par de chaves pode ser compartilhado por vários usuários?
- Como obter o arquivo de chave pública ou privada de um par de chaves?
- O que posso fazer se um erro for relatado quando uma chave de conta for criada ou atualizada pela primeira vez?
- A cota de par de chaves de conta será ocupada depois que um par de chaves privadas for atualizado para um par de chaves de conta?
-
Relacionado ao HSM dedicado
- O que é o HSM dedicado?
- Como o HSM dedicado garante a segurança para a geração de chaves?
- O pessoal da sala de equipamentos tem a função de superadministrador para roubar informações usando um UKey privilegiado?
- Quais HSMs são usados para HSM dedicado?
- Quais APIs o HSM dedicado suporta?
- Como ativar o acesso público a uma instância do HSM dedicado?
- Preços
- Geral
-
Relacionado ao KMS
- No momento, o conteúdo não está disponível no seu idioma selecionado. Consulte a versão em inglês.
- What's New
- Function Overview
- Billing
- SDK Reference
- Videos
-
More Documents
- User Guide (ME-Abu Dhabi Region)
- User Guide (Paris and Amsterdam Regions)
-
User Guide (Kuala Lumpur Region)
- Service Overview
-
User Guide
- Key Management Service
- Cloud Secret Management Service
- Auditing Logs
- Permission Control
-
FAQs
-
KMS Related
- What Is Key Management Service?
- What Is a Customer Master Key?
- What Is a Default Key?
- What Are the Differences Between a Custom Key and a Default Key?
- What Is a Data Encryption Key?
- Why Cannot I Delete a CMK Immediately?
- Which Cloud Services Can Use KMS for Encryption?
- How Do Cloud Services Use KMS to Encrypt Data?
- What Are the Benefits of Envelope Encryption?
- Is There a Limit on the Number of Custom Keys That I Can Create on KMS?
- Can I Export a CMK from KMS?
- Can I Decrypt My Data if I Permanently Delete My Custom Key?
- How Do I Use the Online Tool to Encrypt or Decrypt Small Volumes of Data?
- Can I Update CMKs Created by KMS-Generated Key Materials?
- When Should I Use a CMK Created with Imported Key Materials?
- What Types of Keys Can I Import?
- What Should I Do When I Accidentally Delete Key Materials?
- How Are Default Keys Generated?
- What Should I Do If I Do Not Have the Permissions to Perform Operations on KMS?
- Why Can't I Wrap Asymmetric Keys by Using -id-aes256-wrap-pad in OpenSSL?
- Key Algorithms Supported by KMS
- What Should I Do If KMS Failed to Be Requested and Error Code 401 Is Displayed?
- What Is the Relationship Between the Ciphertext and Plaintext Returned by the encrypt-data API?
- How Does KMS Protect My Keys?
