Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Data Encryption Workshop
Data Encryption Workshop
- Visão geral de serviço
-
Guia de usuário
- Serviço de gerenciamento de chaves
- Serviço de gerenciamento de segredo em nuvem
- Serviço de par de chaves
- HSM dedicado
- Registros de auditoria
- Controle de permissão
-
Referência de API
- Antes de começar
- Chamada das APIs
- Visão geral de API
-
APIs
- APIs de gerenciamento de chaves
- APIs de gerenciamento de pares de chaves
- APIs de gerenciamento de segredo
- APIs históricas
- Exemplos de aplicação
- Políticas de permissões e ações suportadas
- Apêndice
- Histórico de mudanças
-
Melhores práticas
-
Serviço de gerenciamento de chaves
- Uso do KMS para criptografar dados off-line
- Uso do KMS para criptografar e descriptografar dados para serviços em nuvem
- Uso do SDK de criptografia para criptografar e descriptografar arquivos locais
- Criptografia e descriptografia de dados por meio de DR entre regiões
- Uso do KMS para proteger a integridade dos arquivos
- Serviço de gerenciamento de segredo em nuvem
- Geral
- Histórico de alterações
-
Serviço de gerenciamento de chaves
- Primeiros passos
-
Perguntas frequentes
- Serviço de gerenciamento de chaves
- Serviço de gerenciamento de segredo em nuvem
- Serviço de par de chaves
- HSM dedicado
- Registros de auditoria
- Controle de permissão
-
Perguntas frequentes
-
Relacionado ao KMS
- O que é o serviço de gerenciamento de chaves?
- O que é uma Chave principal do cliente?
- O que é uma chave padrão?
- Quais são as diferenças entre uma chave personalizada e uma chave padrão?
- O que é uma chave de criptografia de dados?
- Por que não consigo excluir uma CMK imediatamente?
- Quais serviços de nuvem podem usar o KMS para criptografia?
- Como os serviços da Huawei Cloud usam o KMS para criptografar dados?
- Quais são os benefícios da criptografia de envelope?
- Existe um limite para o número de chaves personalizadas que posso criar no KMS?
- Posso exportar uma CMK do KMS?
- Posso descriptografar meus dados se eu excluir permanentemente minha chave personalizada?
- Como usar a ferramenta on-line para criptografar ou descriptografar pequenos volumes de dados?
- Posso atualizar CMKs criadas por materiais de chave gerados por KMS?
- Quando devo usar uma CMK criada com materiais de chaves importados?
- O que devo fazer quando excluir acidentalmente materiais de chaves?
- Como as chaves padrão são geradas?
- O que devo fazer se não tiver as permissões para realizar operações no KMS?
- Por que não posso encapsular chaves assimétricas usando -id-aes256-wrap-pad no OpenSSL?
- Algoritmos de chave suportados pelo KMS
- O que devo fazer se o KMS não for solicitado e o código de erro 401 for exibido?
- Qual é a relação entre o texto cifrado e o texto não criptografado retornado pela API de dados de criptografia?
- Como o KMS protege minhas chaves?
- Como usar uma chave assimétrica para verificar o resultado da assinatura de um par de chaves públicas?
- Uma chave importada suporta rotação?
- Relacionado a credenciais
-
Relacionado ao KPS
- Como criar um par de chaves?
- O que são um par de chaves privadas e um par de chaves de contas?
- Como lidar com uma falha de importação de um par de chaves criado usando o PuTTYgen?
- O que devo fazer quando não consigo importar um par de chaves usando o Internet Explorer 9?
- Como fazer logon em um ECS de Linux com uma chave privada?
- Como usar uma chave privada para obter a senha para fazer logon em um ECS do Windows?
- Como lidar com a falha na vinculação de um par de chaves?
- Como lidar com a falha na substituição de um par de chaves?
- Como lidar com a falha na redefinição de um par de chaves?
- Como lidar com a falha na desvinculação de um par de chaves?
