Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.

Central de ajuda/ Data Encryption Workshop/ Visão geral de serviço/ KMS/ Funções

Atualizado em 2024-09-14 GMT+08:00

Ver PDF

Funções

O KMS é um serviço de nuvem seguro, confiável e fácil de usar que ajuda os usuários a criar, gerenciar e proteger chaves de maneira centralizada.

Ele usa Módulos de Segurança de Hardware (HSMs) para proteger as chaves. Todas as chaves são protegidas por chaves raiz em HSMs para evitar vazamento de chaves. O módulo HSM atende aos requisitos de segurança FIPS 140-2 Nível 3.

Ele também controla o acesso a chaves e registra todas as operações em chaves com logs rastreáveis. Além disso, fornece registros de uso de todas as chaves, atendendo aos seus requisitos de auditoria e conformidade regulatória.

Funções

No console do KMS, você pode:
- Criar, consultar, ativar e desativar CMKs, bem como programar e cancelar a exclusão de CMK.
- Modificar o alias e as descrições de CMKs.
- Usar a ferramenta on-line para criptografar e descriptografar dados de pequeno porte.
- Adicionar, pesquisar, editar e excluir tags.
- Criar, cancelar e consultar concessões.
Você pode usar as APIs para:
- Criar, criptografar ou descriptografar DEKs.
- Retirar concessões.
- Assinar ou verificar a assinatura de mensagens ou resumos de mensagens.
- Gerar e verificar códigos de autenticação de mensagens.
Para obter detalhes, consulte a Referência de API do Data Encryption Workshop.
Gerar números aleatórios verdadeiros de hardware.
Você pode gerar números aleatórios de 512 bits com base no hardware usando a API do KMS. Os números aleatórios verdadeiros de 512 bits podem ser usados como base para os materiais de chaves e parâmetros de criptografia. Para obter detalhes, consulte a Referência de API do Data Encryption Workshop.

Algoritmos de chave suportados pelo KMS

As chaves simétricas criadas no console do KMS usam os algoritmos AES e SM4. As chaves assimétricas criadas pelo KMS são compatíveis com os algoritmos RSA, SM2 e ECC.

**Tabela 1** Algoritmos de chave suportados pelo KMS
Tipo de chave	Tipo de algoritmo	Especificações da chave	Descrição	Cenário de aplicação
Chave simétrica	AES	AES_256	Chave simétrica de AES	Criptografia e descriptografia de dados Criptografia e descriptografia de DEKs NOTA: Você pode criptografar e descriptografar uma pequena quantidade de dados usando a ferramenta on-line no console. Você precisa chamar APIs para criptografar e descriptografar uma grande quantidade de dados.
Chave simétrica	AES	HMAC_256 HMAC_384 HMAC_512	Chave simétrica de HMAC	Gera e verifica um código de autenticação de mensagem
Chave assimétrica	RSA	RSA_2048 RSA_3072 RSA_4096	Senha assimétrica de RSA	Assinatura digital e verificação de assinatura Criptografia e descriptografia de dados NOTA: Chaves assimétricas são aplicáveis a cenários de assinatura e verificação de assinatura. As chaves assimétricas não são suficientemente eficientes para a criptografia de dados. Chaves simétricas são adequadas para criptografar e descriptografar dados.
Chave assimétrica	ECC	EC_P256 EC_P384	Curva elíptica recomendada pelo NIST	Assinatura digital e verificação de assinatura

descreve os algoritmos de criptografia e descriptografia suportados para chaves importadas pelo usuário.

**Tabela 2** Algoritmos de agrupamento de chaves
Algoritmo	Descrição	Configuração
RSAES_OAEP_SHA_256	Algoritmo RSA que usa OAEP e tem a função de hash SHA-256	Selecione um algoritmo baseado em suas funções de HSM. Se o seu HSM oferecer suporte ao algoritmo RSAES_OAEP_SHA_256, use RSAES_OAEP_SHA_256 para criptografar materiais de chave.