- Credential Related
-
KMS Related
- Change History
-
API Reference (ME-Abu Dhabi Region)
- Before You Start
- Calling APIs
- API Overview
-
APIs
- Creating a CMK
- Enabling a CMK
- Disabling a CMK
- Scheduling the Deletion of a CMK
- Canceling the Scheduled Deletion of a CMK
- Querying the List of CMKs
- Querying the Information About a CMK
- Creating a Random Number
- Creating a DEK
- Creating a Plaintext-Free DEK
- Encrypting a DEK
- Decrypting a DEK
- Querying the Number of Instances
- Querying the Quota of a User
- Changing the Alias of a CMK
- Changing the Description of a CMK
- Encrypting Data
- Decrypting Data
- Obtaining CMK Import Parameters
- Importing CMK Material
- Deleting CMK Material
- Querying CMK Instances
- Querying CMK Tags
- Querying Project Tags
- Adding or Deleting CMK Tags in Batches
- Adding a CMK Tag
- Deleting a CMK Tag
- Permissions Policies and Supported Actions
- Appendix
- Change History
-
API Reference (Paris and Amsterdam Regions)
- Before You Start
- Calling APIs
- API Overview
-
APIs
- Creating a CMK
- Enabling a CMK
- Disabling a CMK
- Scheduling the Deletion of a CMK
- Canceling the Scheduled Deletion of a CMK
- Querying the List of CMKs
- Querying the Information About a CMK
- Creating a Random Number
- Creating a DEK
- Creating a Plaintext-Free DEK
- Encrypting a DEK
- Decrypting a DEK
- Querying the Number of Instances
- Querying the Quota of a User
- Changing the Alias of a CMK
- Changing the Description of a CMK
- Creating a Grant
- Revoking a Grant
- Retiring a Grant
- Querying Grants on a CMK
- Querying Grants That Can Be Retired
- Encrypting Data
- Decrypting Data
- Obtaining CMK Import Parameters
- Importing CMK Material
- Deleting CMK Material
- Enabling Rotation for a CMK
- Changing the Rotation Interval for a CMK
- Disabling Rotation for a CMK
- Querying the Rotation Status of a CMK
- Appendix
- Change History
-
API Reference (Kuala Lumpur Region)
- Before You Start
- Calling APIs
- API Overview
-
APIs
- Creating a CMK
- Enabling a CMK
- Disabling a CMK
- Scheduling the Deletion of a CMK
- Canceling the Scheduled Deletion of a CMK
- Querying the List of CMKs
- Querying the Information About a CMK
- Creating a Random Number
- Creating a DEK
- Creating a Plaintext-Free DEK
- Encrypting a DEK
- Decrypting a DEK
- Querying the Number of Instances
- Querying the Quota of a User
- Changing the Alias of a CMK
- Changing the Description of a CMK
- Creating a Grant
- Revoking a Grant
- Retiring a Grant
- Querying Grants on a CMK
- Querying Grants That Can Be Retired
- Encrypting Data
- Decrypting Data
- Obtaining CMK Import Parameters
- Importing CMK Material
- Deleting CMK Material
- Enabling Rotation for a CMK
- Changing the Rotation Interval for a CMK
- Disabling Rotation for a CMK
- Querying the Rotation Status of a CMK
- Appendix
- Change History
Nesta página
Central de ajuda/
Data Encryption Workshop/
Melhores práticas/
Serviço de gerenciamento de chaves/
Uso do KMS para criptografar e descriptografar dados para serviços em nuvem/
Criptografia de dados no EVS
Copiado.
Criptografia de dados no EVS
Atualizado em 2024-09-14 GMT+08:00
Visão geral
Caso seus serviços exijam criptografia para os dados armazenados em discos no Elastic Volume Service (EVS), o EVS fornece a função de criptografia. Você pode criptografar discos do EVS recém-criados. As chaves usadas por discos do EVS criptografados são fornecidas pelo KMS do DEW, seguras e convenientes. Portanto, você não precisa estabelecer e manter a infraestrutura de gerenciamento de chaves.
A criptografia de disco é usada apenas para discos de dados. A criptografia de disco do sistema depende da imagem. Para mais detalhes, consulte Criptografia de dados no IMS.
Quem pode usar a função de criptografia de disco?
- Os administradores de segurança (usuários com direitos de Administrador de segurança) podem conceder os direitos de acesso do KMS ao EVS para usar a criptografia de disco.
- Quando um usuário comum que não tem os direitos de Administrador de segurança precisa usar o recurso de criptografia de disco, a condição varia dependendo se o usuário é o primeiro na região ou projeto atual a usar esse recurso.
- Se o usuário for o primeiro, ele deverá entrar em contato com um usuário que tenha os direitos de Administrador de segurança para conceder os direitos de acesso do KMS ao EVS. Em seguida, o usuário pode usar o recurso de criptografia de disco.
- Se o usuário não é o primeiro, o usuário pode usar a função de criptografia de disco diretamente.
Do ponto de vista de um locatário, desde que os direitos de acesso do KMS tenham sido concedidos ao EVS em uma região, todos os usuários na mesma região podem usar diretamente o recurso de criptografia de disco.