- Preciso reiniciar os servidores depois de substituir seu par de chaves?
- Como ativar o modo de logon com senha para um ECS?
- Como lidar com a falha no logon no ECS após desvincular o par de chaves?
- O que devo fazer se minha chave privada for perdida?
- Como converter o formato de um arquivo de chave privada?
- Posso alterar o par de chaves de um servidor?
- Um par de chaves pode ser compartilhado por vários usuários?
- Como obter o arquivo de chave pública ou privada de um par de chaves?
- O que posso fazer se um erro for relatado quando uma chave de conta for criada ou atualizada pela primeira vez?
- A cota de par de chaves de conta será ocupada depois que um par de chaves privadas for atualizado para um par de chaves de conta?
-
Relacionado ao HSM dedicado
- O que é o HSM dedicado?
- Como o HSM dedicado garante a segurança para a geração de chaves?
- O pessoal da sala de equipamentos tem a função de superadministrador para roubar informações usando um UKey privilegiado?
- Quais HSMs são usados para HSM dedicado?
- Quais APIs o HSM dedicado suporta?
- Como ativar o acesso público a uma instância do HSM dedicado?
- Preços
- Geral
-
Relacionado ao KMS
- No momento, o conteúdo não está disponível no seu idioma selecionado. Consulte a versão em inglês.
- What's New
- Function Overview
- Billing
- SDK Reference
- Videos
-
More Documents
- User Guide (ME-Abu Dhabi Region)
- User Guide (Paris and Amsterdam Regions)
-
User Guide (Kuala Lumpur Region)
- Service Overview
-
User Guide
- Key Management Service
- Cloud Secret Management Service
- Auditing Logs
- Permission Control
-
FAQs
-
KMS Related
- What Is Key Management Service?
- What Is a Customer Master Key?
- What Is a Default Key?
- What Are the Differences Between a Custom Key and a Default Key?
- What Is a Data Encryption Key?
- Why Cannot I Delete a CMK Immediately?
- Which Cloud Services Can Use KMS for Encryption?
- How Do Cloud Services Use KMS to Encrypt Data?
- What Are the Benefits of Envelope Encryption?
- Is There a Limit on the Number of Custom Keys That I Can Create on KMS?
- Can I Export a CMK from KMS?
- Can I Decrypt My Data if I Permanently Delete My Custom Key?
- How Do I Use the Online Tool to Encrypt or Decrypt Small Volumes of Data?
- Can I Update CMKs Created by KMS-Generated Key Materials?
- When Should I Use a CMK Created with Imported Key Materials?
- What Types of Keys Can I Import?
- What Should I Do When I Accidentally Delete Key Materials?
- How Are Default Keys Generated?
- What Should I Do If I Do Not Have the Permissions to Perform Operations on KMS?
- Why Can't I Wrap Asymmetric Keys by Using -id-aes256-wrap-pad in OpenSSL?
- Key Algorithms Supported by KMS
- What Should I Do If KMS Failed to Be Requested and Error Code 401 Is Displayed?
- What Is the Relationship Between the Ciphertext and Plaintext Returned by the encrypt-data API?
- How Does KMS Protect My Keys?
