Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.

Central de ajuda/ Data Encryption Workshop/ Visão geral de serviço/ KMS/ Cenários de aplicações

Atualizado em 2024-09-14 GMT+08:00

Ver PDF

Cenários de aplicações

Pré-requisitos

Todas as chaves personalizadas mencionadas nesta seção são chaves simétricas. Para obter detalhes sobre chaves simétricas e chaves assimétricas, consulte Tipos de chaves.

Criptografia e descriptografia de dados pequenos

Você pode usar a ferramenta on-line no console do KMS ou chamar APIs do KMS para criptografar ou descriptografar diretamente uma pequena quantidade de dados, como senhas, certificados ou números de telefone. Atualmente, um máximo de 4 KB de dados podem ser criptografados ou descriptografados dessa maneira.

Figura 1 mostra um exemplo sobre como chamar as APIs para criptografar e descriptografar um certificado HTTPS.

Figura 1 Criptografar e descriptografar um certificado HTTPS

O procedimento é o seguinte:

Crie uma CMK no KMS.
Chame a API de encrypt-data do KMS e use a CMK para criptografar o certificado de texto não criptografado.
Implemente o certificado em um servidor.
O servidor chama a API de decrypt-data do KMS para descriptografar o certificado de texto cifrado.

Criptografia e descriptografia de dados grandes

Se você quiser criptografar ou descriptografar grandes volumes de dados, como imagens, vídeos e arquivos de banco de dados, você pode usar o método de criptografia de envelope, onde os dados não precisam ser transferidos pela rede.

Figura 2 ilustra o processo para criptografar um arquivo local.
Figura 2 Criptografar um arquivo local
O procedimento é o seguinte:
1. Crie uma CMK no KMS.
2. Chame a API de create-datakey do KMS para criar uma DEK. Então você obtém uma DEK de texto não criptografado e uma DEK de texto cifrado. A DEK de texto cifrado foi gerada usando uma chave personalizada para criptografar a DEK de texto não criptografado.
3. Use a DEK de texto não criptografado para criptografar o arquivo. Um arquivo de texto cifrado é gerado.
4. Salve a DEK de texto cifrado e o arquivo de texto cifrado juntos em um dispositivo de armazenamento persistente ou um serviço de armazenamento.
Figura 3 ilustra o processo para descriptografar um arquivo local.
Figura 3 Descriptografar um arquivo local
O procedimento é o seguinte:
1. Obtenha a DEK de texto cifrado e o arquivo do dispositivo de armazenamento persistente ou do serviço de armazenamento.
2. Chame a API de decrypt-datakey do KMS e use a CMK correspondente (aquela usada para criptografar a DEK) para descriptografar a DEK de texto cifrado. Então você obtém a DEK de texto não criptografado.
  Se a CMK for excluída, a descriptografia falhará. Portanto, mantenha corretamente suas CMKs.
3. Use a DEK de texto não criptografado para descriptografar o arquivo de texto cifrado.

Links úteis

Documentação	Link
Melhores práticas	Criptografia ou descriptografia de pequenos volumes de dados Criptografia ou descriptografia de uma grande quantidade de dados
Exemplo de API	Criptografia ou descriptografia de pequenos volumes de dados Criptografia ou descriptografia de uma grande quantidade de dados