Criação de uma chave

Pré-requisitos

A conta tem permissões KMS CMKFullAccess ou superiores.

Restrições

• Você pode criar até 20 chaves personalizadas, excluindo as chaves padrão. As chaves de réplica ocupam a cota de chave personalizada na região.
• As chaves simétricas são criadas usando a chave AES. A chave AES-256 pode ser usada para criptografar e descriptografar uma pequena quantidade de dados ou chaves de dados. A chave HMAC é usada para gerar e verificar códigos de autenticação de mensagens.
• Chaves assimétricas são criadas usando algoritmos RSA ou ECC. Chaves RSA podem ser usadas para criptografia, descriptografia, assinatura digital e verificação de assinatura. As chaves ECC podem ser usadas apenas para assinatura digital e verificação de assinatura.
• Os aliases das chaves padrão terminam com /default. Ao escolher aliases para suas chaves personalizadas, não use aliases terminados com /default.
• As chaves do DEW podem ser chamadas por meio de APIs para 20.000 vezes gratuitamente por mês.

Cenários

• Criptografar dados no OBS
• Criptografar dados no EVS
• Criptografar dados no IMS
• Criptografar uma instância de banco de dados RDS
• Use chaves personalizadas para criptografar e descriptografar diretamente pequenos volumes de dados.
• Criptografia e descriptografia de DEK para aplicações do usuário
• Geração e verificação do código de autenticação de mensagens
• Chaves assimétricas podem ser usadas para assinaturas digitais e verificação de assinatura.

Criação de uma chave

1. Faça logon no console de gerenciamento.
2. Clique em no canto superior esquerdo do console de gerenciamento e selecione uma região ou projeto.
3. Clique em . Escolha Security & Compliance > Data Encryption Workshop.
4. Clique em Create Bucket no canto superior direito.
5. Configure parâmetros na caixa de diálogo Create Key.
   Figura 1 Criação de uma chave
   
   • Alias é o alias da chave a ser criada.
     

     • Você pode inserir dígitos, letras, sublinhados (_), hifens (-), dois-pontos (:) e barras (/).
     • Você pode inserir até 255 caracteres.
   • Key Algorithm: selecione um algoritmo de chave. Para obter mais informações, consulte Tabela 1.

     Tabela 1 Algoritmos de chave suportados pelo KMS

     Tipo de chave	Tipo de algoritmo	Especificações da chave	Descrição	Uso
     Chave simétrica	AES	AES_256	Chave simétrica de AES	Criptografa e descriptografa uma pequena quantidade de dados ou chaves de dados.
     Chave simétrica	AES	HMAC_256 HMAC_384 HMAC_512	Chave simétrica de HMAC	Gera e verifica um código de autenticação de mensagem
     Chave simétrica	SM3	HMAC_SM3	Chave simétrica de SM3	Gera e verifica um código de autenticação de mensagem
     Chave assimétrica	RSA	RSA_2048 RSA_3072 RSA_4096	Senha assimétrica de RSA	Criptografa e descriptografa uma pequena quantidade de dados ou cria assinaturas digitais.
     	ECC	EC_P256 EC_P384	Curva elíptica recomendada pelo NIST	Assinatura digital

   • Usage: selecione SIGN_VERIFY, ENCRYPT_DECRYPT ou GENERATE_VERIFY_MAC.
     • Para uma chave simétrica AES_256, o valor padrão é ENCRYPT_DECRYPT.
     • Para uma chave simétrica HMAC, o valor padrão é GENERATE_VERIFY_MAC.
     • Para chaves assimétricas RSA, selecione ENCRYPT_DECRYPT ou SIGN_VERIFY. O valor padrão é SIGN_VERIFY.
     • Para uma chave assimétrica ECC, o valor padrão é SIGN_VERIFY.
     

     O uso da chave só pode ser configurado durante a criação da chave e não pode ser modificado posteriormente.

   • (Opcional) Description é a descrição da chave personalizada.
   • O parâmetro Enterprise Project precisa ser definido apenas para usuários empresariais.

     Se você for um usuário empresarial e tiver criado um projeto empresarial, selecione o projeto empresarial necessário na lista suspensa. O projeto padrão é default.

     Se não houver opções de Enterprise Management exibidas, não será necessário configurá-lo.

     

     • Você pode usar projetos empresariais para gerenciar recursos de nuvem e membros do projeto. Para obter mais informações sobre projetos empresariais, consulte O que é o serviço de gerenciamento de projetos empresariais?
     • Para obter detalhes sobre como ativar a função do projeto empresarial, consulte Ativação da central empresarial.

6. (Opcional) Adicione tags à chave personalizada conforme necessário e insira a chave da tag e o valor da tag.
   

   • Depois de criar uma CMK, você pode clicar no alias da CMK para acessar a página de detalhes da CMK e adicionar uma tag à CMK.
   • A mesma tag (incluindo chave de tag e valor de tag) pode ser usada para diferentes chaves personalizadas. No entanto, sob a mesma chave personalizada, uma chave de tag pode ter apenas um valor de tag.
   • Um máximo de 20 tags podem ser adicionadas para uma chave personalizada.
   • Se desejar excluir uma tag da lista de tags ao adicionar várias tags, você pode clicar em Delete na linha onde a tag a ser adicionada está localizada para excluir a tag.

7. Clique em OK. Uma mensagem é exibida no canto superior direito da página, indicando que a chave foi criada com sucesso.

   Na lista de chaves, você pode exibir a chave criada. O status padrão de uma chave é Enabled.

Operações relacionadas

• Para obter detalhes sobre como fazer upload de objetos com criptografia no lado do servidor, consulte a seção "Fazer upload de um arquivo com criptografia no lado do servidor" no Guia de usuário do Object Storage Service.
• Para obter detalhes sobre como criptografar dados em discos do EVS, consulte a seção Compra de um disco do EVS no Guia de usuário do Elastic Volume Service.
• Para obter detalhes sobre como criptografar imagens privadas, consulte a seção "Criptografia de uma imagem" no Guia de usuário do Image Management Service.
• Para obter detalhes sobre como criptografar discos para uma instância de banco de dados no RDS, consulte a seção "Compra de uma instância" no Guia de usuário do Relational Database Service.
• Para obter detalhes sobre como criar uma DEK e uma DEK sem texto não criptografado, consulte as seções "Criação de uma DEK" e "Criação de uma DEK sem texto não criptografado" na Referência de API do Data Encryption Workshop.
• Para obter detalhes sobre como criptografar e descriptografar uma DEK para uma aplicação de usuário, consulte as seções "Criptografia de uma DEK" e "Descriptografia de uma DEK" na Referência de API do Data Encryption Workshop.