- Credential Related
-
KMS Related
- Change History
-
API Reference (ME-Abu Dhabi Region)
- Before You Start
- Calling APIs
- API Overview
-
APIs
- Creating a CMK
- Enabling a CMK
- Disabling a CMK
- Scheduling the Deletion of a CMK
- Canceling the Scheduled Deletion of a CMK
- Querying the List of CMKs
- Querying the Information About a CMK
- Creating a Random Number
- Creating a DEK
- Creating a Plaintext-Free DEK
- Encrypting a DEK
- Decrypting a DEK
- Querying the Number of Instances
- Querying the Quota of a User
- Changing the Alias of a CMK
- Changing the Description of a CMK
- Encrypting Data
- Decrypting Data
- Obtaining CMK Import Parameters
- Importing CMK Material
- Deleting CMK Material
- Querying CMK Instances
- Querying CMK Tags
- Querying Project Tags
- Adding or Deleting CMK Tags in Batches
- Adding a CMK Tag
- Deleting a CMK Tag
- Permissions Policies and Supported Actions
- Appendix
- Change History
-
API Reference (Paris and Amsterdam Regions)
- Before You Start
- Calling APIs
- API Overview
-
APIs
- Creating a CMK
- Enabling a CMK
- Disabling a CMK
- Scheduling the Deletion of a CMK
- Canceling the Scheduled Deletion of a CMK
- Querying the List of CMKs
- Querying the Information About a CMK
- Creating a Random Number
- Creating a DEK
- Creating a Plaintext-Free DEK
- Encrypting a DEK
- Decrypting a DEK
- Querying the Number of Instances
- Querying the Quota of a User
- Changing the Alias of a CMK
- Changing the Description of a CMK
- Creating a Grant
- Revoking a Grant
- Retiring a Grant
- Querying Grants on a CMK
- Querying Grants That Can Be Retired
- Encrypting Data
- Decrypting Data
- Obtaining CMK Import Parameters
- Importing CMK Material
- Deleting CMK Material
- Enabling Rotation for a CMK
- Changing the Rotation Interval for a CMK
- Disabling Rotation for a CMK
- Querying the Rotation Status of a CMK
- Appendix
- Change History
-
API Reference (Kuala Lumpur Region)
- Before You Start
- Calling APIs
- API Overview
-
APIs
- Creating a CMK
- Enabling a CMK
- Disabling a CMK
- Scheduling the Deletion of a CMK
- Canceling the Scheduled Deletion of a CMK
- Querying the List of CMKs
- Querying the Information About a CMK
- Creating a Random Number
- Creating a DEK
- Creating a Plaintext-Free DEK
- Encrypting a DEK
- Decrypting a DEK
- Querying the Number of Instances
- Querying the Quota of a User
- Changing the Alias of a CMK
- Changing the Description of a CMK
- Creating a Grant
- Revoking a Grant
- Retiring a Grant
- Querying Grants on a CMK
- Querying Grants That Can Be Retired
- Encrypting Data
- Decrypting Data
- Obtaining CMK Import Parameters
- Importing CMK Material
- Deleting CMK Material
- Enabling Rotation for a CMK
- Changing the Rotation Interval for a CMK
- Disabling Rotation for a CMK
- Querying the Rotation Status of a CMK
- Appendix
- Change History
Nesta página
Mostrar todos
Central de ajuda/
Data Encryption Workshop/
Melhores práticas/
Serviço de gerenciamento de segredo em nuvem/
Rotação de segredos/
Rotação de segredos de IAM usando FunctionGraph
Copiado.
Rotação de segredos de IAM usando FunctionGraph
Atualizado em 2024-09-14 GMT+08:00
Cenário
Esta seção descreve como rotacionar segredos do IAM pelo KMS usando um modelo do FunctionGraph.
Restrições
- Apenas as contas de membros do IAM podem ser rotacionadas. As contas principais do IAM não podem ser rotacionadas.
- A conta de membro do IAM a ser rotacionada deve ter pelo menos um grupo de segredos.
- O CSMS está disponível na região.
Procedimento
Crie uma agência.
- Faça logon no console de gerenciamento.
- Clique em
no canto superior esquerdo do console de gerenciamento e selecione uma região ou projeto. - Clique em
no canto superior esquerdo da página e escolha Management & Governance > Identity and Access Management. - No painel de navegação à esquerda, escolha Agencies. Clique em Create Agency no canto superior direito.
- Configure os parâmetros, conforme mostrado na figura a seguir. A Tabela 1 lista os parâmetros.
Figura 1 Criação de uma agência
Tabela 1 Parâmetros para criar uma agência Parâmetro
Descrição
Agency Name
Insira um nome de agência personalizado, por exemplo, test.
