Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda> Data Encryption Workshop> Visão geral de serviço> KMS> Funções
Atualizado em 2022-12-29 GMT+08:00
Ver PDF

Funções

O KMS é um serviço de nuvem seguro, confiável e fácil de usar que ajuda os usuários a criar, gerenciar e proteger chaves de maneira centralizada.

Ele usa módulos de segurança de hardware (HSMs) para proteger as chaves. Todas as CMKs são protegidas por chaves raiz nos HSMs para evitar vazamento de chaves.

Ele também controla o acesso a chaves e registra todas as operações em chaves com logs rastreáveis. Além disso, fornece registros de uso de todas as chaves, atendendo aos requisitos de auditoria e conformidade regulatória.

Funções

  • No console do KMS, você pode executar as seguintes operações em CMKs:
    • Criar, consultar, habilitar, desabilitar, agendar a exclusão e cancelar a exclusão de CMKs
    • Modificar o alias e a descrição de CMKs
    • Usar a ferramenta on-line para criptografar e descriptografar pequenos volumes de dados
    • Adicionar, pesquisar, editar e excluir tags
    • Criar, cancelar e consultar concessões
  • Você pode usar a API para executar as seguintes operações:
    • Criar, criptografar ou descriptografar chaves de criptografia de dados (DEKs)
    • Concessões de retirada
    • Assinar ou verificar a assinatura de mensagens ou resumos de mensagens

    Para obter detalhes, consulte a Referência de API do Data Encryption Workshop.

  • Gerar hardware verdadeiro número aleatório.

    Você pode gerar números aleatórios de 512-bit usando a API do KMS. Os números aleatórios verdadeiros de hardware de 512-bit podem ser usados como ou servir como base para materiais de chave e parâmetros de criptografia. Para obter detalhes, consulte a Referência de API do Data Encryption Workshop.

Algoritmos criptográficos suportados pelo KMS

As chaves simétricas criadas no console do KMS usam o algoritmo AES-256. As chaves assimétricas criadas pelo KMS oferecem suporte aos algoritmos RSA e ECC.

Tabela 1 Algoritmos de chave suportados pelo KMS

Tipo de chave

Tipo de algoritmo

Especificações de chave

Descrição

Utilização

Chave simétrica

AES

AES_256

Chave simétrica de AES

Criptografa e descriptografa uma pequena quantidade de dados ou chaves de dados.

Chaves assimétricas

RSA
  • RSA_2048
  • RSA_3072
  • RSA_4096

Senha assimétrica de RSA

Criptografa e descriptografa uma pequena quantidade de dados ou cria assinaturas digitais.

ECC
  • EC_P256
  • EC_P384

Curva elíptica recomendada pelo NIST

Assinatura digital

Tabela 2 descreve os algoritmos de criptografia e descriptografia suportados para chaves importadas pelo usuário. Somente chaves simétricas de 256-bit podem ser importadas.

Tabela 2 Algoritmos de agrupamento de chaves

Algoritmo

Descrição

Configuração

RSAES_OAEP_SHA_256

Algoritmo de criptografia RSA que usa OAEP e tem a função de hash SHA-256

Selecione um algoritmo de criptografia com base nas funções do HSM.

Se os HSMs oferecerem suporte ao algoritmo RSAES_OAEP_SHA_256, use RSAES_OAEP_SHA_256 para criptografar materiais de chave.

AVISO:

O algoritmo de criptografia RSAES_OAEP_SHA_1 não é mais seguro. Tenha cuidado ao realizar esta operação.

RSAES_OAEP_SHA_1

Algoritmo de encriptação RSA que utiliza Preenchimento de criptografia assimétrica ideal (OAEP) e tem a função de hash SHA-1
Tópico principal: KMS