Como os serviços da Huawei Cloud usam o KMS para criptografar dados?

Os serviços da Huawei Cloud (incluindo OBS, IMS, EVS e RDS) usam a criptografia de envelope fornecida pelo KMS para proteger os dados.

A criptografia de envelope é um método de criptografia que permite que as DEKs sejam armazenadas, transmitidas e usadas em "envelopes" de CMKs. Como resultado, as CMKs não criptografam e descriptografam dados diretamente.

• Quando você usa um serviço da Huawei Cloud para criptografar dados, precisa especificar uma CMK no KMS. O serviço da Huawei Cloud gera uma DEK de texto não criptografado e uma DEK de texto cifrado. A DEK de texto cifrado é gerada criptografando a DEK de texto não criptografado usando a CMK especificada. O serviço da Huawei Cloud usa a DEK de texto não criptografado para criptografar dados e armazena os dados de texto cifrado e a DEK de texto cifrado no serviço da Huawei Cloud. Veja a figura a seguir.
  Figura 1 Como a Huawei Cloud usa o KMS para criptografia
  

• Quando os usuários baixam os dados da Huawei Cloud, o serviço usa a CMK especificada pelo KMS para descriptografar a DEK de texto cifrado, usa a DEK descriptografada para descriptografar os dados e, em seguida, fornece os dados descriptografados para os usuários baixarem.