Agency Type
Selecione Cloud service.
Cloud Service
Escolha FunctionGraph.
Validity Period
Defina este parâmetro com base no cenário real. Se a função precisar ser executada por um longo tempo, escolha Unlimited.
Description
Defina este parâmetro conforme necessário.
- Clique em Next.
- Selecione Security Administrator, CSMS FullAccess e KMS CMKFullAccess, conforme mostrado na figura a seguir.
Figura 2 Atribuição de permissões
- Clique em Next e escolha um escopo de autorização, conforme mostrado na figura a seguir.
Figura 3 Escopo de autorização
- Clique em OK.
Crie um modelo de função e uma função.
- Faça logon no console de gerenciamento.
- Clique em no canto superior esquerdo do console de gerenciamento e selecione uma região ou projeto.
- Clique em
no canto superior esquerdo da página e escolha Compute > FunctionGraph. - Clique em Create Function no canto superior direito.
- Clique em Select template. Na área Service, clique em DEW, localize rotate-iam-credentials abaixo e clique em Configure no canto superior direito da caixa, conforme mostrado na figura a seguir.
Figura 4 Criação de uma função
- Configure os parâmetros, que são descritos em Tabela 2.
Figura 5 Informação básica da função
Tabela 2 Parâmetros básicos Parâmetro
Descrição
Region
Selecione a região em que a função deve ser implementada.
Project
Selecione o projeto no qual a função será implementada.
Function Name
Insira um nome de função personalizado.
Agency
Selecione uma agência.
Enterprise Project
Se você ativou projetos empresariais, selecione um para adicionar uma função a ele.
Se você não tiver ativado um projeto empresarial, esse parâmetro ficará indisponível. Pule este passo.
- Configure as variáveis de ambiente, que são descritas em Tabela 3.
Figura 6 Variáveis ambientais
Tabela 3 Variáveis ambientais Parâmetro
Descrição
region
Projeto, por exemplo, se a região é CN North-Beijing4, o nome do projeto deve ser cn-north-4.
NOTA:
Para obter o projeto, passe o mouse sobre o nome de usuário e escolha My Credentials na lista suspensa. Os projetos são exibidos.
user_id
Insira o ID do usuário do IAM a ser rotacionado.
NOTA:
Para obter o ID de usuário do IAM, passe o mouse sobre o nome de usuário e escolha My Credentials na lista suspensa. O ID é exibido.
project_id
Insira o ID do projeto.
NOTA:
Para obter o ID de usuário do IAM, passe o mouse sobre o nome de usuário e escolha My Credentials na lista suspensa. Os IDs dos projetos são exibidos.
secret_name
Digite o nome do segredo a ser criado, que não pode ser o mesmo que um nome de segredo existente.
- Configure as variáveis de acionamento, que são descritas em Tabela 4.
Figura 7 Variáveis de acionamento
- Clique em Create Function.
Depure.
Para obter detalhes sobre como depurar um fluxo de trabalho de função, consulte Depuração on-line.
Veja o segredo.
- Faça logon no console de gerenciamento.
- Clique em
no canto superior esquerdo do console de gerenciamento e selecione uma região ou um projeto. - Clique em
à esquerda, escolha Security & Compliance > Data Encryption Workshop, a página de gerenciamento de chaves é exibida. - No painel de navegação, escolha Cloud Secret Management Service.
- Consulte o segredo especificado na Etapa 7. Clique nele para ver os detalhes. O segredo válido atual, segredos históricos e outras informações são exibidos.
Figura 8 Detalhes de segredos
- Localize a versão mais recente do segredo, clique em View Secret na coluna Operation para verificar a AK/SK.
Tópico principal: Rotação de segredos
Feedback
Esta página foi útil?
Deixar um comentário
Obrigado por seus comentários. Estamos trabalhando para melhorar a documentação.
O sistema está ocupado. Tente novamente mais tarde.