Se houver vários projetos na região atual, os direitos de acesso do KMS precisam ser concedidos a cada projeto nessa região.
Chaves usadas para criptografia de disco do EVS
As chaves fornecidas pelo KMS para criptografia de disco incluem uma Chave mestra padrão e Chaves mestras do cliente (CMKs).
- Chave mestra padrão: uma chave que é criada automaticamente pelo EVS por meio do KMS e denominada evs/default.
A Chave mestra padrão não pode ser desativada e não oferece suporte à exclusão agendada.
- CMKs: chaves criadas pelos usuários. Você pode usar CMKs existentes ou criar uma. Para obter detalhes, consulte Criação de uma CMK.
Se os discos forem criptografados usando uma CMK, que é desativada ou agendada para exclusão, os discos não poderão mais ser lidos ou gravados, e os dados nesses discos talvez nunca sejam restaurados. Consulte Tabela 1 para obter mais informações.
|
Status da CMK |
Impacto em discos criptografados |
Método de restauração |
|---|---|---|
|
Disabled |
|
Ative a CMK. Para obter detalhes, consulte Ativação de um ou mais CMKs. |
|
Pending deletion |
Cancele a exclusão programada para a CMK. Para obter detalhes, consulte Cancelamento da exclusão programada de um ou mais CMKs. |
|
|
Deleted |
Os dados nos discos nunca podem ser restaurados. |
Você será cobrado pelas CMKs que usar. Se forem usadas chaves básicas, verifique se o saldo de sua conta é suficiente. Se forem usadas chaves profissionais, renove seu pedido em tempo hábil. Caso contrário, seus serviços podem ser interrompidos e seus dados podem nunca ser restaurados, pois os discos criptografados se tornam ilegíveis e não graváveis.
Uso do KMS para criptografar um disco (no console)
- No console de gerenciamento do EVS, clique em Buy Disk.
- Selecione a caixa de seleção Encryption.
- Clique em More. A caixa de seleção Encryption é exibida.
Figura 1 Mais
- Crie uma agência.
Selecione Encrypt. Se o EVS não estiver autorizado a acessar o KMS, a caixa de diálogo Create Agency será exibida. Nesse caso, clique em Yes para autorizá-lo. Após a autorização, o EVS pode obter chaves do KMS para criptografar e descriptografar discos.
Antes de usar a função de criptografia de disco, os direitos de acesso do KMS precisam ser concedidos ao EVS. Se você tem o direito de conceder, conceda os direitos de acesso do KMS diretamente ao EVS. Se você não tiver o direito, entre em contato com um usuário com os direitos de Administrador de segurança para conceder os direitos de acesso do KMS ao EVS e repita as operações anteriores.
- Defina parâmetros de criptografia.
Selecione Encrypt. Se a autorização for bem-sucedida, a caixa de diálogo de configuração de criptografia será exibida.Figura 2 Configurações de criptografia
Selecione um dos seguintes tipos de chaves na lista suspensa KMS Key Name:
- Chave mestra padrão. Depois que os direitos de acesso do KMS forem concedidos ao EVS, o sistema criará automaticamente uma Chave mestra padrão chamada evs/default.
- Uma CMK existente ou nova. Para obter detalhes sobre como criar uma, consulte Criação de uma CMK.
- Clique em More. A caixa de seleção Encryption é exibida.
- Configure outros parâmetros para o disco. Para obter detalhes sobre os parâmetros, consulte Comprar um disco do EVS.
Uso do KMS para criptografar um disco (por meio de uma API)
Você pode chamar a API necessária do EVS para comprar um disco do EVS criptografado. Para obter detalhes, consulte Referência de API do Elastic Volume Service.
Feedback
Esta página foi útil?
Deixar um comentário
Obrigado por seus comentários. Estamos trabalhando para melhorar a documentação.
O sistema está ocupado. Tente novamente mais tarde.
