Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda> Data Encryption Workshop> Visão geral de serviço> KMS> Cenários de aplicação
Atualizado em 2022-12-29 GMT+08:00
Ver PDF

Cenários de aplicação

Pré-requisitos

Todas as CMKs mencionadas nesta seção são chaves simétricas. Para obter detalhes sobre chaves simétricas e chaves assimétricas, consulte Visão geral de chave.

Criptografia e descriptografia de dados pequenos

Você pode usar a ferramenta on-line no console do KMS ou chamar APIs do KMS para criptografar ou descriptografar diretamente uma pequena quantidade de dados, como senhas, certificados ou números de telefone. Atualmente, um máximo de 4 KB de dados podem ser criptografados ou descriptografados dessa maneira.

Figura 1 mostra um exemplo sobre como chamar as APIs para criptografar e descriptografar um certificado HTTPS.

Figura 1 Criptografar e descriptografar um certificado HTTPS
O procedimento é o seguinte:
  1. Crie uma CMK no KMS.
  2. Chame a encriptação de dados de API do KMS e use a CMK para criptografar o certificado de texto sem formatação.
  3. Implante o certificado em um servidor.
  4. O servidor chama o dados descriptografados de API do KMS para descriptografar o certificado de texto cifrado.

Criptografia e descriptografia de dados grandes

Se você quiser criptografar ou descriptografar grandes volumes de dados, como imagens, vídeos e arquivos de banco de dados, você pode usar o método de criptografia de envelope, onde os dados não precisam ser transferidos pela rede.

  • Figura 2 ilustra o processo para criptografar um arquivo local.
    Figura 2 Criptografar um arquivo local
    O procedimento é o seguinte:
    1. Crie uma CMK no KMS.
    2. Chame a chave de dados de criação de API do KMS para criar uma DEK. Então você obtém uma DEK de texto não criptografado e uma DEK de texto cifrado. A DEK de texto cifrado é gerada quando você usa uma CMK para criptografar a DEK de texto não criptografado.
    3. Use a DEK de texto não criptografado para criptografar o arquivo. Um arquivo de texto cifrado é gerado.
    4. Salve a DEK de texto cifrado e o arquivo de texto cifrado juntos em um dispositivo de armazenamento persistente ou um serviço de armazenamento.
  • Figura 3 ilustra o processo para descriptografar um arquivo local.
    Figura 3 Descriptografar um arquivo local
    O procedimento é o seguinte:
    1. Obtenha a DEK de texto cifrado e o arquivo do dispositivo de armazenamento persistente ou do serviço de armazenamento.
    2. Chame a chave de dados descriptografia de API do KMS e use a CMK correspondente (aquele usado para criptografar a DEK) para descriptografar a DEK de texto cifrado. Então você obtém o DEK de texto não criptografado.

      Se a CMK for excluída, a descriptografia falhará. Portanto, mantenha corretamente suas CMKs.

    3. Use a DEK de texto não criptografado para descriptografar o arquivo de texto cifrado.

Links úteis

Documento

Ligação

Melhores práticas

Exemplo de API
Tópico principal: KMS